本文由簡體中文內容自動轉碼而成。阿里雲不保證此自動轉碼的準確性、完整性及時效性。本文内容請以簡體中文版本為準。
首頁Data Transmission Service操作指南準備工作本地IDC接入至阿里雲通過VPN網關實現本地IDC與DTS雲端服務互連
搜尋幫助內容

通過VPN網關實現本地IDC與DTS雲端服務互連

更新時間:2024-10-15 09:47
社區

在配置資料移轉、資料同步或資料訂閱時,如果源或目標庫為通過VPN網關接入的自建資料庫,您需要配置DTS與VPN網關間的路由,允許DTS訪問該網路。

情境樣本

本文以下述情境為例。某企業在阿里雲華北5(呼和浩特)地區擁有一個VPC,並在呼和浩特地區擁有一個本機資料中心,企業在本機資料中心和VPC下均建立了資料庫。企業希望本機資料中心的資料可以被自動同步到阿里雲VPC下的資料庫中。

企業可以通過公網網路類型的VPN網關在本機資料中心和VPC之間建立IPsec-VPN串連,實現本機資料中心和VPC之間的加密互連,然後在本機資料中心和VPC之間加密互連的基礎上使用DTS實現本機資料中心下的資料自動同步至VPC的資料庫中。

VPC互連+DTS.png

前提條件

您已經在阿里雲華北5(呼和浩特)地區建立一個VPC,VPC下通過Elastic Compute Service (ECS)部署了資料庫。具體操作,請參見搭建IPv4專用網路

本文中本機資料中心和VPC的網路設定如下表所示。

重要

您可以自行規劃VPC執行個體的網段,請確保本機資料中心和VPC之間要互連的網段沒有重疊。

資源

要互連的網段

IP地址

資料庫帳號

資源

要互連的網段

IP地址

資料庫帳號

本機資料中心

172.16.0.0/12

  • 本地網關裝置1公網IP地址:211.XX.XX.36

  • 本地網關裝置2公網IP地址:211.XX.XX.71

  • 資料庫所屬伺服器的IP地址:172.16.0.228

  • 使用者名稱:user

  • 密碼:Hello1234****

  • 資料庫提供服務連接埠號碼:3306

VPC

10.0.0.0/8

資料庫所屬ECS執行個體的IP地址:10.0.0.252

  • 使用者名稱:user

  • 密碼:Hello5678****

  • 資料庫提供服務連接埠號碼:3306

配置流程

DTS+VPC互連-配置流程.png

步驟一:建立VPN網關

  1. 登入VPN網關管理主控台

  2. 在頂部功能表列,選擇VPN網關的地區。

    VPN網關的地區需和待綁定的VPC執行個體的地區相同。

  3. VPN網關頁面,單擊建立VPN網關

  4. 在購買頁面,根據以下資訊配置VPN網關,然後單擊立即購買並完成支付。

    配置項

    說明

    本文樣本值

    配置項

    說明

    本文樣本值

    執行個體名稱

    輸入VPN網關執行個體的名稱。

    輸入VPNGW。

    資源群組

    選擇VPN網關執行個體所屬的資源群組。

    如果不選擇,VPN網關執行個體建立後將歸屬於預設資源群組。

    本文保持為空白。

    地區

    選擇VPN網關執行個體所屬的地區。

    選擇華北5(呼和浩特)

    網關類型

    選擇VPN網關執行個體的網關類型。

    選擇普通型

    網路類型

    選擇VPN網關執行個體的網路類型。

    • 公網:VPN網關通過公網建立VPN串連。

    • 私網:VPN網關通過私網建立VPN串連。

    選擇公網

    隧道

    系統直接展示當前地區IPsec-VPN串連支援的隧道模式。

    • 雙隧道

    • 單隧道

    關於單隧道和雙隧道的說明,請參見【升級公告】IPsec-VPN串連升級為雙隧道模式

    本文保持預設值雙隧道

    專用網路

    選擇VPN網關執行個體關聯的VPC執行個體。

    選擇阿里雲華北5(呼和浩特)地區的VPC執行個體。

    虛擬交換器

    從VPC執行個體中選擇一個交換器執行個體。

    • IPsec-VPN串連的隧道模式為單隧道時,您僅需要指定一個交換器執行個體。

    • IPsec-VPN串連的隧道模式為雙隧道時,您需要指定兩個交換器執行個體。

      IPsec-VPN功能開啟後,系統會在兩個交換器執行個體下各建立一個彈性網卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN串連與VPC流量互連的介面。每個ENI會佔用交換器下的一個IP地址。

