全部產品
Search
文件中心

Data Transmission Service:將AWS平台的資料庫接入至阿里雲

更新時間:Oct 15, 2024

在配置DTS執行個體時,若源庫或目標庫為AWS(Amazon Web Services)平台的資料庫,您需要進行相應的配置,以允許DTS伺服器的訪問。通常可以選擇使用公網IP或VPC,將AWS平台的資料庫接入至阿里雲。本文為您介紹相關操作的步驟。

通過公網IP接入

AWS平台的資料庫已開通公網存取權限,並且已將DTS伺服器的IP位址區段加入到相應資料庫的安全設定(安全性群組規則、防火牆、白名單等)中。

通過VPC接入

情境樣本

本文以下圖情境為例。某企業在阿里雲德國(法蘭克福)地區建立了一個VPC,並在AWS的歐洲(法蘭克福)地區也擁有一個VPC,企業希望阿里雲VPC和AWS VPC可以互相通訊。

企業可以使用阿里雲VPN網關產品(使用公網網路類型的VPN網關執行個體)和AWS VPN產品在兩個VPC之間建立IPsec-VPN串連,實現兩個VPC之間的加密通訊。

前提條件

  • AWS平台的資料庫擁有一個VPC。具體操作,請諮詢AWS平台

  • 已在阿里雲德國(法蘭克福)地區建立了一個VPC。具體操作,請參見搭建IPv4專用網路

  • 已知VPC間要互連的網段資訊。

    說明

    您可以自行規劃網段,請確保VPC之間要互連的網段沒有重疊。

    資源

    要互連的網段

    IP地址

    阿里雲VPC

    10.0.0.0/16,100.104.0.0/16

    阿里雲資料庫的內網地址

    AWS VPC

    192.168.0.0/16

    AWS資料庫的內網地址

配置流程

  1. 在阿里雲建立VPN網關執行個體。

    首先,在阿里雲建立一個VPN網關執行個體。具體操作,請參見步驟一:在阿里雲建立VPN網關執行個體

  2. 在AWS平台部署VPN。

    其次,在AWS平台部署VPN。具體操作,請參見步驟二:在AWS平台部署VPN

  3. 在阿里雲部署VPN網關。

    然後,在AWS VPC和阿里雲VPC之間建立IPsec-VPN串連。具體操作,請參見步驟三:在阿里雲部署VPN網關

步驟一:在阿里雲建立VPN網關執行個體

您需要先在阿里雲建立一個VPN網關執行個體,VPN網關執行個體建立完成後,系統會為VPN網關執行個體分配2個IP地址,這2個IP地址用於與AWS平台建立IPsec-VPN串連。

  1. 登入VPN網關管理主控台

  2. 在頂部功能表列,選擇VPN網關的地區。

    VPN網關的地區需和待綁定的VPC執行個體的地區相同。

  3. VPN網關頁面,單擊建立VPN網關

  4. 在購買頁面,根據以下資訊配置VPN網關,然後單擊立即購買並完成支付。

    以下僅列舉本文強相關的配置,其餘配置項保持預設值或為空白。更多資訊,請參見建立和管理VPN網關執行個體

    配置項

    說明

    本文樣本值

    執行個體名稱

    輸入VPN網關執行個體的名稱。

    輸入VPN網關。

    地區

    選擇VPN網關執行個體所屬的地區。

    選擇德國(法蘭克福)

    網關類型

    選擇VPN網關執行個體的網關類型。

    選擇普通型

    網路類型

    選擇VPN網關執行個體的網路類型。

    選擇公網

    隧道

    系統直接展示當前地區IPsec-VPN串連支援的隧道模式。

    • 雙隧道

    • 單隧道

    關於單隧道和雙隧道的說明,請參見【升級公告】IPsec-VPN串連升級為雙隧道模式

    本文保持預設值雙隧道

    專用網路

    選擇VPN網關執行個體關聯的VPC執行個體。

    選擇阿里雲德國(法蘭克福)地區的VPC執行個體。

    虛擬交換器

    從VPC執行個體中選擇一個交換器執行個體。

    • IPsec-VPN串連的隧道模式為單隧道時,您僅需要指定一個交換器執行個體。

    • IPsec-VPN串連的隧道模式為雙隧道時,您需要指定兩個交換器執行個體。

      IPsec-VPN功能開啟後,系統會在兩個交換器執行個體下各建立一個彈性網卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN串連與VPC流量互連的介面。每個ENI會佔用交換器下的一個IP地址。

