名詞解釋

• 專有網絡VPC：專有網絡VPC（Virtual Private Cloud）是用戶基于阿里云創建的自定義私有網絡，不同的專有網絡之間二層邏輯隔離，用戶可以在自己創建的專有網絡內創建和管理云產品實例，比如ECS、負載均衡、RDS等。

• VPN網關：VPN網關是一款網絡連接服務，通過建立加密通道的方式實現企業本地數據中心、企業辦公網絡或者互聯網客戶端與阿里云專有網絡VPC之間安全可靠的私網連接。VPN網關提供IPsec-VPN和SSL-VPN兩種網絡連接方式，不同的網絡連接方式適用于不同的應用場景。更多詳情請參見什么是VPN網關。

• IPsec-VPN：IPsec-VPN是一種基于路由的網絡連接技術，提供靈活的流量路由方式，方便您配置和維護VPN策略，適用于在企業本地數據中心或企業辦公網絡與VPC之間建立網絡連接。

場景示例

某企業在金融云華東1（杭州）地域擁有一個VPC1，在公有云華南1（深圳）地域擁有一個VPC2。兩個VPC均已在各地域云服務器ECS（Elastic Compute Service）部署了業務，企業因后續發展，現在需要將公有云華南1（深圳）地域的RDS實例通過專線接入到金融云華東1（杭州）地域的DBS中，并采用專線配置DBS邏輯備份計劃，便于后續備份和恢復數據。

前提條件

• 已創建DBS備份計劃。創建方法請參見創建備份計劃。本文以金融云華東1（杭州）地域的DBS邏輯備份計劃為示例。

• 已創建RDS MySQL實例。創建方法請參見快速創建RDS MySQL實例。本文以公有云華南1（深圳）地域的RDS MySQL實例為示例。

• 您已經在金融云華東1（杭州）地域和公有云華南1（深圳）地域分別創建了VPC1和VPC2，兩個VPC中均使用ECS部署了相關業務。具體操作，請參見搭建IPv4專有網絡。

  本示例VPC1和VPC2的配置如下表所示。

  說明

  您可以按需規劃VPC實例的網段，請確保要互通的網段之間沒有重疊。

  VPC實例名稱	環境	VPC實例所屬地域	VPC實例的網段	ECS實例名稱	ECS實例的IP地址
  VPC1	金融云	華東1（杭州） 說明 DBS備份計劃所在地。	192.168.0.0/16 說明 根據ECS實例私網IP地址設置。	ECS1	192.XXX.XX.3
  VPC2	公有云	華南1（深圳） 說明 RDS MySQL實例所在地。	172.18.0.0/16	ECS2	172.XXX.XX.112

配置流程

1. 步驟一：創建VPN網關

2. 步驟二：創建用戶網關

3. 步驟三：創建IPsec連接

4. 步驟四：檢查或配置路由

5. 步驟五：采用專線配置備份計劃

步驟一：創建VPN網關

1. 登錄VPN網關管理控制臺。

2. 在頂部菜單欄，選擇VPN網關實例所屬的地域。

   此處以配置金融云華東1（杭州）地域的VPN網關為例介紹配置流程，公有云華南1（深圳）地域的配置流程與該配置類似。

   說明

   VPN網關實例的地域和待關聯的VPC實例的地域需相同。

3. 在VPN網關頁面，單擊創建VPN網關。

4. 在購買頁面，根據以下信息配置VPN網關，然后單擊立即購買并完成支付。

   配置項	說明
   實例名稱	輸入VPN網關實例的名稱。本示例輸入VPN網關1。
   地域和可用區	選擇VPN網關實例所屬的地域。本示例選擇華東1（杭州）。
   網關類型	選擇VPN網關實例的類型。本示例選擇普通型。
   VPC	選擇已創建的專有網絡VPC。
   指定交換機	是否指定VPN網關創建在VPC實例中的某一個交換機下。本示例選擇否。
   帶寬規格	選擇VPN網關實例的公網帶寬峰值。單位：Mbps。
   IPsec-VPN	選擇開啟或關閉IPsec-VPN功能。本示例選擇開啟。
   SSL-VPN	選擇開啟或關閉SSL-VPN功能。本示例選擇關閉。
   計費周期	選擇購買時長。 您可以選擇是否自動續費： 按月購買：自動續費周期為1個月。 按年購買：自動續費周期為1年。
   服務關聯角色	單擊創建關聯角色，系統自動創建服務關聯角色AliyunServiceRoleForVpn。 VPN網關使用此角色來訪問其他云產品中的資源，更多信息，請參見AliyunServiceRoleForVpn。 若本配置項顯示為已創建，則表示您的賬號下已創建了該角色，無需重復創建。