    說明

    • 系統預設幫您選擇第一個交換器執行個體,您可以手動修改或者直接使用預設的交換器執行個體。

    • 建立VPN網關執行個體後,不支援修改VPN網關執行個體關聯的交換器執行個體,您可以在VPN網關執行個體的詳情頁面查看VPN網關執行個體關聯的交換器、交換器所屬可用性區域以及交換器下ENI的資訊。

    選擇VPC執行個體下的一個交換器執行個體。

    虛擬交換器2

    從VPC執行個體中選擇第二個交換器執行個體。

    • 您需要從VPN網關執行個體關聯的VPC執行個體下指定兩個分布在不同可用性區域的交換器執行個體,以實現IPsec-VPN串連可用性區域層級的容災。

    • 對於僅支援一個可用性區域的地區 ,不支援可用性區域層級的容災,建議您在該可用性區域下指定兩個不同的交換器執行個體以實現IPsec-VPN串連的高可用,支援選擇和第一個相同的交換器執行個體。

    說明

    如果VPC執行個體下沒有第二個交換器執行個體,您可以建立交換器執行個體。具體操作,請參見建立和管理交換器

    選擇VPC執行個體下的第二個交換器執行個體。

    頻寬峰值

    選擇VPN網關執行個體的頻寬規格。單位:Mbps。

    本文使用預設值。

    流量

    VPN網關的計費方式。預設值:按流量計費

    更多資訊,請參見計費說明

    本文使用預設值。

    IPsec-VPN

    選擇開啟或關閉IPsec-VPN功能。預設值:開啟

    選擇開啟IPsec-VPN功能。

    SSL-VPN

    選擇開啟或關閉SSL-VPN功能。預設值:關閉

    選擇關閉SSL-VPN功能。

    購買時間長度

    VPN網關的計費周期。預設值:按小時計費。

    本文使用預設值。

    服務關聯角色

    單擊建立關聯角色,系統自動建立服務關聯角色AliyunServiceRoleForVpn。

    VPN網關使用此角色來訪問其他雲產品中的資源,更多資訊,請參見AliyunServiceRoleForVpn。

    若本配置項顯示為已建立,則表示您當前帳號下已建立了該角色,無需重複建立。

    根據需求建立服務關聯角色或跳過本配置項。

  5. 返回VPN網關頁面,查看已建立的VPN網關執行個體。

    建立VPN網關執行個體後,其狀態是準備中,約1~5分鐘會變成正常狀態。正常狀態表明VPN網關執行個體已經完成了初始化,可以正常使用。

    系統會為公網網路類型的VPN網關執行個體分配兩個不同的公網IP地址,用於建立兩個加密隧道。本文中系統分配的兩個公網IP地址如下表:

