在配置DTS執行個體時,若源庫或目標庫為AWS(Amazon Web Services)平台的資料庫,您需要進行相應的配置,以允許DTS伺服器的訪問。通常可以選擇使用公網IP或VPC,將AWS平台的資料庫接入至阿里雲。本文為您介紹相關操作的步驟。
通過公網IP接入
AWS平台的資料庫已開通公網存取權限,並且已將DTS伺服器的IP位址區段加入到相應資料庫的安全設定(安全性群組規則、防火牆、白名單等)中。
通過VPC接入
情境樣本
本文以下圖情境為例。某企業在阿里雲德國(法蘭克福)地區建立了一個VPC,並在AWS的歐洲(法蘭克福)地區也擁有一個VPC,企業希望阿里雲VPC和AWS VPC可以互相通訊。
企業可以使用阿里雲VPN網關產品(使用公網網路類型的VPN網關執行個體)和AWS VPN產品在兩個VPC之間建立IPsec-VPN串連,實現兩個VPC之間的加密通訊。
前提條件
AWS平台的資料庫擁有一個VPC。具體操作,請諮詢AWS平台。
已在阿里雲德國(法蘭克福)地區建立了一個VPC。具體操作,請參見搭建IPv4專用網路。
已知VPC間要互連的網段資訊。
說明您可以自行規劃網段,請確保VPC之間要互連的網段沒有重疊。
資源
要互連的網段
IP地址
阿里雲VPC
10.0.0.0/16,100.104.0.0/16
阿里雲資料庫的內網地址
AWS VPC
192.168.0.0/16
AWS資料庫的內網地址
配置流程
在阿里雲建立VPN網關執行個體。
首先,在阿里雲建立一個VPN網關執行個體。具體操作,請參見步驟一:在阿里雲建立VPN網關執行個體。
在AWS平台部署VPN。
其次,在AWS平台部署VPN。具體操作,請參見步驟二:在AWS平台部署VPN。
在阿里雲部署VPN網關。
然後,在AWS VPC和阿里雲VPC之間建立IPsec-VPN串連。具體操作,請參見步驟三:在阿里雲部署VPN網關。
步驟一:在阿里雲建立VPN網關執行個體
您需要先在阿里雲建立一個VPN網關執行個體,VPN網關執行個體建立完成後,系統會為VPN網關執行個體分配2個IP地址,這2個IP地址用於與AWS平台建立IPsec-VPN串連。
登入VPN網關管理主控台。
在頂部功能表列,選擇VPN網關的地區。
VPN網關的地區需和待綁定的VPC執行個體的地區相同。
在VPN網關頁面,單擊建立VPN網關。
在購買頁面,根據以下資訊配置VPN網關,然後單擊立即購買並完成支付。
以下僅列舉本文強相關的配置,其餘配置項保持預設值或為空白。更多資訊,請參見建立和管理VPN網關執行個體。
配置項
說明
本文樣本值
執行個體名稱
輸入VPN網關執行個體的名稱。
輸入VPN網關。
地區
選擇VPN網關執行個體所屬的地區。
選擇德國(法蘭克福)。
網關類型
選擇VPN網關執行個體的網關類型。
選擇普通型。
網路類型
選擇VPN網關執行個體的網路類型。
選擇公網。
隧道
系統直接展示當前地區IPsec-VPN串連支援的隧道模式。
雙隧道
單隧道
關於單隧道和雙隧道的說明,請參見【升級公告】IPsec-VPN串連升級為雙隧道模式。
本文保持預設值雙隧道。
專用網路
選擇VPN網關執行個體關聯的VPC執行個體。
選擇阿里雲德國(法蘭克福)地區的VPC執行個體。
虛擬交換器
從VPC執行個體中選擇一個交換器執行個體。
IPsec-VPN串連的隧道模式為單隧道時,您僅需要指定一個交換器執行個體。
IPsec-VPN串連的隧道模式為雙隧道時,您需要指定兩個交換器執行個體。
IPsec-VPN功能開啟後,系統會在兩個交換器執行個體下各建立一個彈性網卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN串連與VPC流量互連的介面。每個ENI會佔用交換器下的一個IP地址。
說明系統預設幫您選擇第一個交換器執行個體,您可以手動修改或者直接使用預設的交換器執行個體。
建立VPN網關執行個體後,不支援修改VPN網關執行個體關聯的交換器執行個體,您可以在VPN網關執行個體的詳情頁面查看VPN網關執行個體關聯的交換器、交換器所屬可用性區域以及交換器下ENI的資訊。
選擇VPC執行個體下的一個交換器執行個體。
虛擬交換器2
從VPC執行個體中選擇第二個交換器執行個體。
您需要從VPN網關執行個體關聯的VPC執行個體下指定兩個分布在不同可用性區域的交換器執行個體,以實現IPsec-VPN串連可用性區域層級的容災。