   更多信息，請參見創建VPN網關實例。

5. 返回VPN網關頁面，查看已創建的VPN網關實例。

   創建VPN網關實例后，其狀態是準備中，約1~5分鐘會變成正常狀態。正常狀態表明VPN網關實例已經完成了初始化，可以正常使用。

6. 重復步驟2到步驟5的操作，在公有云華南1（深圳）地域創建一個名稱為VPN網關2的VPN網關實例，該VPN網關實例關聯VPC2，其余配置與VPN網關1相同。

   VPN網關創建完成后，兩個VPN網關實例的信息如下表所示。

   環境	地域	VPN網關實例的名稱	VPN網關實例關聯的VPC實例名稱	VPN網關實例ID	VPN網關IP地址
   金融云	華東1（杭州）	VPN網關1	VPC1	vpn-bp1mkxa7nbclxe4my****	116.XXX.XX.151
   公有云	華南1（深圳）	VPN網關2	VPC2	vpn-bp16lmik5zrlkev5e0elv****	39.XXX.XX.149

步驟二：創建用戶網關

1. 在左側導航欄，選擇網間互聯 > VPN > 用戶網關。

2. 在頂部菜單欄，選擇用戶網關實例的地域。

   說明

   用戶網關實例的地域必須和待連接的VPN網關實例的地域相同。

3. 在用戶網關頁面，單擊創建用戶網關。

4. 在創建用戶網關面板，根據以下信息配置用戶網關實例，然后單擊確定。

   您需要在金融云華東1（杭州）地域和公有云華南1（深圳）地域分別創建一個用戶網關實例，用戶網關實例的配置請參見下表。

   配置項	配置項說明	金融云華東1（杭州）	公有云華南1（深圳）
   名稱	輸入用戶網關實例的名稱。	Customer1	Customer2
   IP地址	輸入用戶網關實例的公網IP地址。	本示例輸入VPN網關2的IP地址39.XXX.XX.149。 說明 在本示例中VPN1和VPN2互為對方的用戶網關。	本示例輸入VPN網關1的IP地址116.XXX.XX.151。

   更多信息，請參見創建和管理用戶網關。

   配置完成后，VPN網關實例、用戶網關實例與VPC實例之間的對應關系如下表所示。

   地域	VPC實例名稱	VPN網關實例名稱	用戶網關實例名稱	用戶網關實例ID	用戶網關IP地址
   金融云華東1（杭州）	VPC1	VPN網關1	Customer1	cgw-bp1whkahxvxh7zm7u****	39.XXX.XX.149
   公有云華南1（深圳）	VPC2	VPN網關2	Customer2	cgw-m5e6qdvuxquse3fvm****	116.XXX.XX.151

步驟三：創建IPsec連接

您需要在金融云華東1（杭州）地域和公有云華南1（深圳）地域分別創建IPsec連接，此處以配置金融云華東1（杭州）地域的IPsec連接為例介紹配置流程，公有云華南1（深圳）地域的配置流程與該配置類似。