    VPN網關執行個體的名稱

    VPN網關執行個體ID

    IPsec-VPN串連隧道公網IP地址

    VPN網關執行個體的名稱

    VPN網關執行個體ID

    IPsec-VPN串連隧道公網IP地址

    VPNGW

    vpn-bp1ox1xu1jo8m1ph0****

    47.XX.XX.3

    47.XX.XX.169

步驟二:建立使用者網關

  1. 在左側導覽列,選擇網間互聯 > VPN > 使用者網關

  2. 在頂部功能表列選擇使用者網關的地區。

    使用者網關地區需和VPN網關執行個體的地區相同。

  3. 使用者網關頁面,單擊建立使用者網關

  4. 建立使用者網關面板,根據以下資訊進行配置,然後單擊確定

    您需要建立兩個使用者網關用於建立兩個加密隧道。以下僅列舉本文強相關配置項,其餘配置保持預設值或為空白。更多資訊,請參見建立和系統管理使用者網關

    配置項

    說明

    使用者網關1

    使用者網關2

    配置項

    說明

    使用者網關1

    使用者網關2

    名稱

    輸入使用者網關的名稱。

    輸入CustomerGW1

    輸入CustomerGW2

    IP地址

    輸入本機資料中心的網關裝置的公網IP地址。

    輸入211.XX.XX.36

    輸入211.XX.XX.71

步驟三:建立IPsec串連

VPN網關和使用者網關建立完成後,您需要在VPN網關執行個體下建立IPsec串連以建立VPN加密隧道。根據IPsec串連使用的IKE版本不同,需要執行不同的操作步驟。

使用IKEv2版本
使用IKEv1版本

  1. 在左側導覽列,選擇網間互聯 > VPN > IPsec串連

  2. 在頂部功能表列選擇IPsec串連的地區。

    IPsec串連的地區需和VPN網關執行個體的地區相同。

  3. IPsec串連頁面,單擊建立IPsec串連

  4. 建立IPsec串連頁面,根據以下資訊配置IPsec串連,然後單擊確定

    配置項

    說明

    本文樣本值

    名稱

    輸入IPsec串連的名稱。

    輸入IPsec-Connection

    綁定資源

    選擇IPsec串連綁定的資源類型。

    選擇VPN網關

    VPN網關

    選擇IPsec串連關聯的VPN網關執行個體。

    選擇VPNGW

    路由模式

    選擇路由模式。

    • 目的路由模式:基於目的IP地址路由和轉寄流量。

    • 感興趣流模式:基於源IP地址和目的IP地址精確的路由和轉寄流量。

    選擇感興趣流模式

    本端網段

    輸入VPN網關執行個體關聯的VPC執行個體下的網段。

    輸入以下兩個網段:

    • VPC網段:10.0.0.0/8

    • DTS網段:100.104.0.0/16

    重要

    您需要將DTS使用的位址區段也添加到本端網段中,以便DTS通過VPN網關訪問對端的資料庫。

    關於DTS位址區段的更多資訊,請參見添加DTS伺服器的IP位址區段

    對端網段

    輸入VPN網關執行個體關聯的VPC執行個體要訪問的對端的網段。

    輸入172.16.0.0/12

    立即生效

    選擇IPsec串連的配置是否立即生效。取值:

    • :配置完成後立即進行協商。

    • :當有流量進入時進行協商。

    選擇

    BGP配置

    如果IPsec串連需要使用BGP路由協議,需要開啟BGP配置的開關,系統預設關閉BGP配置。

    本文保持預設值,即不開啟BGP配置。

    Tunnel 1

    為隧道1(主隧道)添加VPN相關配置。

    系統預設隧道1為主隧道,隧道2為備隧道,且不支援修改。

    使用者網關

    為主隧道添加待關聯的使用者網關執行個體。

    選擇CustomerGW1

    預先共用金鑰

    輸入主隧道的認證密鑰,用於身份認證。

    • 密鑰長度為1~100個字元,支援數字、大小寫英文字母及右側字元~`!@#$%^&*()_-+={}[]\|;:',.<>/?

    • 若您未指定預先共用金鑰,系統會隨機產生一個16位的字串作為預先共用金鑰。

    重要

    隧道及其對端網關裝置配置的預先共用金鑰需一致,否則系統無法正常建立IPsec-VPN串連。

    輸入fddsFF123****

    加密配置

    添加IKE配置、IPsec配置、DPD、NAT穿越等配置。

    本文保持預設值。關於預設值的說明,請參見建立和管理IPsec串連(雙隧道模式)

    Tunnel 2

    為隧道2(備隧道)添加VPN相關配置。

    使用者網關

    為備隧道添加待關聯的使用者網關執行個體。

    選擇CustomerGW2

    預先共用金鑰

    輸入備隧道的認證密鑰,用於身份認證。

    輸入fddsFF456****

    加密配置

    添加IKE配置、IPsec配置、DPD、NAT穿越等配置。

    本文保持預設值。關於預設值的說明,請參見建立和管理IPsec串連(雙隧道模式)