    說明
    • 系統預設幫您選擇第一個交換器執行個體,您可以手動修改或者直接使用預設的交換器執行個體。

    • 建立VPN網關執行個體後,不支援修改VPN網關執行個體關聯的交換器執行個體,您可以在VPN網關執行個體的詳情頁面查看VPN網關執行個體關聯的交換器、交換器所屬可用性區域以及交換器下ENI的資訊。

    選擇VPC執行個體下的一個交換器執行個體。

    虛擬交換器2

    從VPC執行個體中選擇第二個交換器執行個體。

    • 您需要從VPN網關執行個體關聯的VPC執行個體下指定兩個分布在不同可用性區域的交換器執行個體,以實現IPsec-VPN串連可用性區域層級的容災。

    • 對於僅支援一個可用性區域的地區 ,不支援可用性區域層級的容災,建議您在該可用性區域下指定兩個不同的交換器執行個體以實現IPsec-VPN串連的高可用,支援選擇和第一個相同的交換器執行個體。

    說明

    如果VPC執行個體下沒有第二個交換器執行個體,您可以建立交換器執行個體。具體操作,請參見建立和管理交換器

    選擇VPC執行個體下的第二個交換器執行個體。

    IPsec-VPN

    選擇開啟或關閉IPsec-VPN功能。預設值:開啟

    選擇開啟IPsec-VPN功能。

    SSL-VPN

    選擇開啟或關閉SSL-VPN功能。預設值:關閉

    選擇關閉SSL-VPN功能。

  5. 返回VPN網關頁面,查看建立的VPN網關執行個體。

    剛建立好的VPN網關執行個體的狀態是準備中,約1~5分鐘左右會變成正常狀態。正常狀態表明VPN網關已經完成了初始化,可以正常使用。

    系統為VPN網關執行個體分配的2個IP地址如下表所示:

    VPN網關執行個體的名稱

    VPN網關執行個體ID

    IP地址

    VPN網關

    vpn-gw8dickm386d2qi2g****

    IPsec地址1(預設為主隧道地址):8.XX.XX.130

    IPsec地址2(預設為備隧道地址):47.XX.XX.27

步驟二:在AWS平台部署VPN

在為AWS VPC和阿里雲VPC之間建立IPsec-VPN串連前,您需要根據以下資訊在AWS平台部署VPN。具體操作,請諮詢AWS平台

說明

本文中AWS VPC和阿里雲VPC之間的IPsec-VPN串連使用的是靜態路由方式,如果您需要使用BGP動態路由方式,請參見通過IPsec-VPN實現阿里雲VPC和AWS VPC互連

  1. 建立客戶網關。

    您需要在AWS側建立2個客戶網關,將阿里雲VPN網關執行個體的2個IP地址作為客戶網關的IP地址。客戶網關

  2. 建立虛擬私人網關。

    您需要在AWS側建立虛擬私人網關,並將虛擬私人網關綁定到需要和阿里雲互連的VPC執行個體上。虛擬私人網關

  3. 建立網站到網站VPN串連。

    重要
    • 阿里雲和AWS平台下的IPsec-VPN串連均支援雙隧道模式,但由於AWS平台的兩條隧道預設關聯至同一個客戶網關,而阿里雲側兩條隧道擁有不同的IP地址,導致AWS平台和阿里雲側的兩條隧道無法做到一一對應建立串連。為確保阿里雲側IPsec-VPN串連下兩條隧道同時啟用,您需要在AWS平台建立兩個網站到網站的VPN串連,每個網站到網站VPN串連關聯不同的客戶網關。