1. 在左側導航欄，選擇網間互聯 > VPN > IPsec連接。

2. 在頂部菜單欄，選擇IPsec連接的地域。

   說明

   IPsec連接的地域必須和要連接的VPN網關的地域相同。

3. 在IPsec連接頁面，單擊創建IPsec連接。

4. 在創建IPsec連接頁面，根據以下信息配置IPsec連接，然后單擊確定，配置項說明請參見下表。

   說明

   請確保金融云華東1（杭州）地域和公有云華南1（深圳）地域的預共享密鑰、IKE配置、IPsec配置必須保持一致。

   配置項	配置項名稱	配置項說明
   基本配置	名稱	輸入IPsec連接的名稱。 本文輸入IPsec連接1。
   	VPN網關	選擇已創建的VPN網關實例。 本文選擇VPN網關1。
   	用戶網關	選擇已創建的用戶網關實例。 本文選擇用戶網關1。
   	路由模式	選擇感興趣流模式：基于源IP地址和目的IP地址精確的路由和轉發流量。 選擇感興趣流模式后，您需要配置本端網段和對端網段。IPsec連接配置完成后，系統自動在VPN網關實例的策略路由表中添加策略路由。 系統在VPN網關實例的策略路由表中添加策略路由后，路由默認是未發布狀態。您可以依據網絡互通需求決定是否將路由發布至VPC的路由表中。具體操作，請參見發布策略路由。
   	本端網段	請輸入金融云華東1（杭州）地域的VPC網段、金融云華東1（杭州）地域VPC的Server網段、華東1（杭州）地域的DBS IP網段，用于第二階段協商。 單擊文本框右側的圖標，可添加多個需要和本地互通的網段信息。 說明 金融云各地域VPC的Server網段，請參見金融云Server網段。 各地域的DBS IP網段，請參見DBS IP地址段。 僅當創建備份計劃的金融云地域作為本端時，需要配置如上所述3個網段；當另一公有云地域作為本端時僅需要配置一個互聯的VPC網段。 如果您配置了多個網段，則后續IKE協議的版本需要選擇為ikev2。
   	對端網段	請輸入公有云華南1（深圳）地域的VPC網段，用于第二階段協商。 單擊文本框右側的圖標，可添加多個需要和本地互通的網段信息。 說明 如果您配置了多個網段，則后續IKE協議的版本需要選擇為ikev2。
   	立即生效	選擇是否立即生效。 是：配置完成后立即進行協商。 否：當有流量進入時進行協商。 本文選擇是。
   	預共享密鑰	輸入預共享密鑰。 如果不輸入該值，系統默認生成一個16位的隨機字符串。 重要 此處需注意，請保證金融云華東1（杭州）地域預共享密鑰和公有云華南1（深圳）地域的預共享密鑰一致。
   IKE配置	版本	選擇IKE協議的版本。本示例選擇ikev2。 ikev1 ikev2 目前系統支持IKEv1和IKEv2，相對于IKEv1版本，IKEv2版本簡化了SA的協商過程并且對于多網段的場景提供了更好的支持，所以建議選擇IKEv2版本。
   	協商模式	選擇協商模式。 本示例選擇main。 main：主模式，協商過程安全性高。 aggressive：野蠻模式，協商快速且協商成功率高。 協商成功后兩種模式的信息傳輸安全性相同。
   	加密算法	選擇第一階段協商使用的加密算法。本示例選擇3des。
   	認證算法	選擇第一階段協商使用的認證算法。本示例選擇md5。
   	DH分組	選擇第一階段協商的Diffie-Hellman密鑰交換算法。本示例選擇group2。
   	SA生存周期（秒）	設置第一階段協商出的SA的生存周期。單位：秒。默認值：86400。取值范圍：0~86400。
   	LocalId	為IPsec連接阿里云側的標識，用于第一階段的協商。 輸入IPsec連接本地數據中心側的標識。默認值為用戶網關的IP地址。 該參數僅作為標識符用于在IPsec-VPN連接協商中標識本地數據中心，無其他作用。支持使用IP地址格式或FQDN（Fully Qualified Domain Name）格式，不能包含空格。推薦使用私網IP地址作為IPsec連接本地數據中心側的標識。 如果RemoteId使用了FQDN格式，例如輸入example.aliyun.com，則本地數據中心側IPsec連接的本端ID需與RemoteId的值保持一致，協商模式建議選擇為aggressive（野蠻模式）。
   	RemoteId	為IPsec連接本地數據中心側的標識，用于第一階段的協商。默認值為用戶網關的IP地址。 該參數僅作為標識符用于在IPsec-VPN連接協商中標識本地數據中心，無其他作用。支持使用IP地址格式或FQDN（Fully Qualified Domain Name）格式，不能包含空格。推薦使用私網IP地址作為IPsec連接本地數據中心側的標識。
   IPsec配置	加密算法	選擇第二階段協商的加密算法。本示例選擇3des。
   	認證算法	選擇第二階段協商的認證算法。本示例選擇md5。
   	DH分組	選擇第二階段協商的Diffie-Hellman密鑰交換算法。本示例選擇group2。 disabled：表示不使用DH密鑰交換算法。 對于不支持PFS的客戶端請選擇disabled。 如果選擇為非disabled的任何一個組，會默認開啟完美向前加密PFS（Perfect Forward Secrecy）功能，使得每次重協商都要更新密鑰，因此，相應的客戶端也要開啟PFS功能。 group1：表示DH分組中的DH1。 group2（默認值）：表示DH分組中的DH2。 group5：表示DH分組中的DH5。 group14：表示DH分組中的DH14。
   	SA生存周期（秒）	設置第二階段協商出的SA的生存周期。單位：秒。默認值：86400。取值范圍：0~86400。
   	DPD	選擇開啟或關閉對等體存活檢測功能。DPD功能默認開啟。
   	NAT穿越	選擇開啟或關閉NAT穿越功能。NAT穿越功能默認開啟。