  5. 建立成功對話方塊中,單擊確定

  6. 返回IPsec串連頁面,找到建立的IPsec串連,在操作列單擊產生對端配置

    對端配置是指需要在IPsec串連對端添加的VPN配置。本文情境中您需要將這些配置添加在本地網關裝置上。

  7. IPsec串連配置對話方塊,複製配置並儲存在您的本地,用於後續配置本地網關裝置。

  1. 在左側導覽列,選擇網間互聯 > VPN > IPsec串連

  2. 在頂部功能表列選擇IPsec串連的地區。

    IPsec串連的地區需和VPN網關執行個體的地區相同。

  3. IPsec串連頁面,單擊建立IPsec串連

  4. 建立IPsec串連頁面,根據以下資訊配置IPsec串連,然後單擊確定

    IPsec串連使用IKEv1版本時不支援添加多網段,您需要建立2個IPsec串連分別傳輸DTS流量和VPC的流量。

    配置項

    說明

    IPsec串連1

    IPsec串連2

    名稱

    輸入IPsec串連的名稱。

    輸入IPsec-Connection1

    輸入IPsec-Connection2

    綁定資源

    選擇IPsec串連綁定的資源類型。

    選擇VPN網關

    選擇VPN網關

    VPN網關

    選擇IPsec串連關聯的VPN網關執行個體。

    選擇VPNGW

    選擇VPNGW

    路由模式

    選擇路由模式。

    • 目的路由模式:基於目的IP地址路由和轉寄流量。

    • 感興趣流模式:基於源IP地址和目的IP地址精確的路由和轉寄流量。

    選擇感興趣流模式

    選擇感興趣流模式

    本端網段

    輸入VPN網關執行個體關聯的VPC執行個體下的網段。

    輸入VPC網段:10.0.0.0/8

    輸入DTS網段:100.104.0.0/16

    重要

    您需要將DTS使用的位址區段也添加到本端網段中,以便DTS通過VPN網關訪問對端的資料庫。

    關於DTS位址區段的更多資訊,請參見添加DTS伺服器的IP位址區段

    對端網段

    輸入VPN網關執行個體關聯的VPC執行個體要訪問的對端的網段。

    輸入172.16.0.0/12

    輸入172.16.0.0/12

    立即生效

    選擇IPsec串連的配置是否立即生效。取值:

    • :配置完成後立即進行協商。

    • :當有流量進入時進行協商。

    選擇

    選擇

    BGP配置

    如果IPsec串連需要使用BGP路由協議,需要開啟BGP配置的開關,系統預設關閉BGP配置。

    本文保持預設值,即不開啟BGP配置。

    本文保持預設值,即不開啟BGP配置。

    Tunnel 1

    為隧道1(主隧道)添加VPN相關配置。

    系統預設隧道1為主隧道,隧道2為備隧道,且不支援修改。

    使用者網關

    為主隧道添加待關聯的使用者網關執行個體。

    選擇CustomerGW1

    選擇CustomerGW1

    預先共用金鑰

    輸入主隧道的認證密鑰,用於身份認證。

    • 密鑰長度為1~100個字元,支援數字、大小寫英文字母及右側字元~`!@#$%^&*()_-+={}[]\|;:',.<>/?

    • 若您未指定預先共用金鑰,系統會隨機產生一個16位的字串作為預先共用金鑰。

    重要

    隧道及其對端網關裝置配置的預先共用金鑰需一致,否則系統無法正常建立IPsec-VPN串連。

    輸入fddsFF123****

    輸入fddsFF123****

    加密配置

    添加IKE配置、IPsec配置、DPD、NAT穿越等配置。

    使用IKEv1版本,其餘使用預設值。關於預設值的說明,請參見建立和管理IPsec串連(雙隧道模式)

    使用IKEv1版本,其餘使用預設值。關於預設值的說明,請參見建立和管理IPsec串連(雙隧道模式)