對於僅支援一個可用性區域的地區 ,不支援可用性區域層級的容災,建議您在該可用性區域下指定兩個不同的交換器執行個體以實現IPsec-VPN串連的高可用,支援選擇和第一個相同的交換器執行個體。
說明如果VPC執行個體下沒有第二個交換器執行個體,您可以建立交換器執行個體。具體操作,請參見建立和管理交換器。
選擇VPC執行個體下的第二個交換器執行個體。
IPsec-VPN
選擇開啟或關閉IPsec-VPN功能。預設值:開啟。
選擇開啟IPsec-VPN功能。
SSL-VPN
選擇開啟或關閉SSL-VPN功能。預設值:關閉。
選擇關閉SSL-VPN功能。
返回VPN網關頁面,查看建立的VPN網關執行個體。
剛建立好的VPN網關執行個體的狀態是準備中,約1~5分鐘左右會變成正常狀態。正常狀態表明VPN網關已經完成了初始化,可以正常使用。
系統為VPN網關執行個體分配的2個IP地址如下表所示:
VPN網關執行個體的名稱
VPN網關執行個體ID
IP地址
VPN網關
vpn-gw8dickm386d2qi2g****
IPsec地址1(預設為主隧道地址):8.XX.XX.130
IPsec地址2(預設為備隧道地址):47.XX.XX.27
步驟二:在AWS平台部署VPN
在為AWS VPC和阿里雲VPC之間建立IPsec-VPN串連前,您需要根據以下資訊在AWS平台部署VPN。具體操作,請諮詢AWS平台。
本文中AWS VPC和阿里雲VPC之間的IPsec-VPN串連使用的是靜態路由方式,如果您需要使用BGP動態路由方式,請參見通過IPsec-VPN實現阿里雲VPC和AWS VPC互連。
建立客戶網關。
您需要在AWS側建立2個客戶網關,將阿里雲VPN網關執行個體的2個IP地址作為客戶網關的IP地址。
建立虛擬私人網關。
您需要在AWS側建立虛擬私人網關,並將虛擬私人網關綁定到需要和阿里雲互連的VPC執行個體上。
建立網站到網站VPN串連。
重要阿里雲和AWS平台下的IPsec-VPN串連均支援雙隧道模式,但由於AWS平台的兩條隧道預設關聯至同一個客戶網關,而阿里雲側兩條隧道擁有不同的IP地址,導致AWS平台和阿里雲側的兩條隧道無法做到一一對應建立串連。為確保阿里雲側IPsec-VPN串連下兩條隧道同時啟用,您需要在AWS平台建立兩個網站到網站的VPN串連,每個網站到網站VPN串連關聯不同的客戶網關。
為網站到網站VPN串連配置路由時,您除了要指定阿里雲VPC網段外,還需要指定100.104.0.0/16網段,DTS服務將使用該網段下的地址同步資料。
下圖展示其中一個網站到網站VPN串連的配置,隧道選項配置使用預設值。另一個網站到網站VPN串連關聯與當前VPN串連不同的客戶網關,其餘配置與當前VPN串連相同。
網站到網站VPN串連建立完成後,您可以查看VPN串連下的隧道地址資訊,用於後續在阿里雲側建立IPsec-VPN串連。
本文中,2個VPN串連隧道1的外部IP地址以及關聯的客戶網關IP地址如下表所示:
網站到網站VPN串連
隧道
外部IP地址
關聯的客戶網關IP地址
網站到網站VPN串連1
Tunnel 1
3.XX.XX.5
8.XX.XX.130
網站到網站VPN串連2
Tunnel 1
3.XX.XX.239
47.XX.XX.27
配置路由傳播。
您需要在虛擬私人網關關聯的VPC執行個體的路由表下開啟路由傳播,以確保網站到網站VPN串連下的路由可以自動傳播到VPC執行個體的路由表中。
AWS VPC路由表中將包含阿里雲VPC網段以及DTS服務使用的網段。
步驟三:在阿里雲部署VPN網關
在AWS平台完成VPN配置後,請根據以下資訊在阿里雲側部署VPN網關,以便AWS VPC和阿里雲VPC之間建立IPsec-VPN串連。
建立使用者網關。
登入VPN網關管理主控台。
在左側導覽列,選擇
。在頂部功能表列選擇使用者網關的地區。
使用者網關地區需和VPN網關執行個體的地區相同。
在使用者網關頁面,單擊建立使用者網關。
在建立使用者網關面板,根據以下資訊進行配置,然後單擊確定。
您需要建立兩個使用者網關,並將AWS平台網站到網站VPN串連的隧道外部IP地址作為使用者網關的IP地址,以建立兩個加密隧道。以下僅列舉本文強相關配置項,其餘配置保持預設值或為空白。更多資訊,請參見建立和系統管理使用者網關。
重要僅使用每個網站到網站VPN串連的Tunnel1的外部IP地址作為使用者網關的地址。每個網站到網站VPN串連的Tunnel2的外部IP地址預設不使用,IPsec-VPN串連建立完成後,每個網站到網站VPN串連的Tunnel2預設不通。