   其他選項使用默認配置。更多信息，請參見創建和管理IPsec連接（單隧道模式）。

5. 重復步驟2到步驟4的操作，在公有云華南1（深圳）地域創建一個名稱為IPsec連接2的連接實例。請確保公有云華南1（深圳）地域的預共享密鑰、IKE配置、IPsec配置與金融云華東1（杭州）地域這幾個配置項必須保持一致。

   創建完成后，兩個IPsec連接實例的本端/對端信息如下表所示。

   環境	地域	本端網段	對端網段
   金融云	華東1（杭州）	金融云華東1（杭州）VPC網段：192.168.0.0/16 金融云華東1（杭州）VPC的Server網段：100.104.255.64/26 華東1（杭州）DBS IP網段：100.104.217.0/24	公有云華南1（深圳）VPC網段：172.18.0.0/16
   公有云	華南1（深圳）	公有云華南1（深圳）VPC網段：172.18.0.0/16	金融云華東1（杭州）VPC網段：192.168.0.0/16 金融云華東1（杭州）VPC的Server網段：100.104.255.64/26 華東1（杭州）DBS IP網段：100.104.217.0/24

步驟四：檢查或配置路由

1. 在左側導航欄，選擇網間互聯 > VPN > VPN網關。

2. 在頂部菜單欄，選擇VPN網關實例的地域。

3. 在VPN網關頁面，找到目標VPN網關實例，單擊實例ID。

4. 單擊策略路由表頁簽，檢查路由配置是否包含所有目的端和對端網絡，以及所有路由的狀態是否已發布。

   您需要分別檢查華東1（杭州）地域和華南1（深圳）地域的路由配置情況。

   說明

   如果有遺漏的路由策略，您可在此頁面單擊添加路由條目，在添加路由條目面板中，配置路由信息并單擊確定。配置說明如下：

   配置項	配置說明
   目標網段	輸入待互通的目標網段。
   下一跳類型	選擇下一跳的類型。選擇IPsec連接。
   下一跳	選擇下一跳。本示例選擇IPsec連接1。
   發布到VPC	選擇是否將新添加的路由發布到VPN網關關聯的VPC中。本示例選擇是。
   權重	選擇路由的權重值。本示例保持默認值100。 100：高優先級。 0：低優先級。

   更多信息，請參見添加目的路由。

步驟五：采用專線配置備份計劃

完成上述配置后，您可以通過以下步驟，將公有云華南1（深圳）地域下RDS實例通過專線接入金融云華東1（杭州）地域下的DBS備份計劃。

1. 登錄數據管理DMS 5.0。

2. 在頂部菜單欄中，選擇安全與規范（DBS） > 數據災備（DBS） > 備份計劃。

   說明

   若您使用的是極簡模式的控制臺，請單擊控制臺左上角的圖標，選擇全部功能 > 安全與規范（DBS） > 數據災備（DBS） > 備份計劃。

3. 找到目標備份計劃ID，單擊右側操作列下的配置備份計劃。

4. 在配置備份源和目標頁面，配置備份源信息與備份目標信息，并單擊頁面右下角的下一步。

   