    Tunnel 2

    為隧道2(備隧道)添加VPN相關配置。

    使用者網關

    為備隧道添加待關聯的使用者網關執行個體。

    選擇CustomerGW2

    選擇CustomerGW2

    預先共用金鑰

    輸入備隧道的認證密鑰,用於身份認證。

    輸入fddsFF456****

    輸入fddsFF456****

    加密配置

    添加IKE配置、IPsec配置、DPD、NAT穿越等配置。

    使用IKEv1版本,其餘使用預設值。關於預設值的說明,請參見建立和管理IPsec串連(雙隧道模式)

    使用IKEv1版本,其餘使用預設值。關於預設值的說明,請參見建立和管理IPsec串連(雙隧道模式)

  5. 建立成功對話方塊中,單擊確定

  6. 返回IPsec串連頁面,找到建立的IPsec串連,在操作列單擊產生對端配置

    對端配置是指需要在IPsec串連對端添加的VPN配置。本文情境中您需要將這些配置添加在本地網關裝置上。

  7. IPsec串連配置對話方塊,複製配置並儲存在您的本地,用於後續配置本地網關裝置。

步驟四:配置VPN網關路由

建立IPsec串連後需要為VPN網關執行個體配置路由以實現流量互連。建立IPsec串連時,如果路由模式您選擇了感興趣流模式,在IPsec串連建立完成後,系統會自動在VPN網關執行個體下建立策略路由,路由是未發布狀態。您需要執行本操作,將VPN網關執行個體下的所有策略路由均發布至VPC中。

  1. 在左側導覽列,選擇網間互聯 > VPN > VPN網關

  2. 在頂部功能表列,選擇VPN網關執行個體的地區。

  3. VPN網關頁面,單擊目標VPN網關執行個體ID。

  4. 在VPN網關執行個體詳情頁面單擊策略路由表頁簽,找到目標路由條目,在操作列單擊發布

  5. 發布路由對話方塊,單擊確定

步驟五:配置本地網關裝置

在阿里雲側建立IPsec串連後,您需要在本地網關裝置上添加VPN配置和路由配置,使本地網關裝置與VPN網關之間成功建立IPsec-VPN串連,同時使本機資料中心去往VPC的流量優先通過主隧道進行傳出,在主隧道中斷後自動切換至備隧道進行傳輸。

說明

以下內容包含第三方產品資訊,第三方產品資訊僅供參考。阿里雲對第三方產品的效能、可靠性以及操作可能帶來的潛在影響,不做任何暗示或其他形式的承諾。

不同廠商的裝置配置命令可能會有所不同。具體命令,請諮詢相關裝置廠商。

使用IKEv2版本
使用IKEv1版本

  1. 根據儲存在本地的IPsec串連對端配置,在本地網關裝置中添加VPN配置。

    1. 登入本地網關裝置的命令列配置介面。

    2. 執行以下命令,配置ikev2 proposal和policy。

      //分別在本地網關裝置1和本地網關裝置2上添加如下配置
crypto ikev2 proposal alicloud  
encryption aes-cbc-128          //配置密碼編譯演算法,本樣本為aes-cbc-128。
integrity sha1                  //配置認證演算法,本樣本為sha1。
group 2                         //配置DH分組,本樣本為group2。
exit
!
crypto ikev2 policy Pureport_Pol_ikev2
proposal alicloud
exit
!

    3. 執行以下命令,配置ikev2 keyring。

      //在本地網關裝置1上添加如下配置
crypto ikev2 keyring alicloud
peer alicloud
address 47.XX.XX.3               //配置雲上IPsec串連主隧道公網IP地址,本樣本為47.XX.XX.3。
pre-shared-key fddsFF123****     //配置預先共用金鑰,本樣本為fddsFF123****。
exit
!
//在本地網關裝置2上添加如下配置
crypto ikev2 keyring alicloud
peer alicloud
address 47.XX.XX.169               //配置雲上IPsec串連備隧道公網IP地址,本樣本為47.XX.XX.169。
pre-shared-key fddsFF456****     //配置預先共用金鑰,本樣本為fddsFF456****。
exit
!