    • 為網站到網站VPN串連配置路由時,您除了要指定阿里雲VPC網段外,還需要指定100.104.0.0/16網段,DTS服務將使用該網段下的地址同步資料。

    下圖展示其中一個網站到網站VPN串連的配置,隧道選項配置使用預設值。另一個網站到網站VPN串連關聯與當前VPN串連不同的客戶網關,其餘配置與當前VPN串連相同。VPN串連

    網站到網站VPN串連建立完成後,您可以查看VPN串連下的隧道地址資訊,用於後續在阿里雲側建立IPsec-VPN串連。隧道地址

    本文中,2個VPN串連隧道1的外部IP地址以及關聯的客戶網關IP地址如下表所示:

    網站到網站VPN串連

    隧道

    外部IP地址

    關聯的客戶網關IP地址

    網站到網站VPN串連1

    Tunnel 1

    3.XX.XX.5

    8.XX.XX.130

    網站到網站VPN串連2

    Tunnel 1

    3.XX.XX.239

    47.XX.XX.27

  4. 配置路由傳播。

    您需要在虛擬私人網關關聯的VPC執行個體的路由表下開啟路由傳播,以確保網站到網站VPN串連下的路由可以自動傳播到VPC執行個體的路由表中。AWS路由傳播.png

    AWS VPC路由表中將包含阿里雲VPC網段以及DTS服務使用的網段。VPC路由表

步驟三:在阿里雲部署VPN網關

在AWS平台完成VPN配置後,請根據以下資訊在阿里雲側部署VPN網關,以便AWS VPC和阿里雲VPC之間建立IPsec-VPN串連。

  1. 建立使用者網關。

    1. 登入VPN網關管理主控台

    2. 在左側導覽列,選擇網間互聯 > VPN > 使用者網關

    3. 在頂部功能表列選擇使用者網關的地區。

      使用者網關地區需和VPN網關執行個體的地區相同。

    4. 使用者網關頁面,單擊建立使用者網關

    5. 建立使用者網關面板,根據以下資訊進行配置,然後單擊確定

      您需要建立兩個使用者網關,並將AWS平台網站到網站VPN串連的隧道外部IP地址作為使用者網關的IP地址,以建立兩個加密隧道。以下僅列舉本文強相關配置項,其餘配置保持預設值或為空白。更多資訊,請參見建立和系統管理使用者網關

      重要

      僅使用每個網站到網站VPN串連的Tunnel1的外部IP地址作為使用者網關的地址。每個網站到網站VPN串連的Tunnel2的外部IP地址預設不使用,IPsec-VPN串連建立完成後,每個網站到網站VPN串連的Tunnel2預設不通。

      配置項

      說明

      使用者網關1

      使用者網關2

      名稱

      輸入使用者網關的名稱。

      輸入使用者網關1

      輸入使用者網關2

      IP地址

      輸入AWS平台隧道的外部IP地址。

      輸入3.XX.XX.5

      輸入3.XX.XX.239

  2. 建立IPsec串連。

    1. 在左側導覽列,選擇網間互聯 > VPN > IPsec串連

    2. 在頂部功能表列選擇IPsec串連的地區。

      IPsec串連的地區需和VPN網關執行個體的地區相同。

    3. IPsec串連頁面,單擊建立IPsec串連

    4. 建立IPsec串連頁面,根據以下資訊配置IPsec串連,然後單擊確定

      配置項

      說明

      本文樣本值

      名稱

      輸入IPsec串連的名稱。

      輸入IPsec串連

      資源群組

      選擇VPN網關執行個體所屬的資源群組。

      選擇預設資源群組。

      綁定資源

      選擇IPsec串連綁定的資源類型。

      選擇VPN網關

      VPN網關

      選擇IPsec串連關聯的VPN網關執行個體。

      選擇已建立的VPN網關

      路由模式

      選擇路由模式。

      • 目的路由模式:基於目的IP地址路由和轉寄流量。

      • 感興趣流模式:基於源IP地址和目的IP地址精確的路由和轉寄流量。

      選擇感興趣流模式

      本端網段

      輸入VPN網關執行個體關聯的VPC執行個體下的網段。

      輸入以下兩個網段:

      • VPC網段:10.0.0.0/16

      • DTS網段:100.104.0.0/16

      重要

      您需要將DTS使用的位址區段也添加到本端網段中,以便DTS通過VPN網關訪問對端的資料庫。

      關於DTS位址區段的更多資訊,請參見添加DTS伺服器的IP位址區段

      對端網段

      輸入VPN網關執行個體關聯的VPC執行個體要訪問的對端的網段。

      輸入192.168.0.0/16

      立即生效

      選擇IPsec串連的配置是否立即生效。取值:

      • :配置完成後立即進行協商。

      • :當有流量進入時進行協商。

      選擇

      啟用BGP

      如果IPsec串連需要使用BGP路由協議,需要開啟BGP功能的開關,系統預設關閉BGP功能。

      本文保持預設值,即不開啟BGP功能。

      Tunnel 1

      為隧道1(主隧道)添加VPN相關配置。

      系統預設隧道1為主隧道,隧道2為備隧道,且不支援修改。

      使用者網關

      為主隧道添加待關聯的使用者網關執行個體。

      選擇使用者網關1

      預先共用金鑰

      輸入主隧道的認證密鑰,用於身份認證。

      • 密鑰長度為1~100個字元,支援數字、大小寫英文字母及右側字元~`!@#$%^&*()_-+={}[]\|;:',.<>/?

      • 若您未指定預先共用金鑰,系統會隨機產生一個16位的字串作為預先共用金鑰。

      重要

      隧道及其對端網關裝置配置的預先共用金鑰需一致,否則系統無法正常建立IPsec-VPN串連。

      當前隧道的認證密鑰需和串連的AWS平台隧道的密鑰一致。

      加密配置

      添加IKE配置、IPsec配置、DPD、NAT穿越等配置。

      • IKE配置SA生存周期(秒)需與AWS平台保持一致,本文設定為28800。

      • IPsec配置SA生存周期(秒)需與AWS平台保持一致,本文設定為3600。

      其餘配置項使用預設值。關於預設值的說明,請參見建立和管理IPsec串連(雙隧道模式)

      Tunnel 2

      為隧道2(備隧道)添加VPN相關配置。

      使用者網關

      為備隧道添加待關聯的使用者網關執行個體。

      選擇使用者網關2

      預先共用金鑰

      輸入備隧道的認證密鑰,用於身份認證。

      當前隧道的認證密鑰需和串連的AWS平台隧道的密鑰一致。

      加密配置

      添加IKE配置、IPsec配置、DPD、NAT穿越等配置。

      • IKE配置SA生存周期(秒)需與AWS平台保持一致,本文設定為28800。

      • IPsec配置SA生存周期(秒)需與AWS平台保持一致,本文設定為3600。

      其餘配置項使用預設值。關於預設值的說明,請參見建立和管理IPsec串連(雙隧道模式)

      標籤

      為IPsec串連添加標籤。

      保持為空白。

    5. 建立成功對話方塊中,單擊取消

  3. 配置VPN網關路由。

    建立IPsec串連後需要為VPN網關執行個體配置路由。建立IPsec串連時,如果路由模式您選擇了感興趣流模式,在IPsec串連建立完成後,系統會自動在VPN網關執行個體下建立策略路由,路由是未發布狀態。您需要執行本操作,將VPN網關執行個體下的策略路由發布至VPC中。

    1. 在左側導覽列,選擇網間互聯 > VPN > VPN網關

    2. 在頂部功能表列,選擇VPN網關執行個體的地區。

    3. VPN網關頁面,單擊目標VPN網關執行個體ID。

    4. 在VPN網關執行個體詳情頁面單擊策略路由表頁簽,找到目標路由條目,在操作列單擊發布

    5. 發布路由對話方塊,單擊確定

    阿里雲VPC的路由表中將會包含AWS VPC的網段。VPC路由表1