   類別	配置	說明
   無	備份計劃名稱	DBS會自動生成一個任務名稱，建議配置具有業務意義的名稱（無唯一性要求），便于后續識別。
   備份源信息	備份方式	默認為創建計劃時購買的備份方式，本文為MySQL邏輯備份。
   	數據庫所在位置	請選擇通過專線/VPN網關/智能網關接入的自建數據庫。
   	數據庫類型	默認為購買的數據庫類型，本示例為MySQL。
   	對端專有網絡	選擇金融云華東1（杭州）地域所創建的專有網絡VPC。
   	連接地址	填寫公有云華南1（深圳）地域下RDS MySQL數據庫實例的私網連接地址。
   	端口	填寫公有云華南1（深圳）地域下RDS MySQL數據庫實例的連接端口，MySQL默認端口為3306。
   	數據庫賬號	填入數據庫賬號，該賬號需要具備一定的權限用于備份數據庫。更多信息，請參見賬號權限說明。
   	密碼	填入該數據庫賬號對應的密碼。 賬號密碼填寫完畢后，您可以單擊密碼右側的測試連接來驗證填入的數據庫信息是否正確。源庫信息填寫正確則提示測試通過；如果提示測試失敗，單擊測試失敗后的診斷，根據提示調整填寫的源庫信息。
   	數據跨境合規承諾	閱讀并勾選合規承諾。
   備份目標信息	備份目標存儲類型	備份目標存儲類型，支持： DBS內置存儲（推薦）：無需創建存儲空間，數據將自動存入DBS內置存儲中，會根據存入DBS的數據量產生費用，計費方式請參見數據災備（DBS）備份計劃。 用戶OSS：您需要提前在OSS中創建存儲空間（Bucket），更多信息，請參見控制臺創建存儲空間。 說明 本示例為選擇DBS內置存儲，當您選擇用戶OSS時，您還需額外配置對象存儲OSS Bucket名稱參數，且只支持OSS標準存儲。 當您的存儲數據量較大時，推薦您購買DBS存儲包（包年包月）抵扣DBS內置存儲費用。相比按量付費，DBS存儲包更加優惠。
   	存儲方式	請選擇存儲方式，當前支持： 內置加密存儲（推薦）：使用行業標準的AES256算法（即256位高級加密標準）進行加密存儲。 在對象存儲OSS中支持服務器端加密功能。上傳文件（Object）時，OSS對收到的文件進行加密，再將得到的加密文件持久化保存；下載文件時，OSS自動將加密文件解密后返回給用戶。更多信息，請參見服務器端加密。 非加密存儲：不開啟加密。

5. 在配置備份對象頁面，將需要備份的庫或者表移動到已選擇數據庫對象框中，單擊下一步。

   說明

   • 邏輯備份：備份部分庫表，支持單表、單庫及多庫，您可單擊頁面左下角的全選中選中現有所有庫，各個數據庫支持備份的對象不同，更多信息請參見支持的數據庫類型與功能。備份任務默認不支持后續新創建的數據庫，如需備份該庫，您可在備份計劃配置中添加該庫便于后續備份，具體操作請參見修改備份對象。

   • 物理備份：僅支持備份整個實例。

6. 在配置備份時間頁面，配置備份時間等信息，并單擊頁面右下角的下一步。

   配置	說明
   全量備份頻率	按需選擇周期備份或單次備份。 說明 需要恢復增量數據的場景，建議選擇周期備份，一周至少做一次全量備份。否則恢復時需要回放大量binlog，會有很大幾率出現恢復異常，恢復RTO（Recovery Time Objective）長，恢復失敗的情況。
   全量備份周期	全量備份頻率為周期備份時必選。勾選備份數據的周期，每周最少選擇一天進行數據備份。
   全量備份開始時間	全量備份頻率為周期備份時必選。選擇備份開始時間，例如01:00，建議設置為業務低峰期。 說明 若到了指定備份時間點，仍有上次的全量備份任務在進行中，則會自動跳過一次備份。
   增量備份	選擇是否開啟增量備份，開啟該參數時，請確保目標數據庫已開啟Binlog。 說明 該參數僅在全量備份頻率參數為周期備份時顯示。 RDS MySQL已默認開啟Binlog，自建數據庫需要手動開啟Binlog。
   全量備份并行線程數上限	填寫全量備份并行線程數上限，您可以通過設置該參數調節備份速度，例如降低備份線程數，以減少對數據庫的影響。
   備份網絡限速	網絡帶寬限制（默認為0，表示不限速），單位為MB/s，取值不限。 說明 該參數僅在備份MySQL數據庫時顯示。

7. 在配置生命周期頁面，輸入全量備份數據的保存時間。

   說明

   若您在上一步開啟了增量備份功能，您還需要配置增量備份數據的備份時間。

8. 完成上述配置后，單擊頁面右下角的預檢查并啟動。

9. 在預檢查對話框中顯示預檢查通過100%后，單擊立即啟動。

   說明

   待備份計劃狀態變為運行中，備份計劃配置完成。

相關操作

• 備份完成后，后續您可以按需查看或修改備份計劃的備份策略、恢復數據等。具體操作，請參見管理備份計劃或恢復數據庫。

• 如果遇到備份任務異常等情況，請參見或常見報錯。

DBS IP地址段

金融云Server網段