    4. 執行以下命令,配置ikev2 profile。

      //在本地網關裝置1上添加如下配置
crypto ikev2 profile alicloud
match identity remote address 47.XX.XX.3 255.255.255.255    //匹配雲上IPsec串連主隧道公網IP地址,本樣本為47.XX.XX.3。
identity local address 211.XX.XX.36    //本地網關裝置1的公網IP地址,本樣本為211.XX.XX.36。
authentication remote pre-share   //認證對端的方式為PSK(預先共用金鑰的方式)。
authentication local pre-share    //認證本端的方式為PSK。
keyring local alicloud            //調用密鑰串。
exit
!
//在本地網關裝置2上添加如下配置
crypto ikev2 profile alicloud
match identity remote address 47.XX.XX.169 255.255.255.255    //匹配雲上IPsec串連備隧道公網IP地址,本樣本為47.XX.XX.169。
identity local address 211.XX.XX.71    //本地網關裝置2的公網IP地址,本樣本為211.XX.XX.71。
authentication remote pre-share   //認證對端的方式為PSK(預先共用金鑰的方式)。
authentication local pre-share    //認證本端的方式為PSK。
keyring local alicloud            //調用密鑰串。
exit
!

    5. 執行以下命令,配置transform。

      //分別在本地網關裝置1和本地網關裝置2上添加如下配置
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
mode tunnel
exit
!

    6. 配置ACL(存取控制清單),定義需要保護的資料流。

      //分別在本地網關裝置1和本地網關裝置2上添加如下配置
access-list 100 permit ip 172.16.0.0 0.15.255.255 10.0.0.0 0.255.255.255

    7. 配置IPsec策略。

      //在本地網關裝置1上添加如下配置
crypto map ipsecpro64 10 ipsec-isakmp
set peer 47.XX.XX.3
set transform-set TSET
set ikev2-profile alicloud
set pfs group2
match address 100
//在本地網關裝置2上添加如下配置
crypto map ipsecpro64 10 ipsec-isakmp
set peer 47.XX.XX.169
set transform-set TSET
set ikev2-profile alicloud
set pfs group2
match address 100

    8. 執行以下命令,配置IPsec隧道。

      //在本地網關裝置1上添加如下配置
interface GigabitEthernet1                 //配置與雲上IPsec串連建立VPN主隧道的介面IP地址。
ip address 211.XX.XX.36 255.255.255.0
crypto map ipsecpro64			//應用IPsec策略
negotiation auto
!
//在本地網關裝置2上添加如下配置
interface GigabitEthernet1                 //配置與雲上IPsec串連建立VPN備隧道的介面IP地址。
ip address 211.XX.XX.71 255.255.255.0
crypto map ipsecpro64		  //應用IPsec策略
negotiation auto
!

  2. 在本地網關裝置1和本地網關裝置2中添加路由配置。

    1. 在本地網關裝置1和本地網關裝置2中添加去往VPC的路由。

      //在本地網關裝置1上添加去往VPC的路由
ip route 10.0.0.0 255.0.0.0  47.XX.XX.3
ip route 100.104.0.0 255.255.0.0  47.XX.XX.3
//在本地網關裝置2上添加去往VPC的路由
ip route 10.0.0.0 255.0.0.0  47.XX.XX.169
ip route 100.104.0.0 255.255.0.0  47.XX.XX.169

    2. 請根據您的實際網路環境按需在本機資料中心添加路由配置,使本機資料中心去往VPC的流量優先通過本地網關裝置1進行傳輸,在本地網關裝置1故障後可以自動通過本地網關裝置2進行傳輸。具體命令,請諮詢相關裝置廠商。

  1. 根據儲存在本地的IPsec串連對端配置,在本地網關裝置中添加VPN配置。

    1. 登入本地網關裝置的命令列配置介面。

    2. 配置isakmp策略。

      //分別在本地網關裝置1和本地網關裝置2上添加如下配置
crypto isakmp policy 1 
authentication pre-share 
encryption aes
hash sha 
group  2
lifetime 86400

    3. 配置預先共用金鑰。

      //在本地網關裝置1上添加如下配置
crypto isakmp key fddsFF123**** address 47.XX.XX.3
//在本地網關裝置2上添加如下配置
crypto isakmp key fddsFF456**** address 47.XX.XX.169