配置項
說明
使用者網關1
使用者網關2
名稱
輸入使用者網關的名稱。
輸入使用者網關1。
輸入使用者網關2。
IP地址
輸入AWS平台隧道的外部IP地址。
輸入3.XX.XX.5。
輸入3.XX.XX.239。
建立IPsec串連。
在左側導覽列,選擇
。在頂部功能表列選擇IPsec串連的地區。
IPsec串連的地區需和VPN網關執行個體的地區相同。
在IPsec串連頁面,單擊建立IPsec串連。
在建立IPsec串連頁面,根據以下資訊配置IPsec串連,然後單擊確定。
配置項
說明
本文樣本值
名稱
輸入IPsec串連的名稱。
輸入IPsec串連。
資源群組
選擇VPN網關執行個體所屬的資源群組。
選擇預設資源群組。
綁定資源
選擇IPsec串連綁定的資源類型。
選擇VPN網關。
VPN網關
選擇IPsec串連關聯的VPN網關執行個體。
選擇已建立的VPN網關。
路由模式
選擇路由模式。
目的路由模式:基於目的IP地址路由和轉寄流量。
感興趣流模式:基於源IP地址和目的IP地址精確的路由和轉寄流量。
選擇感興趣流模式。
本端網段
輸入VPN網關執行個體關聯的VPC執行個體下的網段。
輸入以下兩個網段:
VPC網段:10.0.0.0/16
DTS網段:100.104.0.0/16
重要您需要將DTS使用的位址區段也添加到本端網段中,以便DTS通過VPN網關訪問對端的資料庫。
關於DTS位址區段的更多資訊,請參見添加DTS伺服器的IP位址區段。
對端網段
輸入VPN網關執行個體關聯的VPC執行個體要訪問的對端的網段。
輸入192.168.0.0/16。
立即生效
選擇IPsec串連的配置是否立即生效。取值:
是:配置完成後立即進行協商。
否:當有流量進入時進行協商。
選擇是。
啟用BGP
如果IPsec串連需要使用BGP路由協議,需要開啟BGP功能的開關,系統預設關閉BGP功能。
本文保持預設值,即不開啟BGP功能。
Tunnel 1
為隧道1(主隧道)添加VPN相關配置。
系統預設隧道1為主隧道,隧道2為備隧道,且不支援修改。
使用者網關
為主隧道添加待關聯的使用者網關執行個體。
選擇使用者網關1。
預先共用金鑰
輸入主隧道的認證密鑰,用於身份認證。
密鑰長度為1~100個字元,支援數字、大小寫英文字母及右側字元
~`!@#$%^&*()_-+={}[]\|;:',.<>/?
。若您未指定預先共用金鑰,系統會隨機產生一個16位的字串作為預先共用金鑰。
重要隧道及其對端網關裝置配置的預先共用金鑰需一致,否則系統無法正常建立IPsec-VPN串連。
當前隧道的認證密鑰需和串連的AWS平台隧道的密鑰一致。
加密配置
添加IKE配置、IPsec配置、DPD、NAT穿越等配置。
IKE配置的SA生存周期(秒)需與AWS平台保持一致,本文設定為28800。
IPsec配置的SA生存周期(秒)需與AWS平台保持一致,本文設定為3600。
其餘配置項使用預設值。關於預設值的說明,請參見建立和管理IPsec串連(雙隧道模式)。
Tunnel 2
為隧道2(備隧道)添加VPN相關配置。
使用者網關
為備隧道添加待關聯的使用者網關執行個體。
選擇使用者網關2。
預先共用金鑰
輸入備隧道的認證密鑰,用於身份認證。
當前隧道的認證密鑰需和串連的AWS平台隧道的密鑰一致。
加密配置
添加IKE配置、IPsec配置、DPD、NAT穿越等配置。
IKE配置的SA生存周期(秒)需與AWS平台保持一致,本文設定為28800。
IPsec配置的SA生存周期(秒)需與AWS平台保持一致,本文設定為3600。
其餘配置項使用預設值。關於預設值的說明,請參見建立和管理IPsec串連(雙隧道模式)。
標籤
為IPsec串連添加標籤。
保持為空白。
在建立成功對話方塊中,單擊取消。
配置VPN網關路由。
建立IPsec串連後需要為VPN網關執行個體配置路由。建立IPsec串連時,如果路由模式您選擇了感興趣流模式,在IPsec串連建立完成後,系統會自動在VPN網關執行個體下建立策略路由,路由是未發布狀態。您需要執行本操作,將VPN網關執行個體下的策略路由發布至VPC中。
在左側導覽列,選擇 。
在頂部功能表列,選擇VPN網關執行個體的地區。
在VPN網關頁面,單擊目標VPN網關執行個體ID。
在VPN網關執行個體詳情頁面單擊策略路由表頁簽,找到目標路由條目,在操作列單擊發布。
在發布路由對話方塊,單擊確定。
阿里雲VPC的路由表中將會包含AWS VPC的網段。