    4. 配置IPsec安全性通訊協定。

      //分別在本地網關裝置1和本地網關裝置2上添加如下配置
crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac 
mode tunnel

    5. 配置ACL(存取控制清單),定義需要保護的資料流。

      //分別在本地網關裝置1和本地網關裝置2上添加如下配置
access-list 100 permit ip 172.16.0.0 0.15.255.255 10.0.0.0 0.255.255.255

    6. 配置IPsec策略。

      //在本地網關裝置1上添加如下配置
crypto map ipsecpro64 10 ipsec-isakmp
set peer 47.XX.XX.3
set transform-set ipsecpro64
set pfs group2
match address 100
//在本地網關裝置2上添加如下配置
crypto map ipsecpro64 10 ipsec-isakmp
set peer 47.XX.XX.169
set transform-set ipsecpro64
set pfs group2
match address 100

    7. 應用IPsec策略。

      //分別在本地網關裝置1上添加如下配置
interface GigabitEthernet1    //在配置公網IP地址的介面下應用IPsec策略
crypto map ipsecpro64
//分別在本地網關裝置2上添加如下配置
interface GigabitEthernet1    //在配置公網IP地址的介面下應用IPsec策略
crypto map ipsecpro64

  2. 在本地網關裝置1和本地網關裝置2中添加路由配置。

    1. 在本地網關裝置1和本地網關裝置2中添加去往VPC的路由。

      //在本地網關裝置1上添加去往VPC的路由
ip route 10.0.0.0 255.0.0.0  47.XX.XX.3
ip route 100.104.0.0 255.255.0.0  47.XX.XX.3
//在本地網關裝置2上添加去往VPC的路由
ip route 10.0.0.0 255.0.0.0  47.XX.XX.169
ip route 100.104.0.0 255.255.0.0  47.XX.XX.169

    2. 請根據您的實際網路環境按需在本機資料中心添加路由配置,使本機資料中心去往VPC的流量優先通過本地網關裝置1進行傳輸,在本地網關裝置1故障後可以自動通過本地網關裝置2進行傳輸。具體命令,請諮詢相關裝置廠商。

步驟六:測試連通性

完成上述配置後,本機資料中心和VPC之間已經可以相互連信了,您可以通過以下步驟驗證本機資料中心和VPC之間的連通性。

重要

在測試連通性前,請確保您已經瞭解VPC中ECS執行個體所應用的安全性群組規則以及本機資料中心應用的存取控制規則,並確保ECS安全性群組規則和本機資料中心存取控制規則允許本機資料中心和VPC之間互相互訪。關於ECS安全性群組規則更多內容,請參見查詢安全性群組規則添加安全性群組規則

  1. 登入VPC下的ECS執行個體。

    關於如何登入ECS執行個體,請參見串連方式概述

  2. 在ECS執行個體中執行ping命令,訪問本機資料中心的資料庫伺服器。

    如果ECS執行個體可以收到回複報文,則證明本機資料中心和VPC之間可以正常通訊。

    ping <本機資料中樞資料庫伺服器IP地址>

步驟七:建立DTS執行個體

本機資料中心和VPC之間正常通訊後,您可以開始建立DTS資料同步任務,DTS資料同步任務配置完成後可以將本機資料中心的資料自動同步至VPC下的資料庫中。

在配置資料移轉、資料同步或資料訂閱時,選擇執行個體類型為專線/VPN網關/智能網關,然後下拉選擇和源庫連通的VPC,即可將本地IDC中的自建資料庫作為源庫或目標庫。相關配置案例請參見同步方案概覽遷移方案概覽訂閱者案概覽

上一篇:通過CEN實現本地IDC與DTS雲端服務互連下一篇:通過資料庫網關將本地IDC或第三方雲的資料庫接入至阿里雲
  • 本頁導讀 (1, M)
  • 情境樣本
  • 前提條件
  • 配置流程
  • 步驟一:建立VPN網關
  • 步驟二:建立使用者網關
  • 步驟三:建立IPsec串連
  • 步驟四:配置VPN網關路由
  • 步驟五:配置本地網關裝置
  • 步驟六:測試連通性
  • 步驟七:建立DTS執行個體
文檔反饋