在配置數據遷移、數據同步或數據訂閱時,如果源或目標庫為通過VPN網關接入的自建數據庫,您需要配置DTS與VPN網關間的路由,允許DTS訪問該網絡。
場景示例
本文以下述場景為例。某企業在阿里云華北5(呼和浩特)地域擁有一個VPC,并在呼和浩特地域擁有一個本地數據中心,企業在本地數據中心和VPC下均創建了數據庫。企業希望本地數據中心的數據可以被自動同步到阿里云VPC下的數據庫中。
企業可以通過公網網絡類型的VPN網關在本地數據中心和VPC之間建立IPsec-VPN連接,實現本地數據中心和VPC之間的加密互通,然后在本地數據中心和VPC之間加密互通的基礎上使用DTS實現本地數據中心下的數據自動同步至VPC的數據庫中。
前提條件
您已經在阿里云華北5(呼和浩特)地域創建一個VPC,VPC下通過云服務器 ECS(Elastic Compute Service)部署了數據庫。具體操作,請參見搭建IPv4專有網絡。
本文中本地數據中心和VPC的網絡配置如下表所示。
您可以自行規劃VPC實例的網段,請確保本地數據中心和VPC之間要互通的網段沒有重疊。
資源 | 要互通的網段 | IP地址 | 數據庫賬號 |
本地數據中心 | 172.16.0.0/12 |
|
|
VPC | 10.0.0.0/8 | 數據庫所屬ECS實例的IP地址:10.0.0.252 |
|
配置流程
步驟一:創建VPN網關
登錄VPN網關管理控制臺。
在頂部菜單欄,選擇VPN網關的地域。
VPN網關的地域需和待綁定的VPC實例的地域相同。
在VPN網關頁面,單擊創建VPN網關。
在購買頁面,根據以下信息配置VPN網關,然后單擊立即購買并完成支付。
配置項
說明
本文示例值
實例名稱
輸入VPN網關實例的名稱。
輸入VPNGW。
資源組
選擇VPN網關實例所屬的資源組。
如果不選擇,VPN網關實例創建后將歸屬于默認資源組。
本文保持為空。
地域和可用區
選擇VPN網關實例所屬的地域。
選擇華北5(呼和浩特)。
網關類型
選擇VPN網關實例的網關類型。
選擇普通型。
網絡類型
選擇VPN網關實例的網絡類型。
公網:VPN網關通過公網建立VPN連接。
私網:VPN網關通過私網建立VPN連接。
選擇公網。
隧道
系統直接展示當前地域IPsec-VPN連接支持的隧道模式。
雙隧道
單隧道
關于單隧道和雙隧道的說明,請參見【升級公告】IPsec-VPN連接升級為雙隧道模式。
本文保持默認值雙隧道。
VPC
選擇VPN網關實例關聯的VPC實例。
選擇阿里云華北5(呼和浩特)地域的VPC實例。
虛擬交換機
從VPC實例中選擇一個交換機實例。
IPsec-VPN連接的隧道模式為單隧道時,您僅需要指定一個交換機實例。
IPsec-VPN連接的隧道模式為雙隧道時,您需要指定兩個交換機實例。
IPsec-VPN功能開啟后,系統會在兩個交換機實例下各創建一個彈性網卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN連接與VPC流量互通的接口。每個ENI會占用交換機下的一個IP地址。
說明系統默認幫您選擇第一個交換機實例,您可以手動修改或者直接使用默認的交換機實例。
創建VPN網關實例后,不支持修改VPN網關實例關聯的交換機實例,您可以在VPN網關實例的詳情頁面查看VPN網關實例關聯的交換機、交換機所屬可用區以及交換機下ENI的信息。
選擇VPC實例下的一個交換機實例。
虛擬交換機2
從VPC實例中選擇第二個交換機實例。
您需要從VPN網關實例關聯的VPC實例下指定兩個分布在不同可用區的交換機實例,以實現IPsec-VPN連接可用區級別的容災。
對于僅支持一個可用區的地域 ,不支持可用區級別的容災,建議您在該可用區下指定兩個不同的交換機實例以實現IPsec-VPN連接的高可用,支持選擇和第一個相同的交換機實例。
說明如果VPC實例下沒有第二個交換機實例,您可以新建交換機實例。具體操作,請參見創建和管理交換機。
選擇VPC實例下的第二個交換機實例。
帶寬規格
選擇VPN網關實例的帶寬規格。單位:Mbps。
本文使用默認值。
IPsec-VPN
選擇開啟或關閉IPsec-VPN功能。默認值:開啟。
選擇開啟IPsec-VPN功能。
SSL-VPN
選擇開啟或關閉SSL-VPN功能。默認值:關閉。
選擇關閉SSL-VPN功能。
計費周期
選擇購買時長。
您可以選擇是否自動續費:
按月購買:自動續費周期為1個月。
按年購買:自動續費周期為1年。
本文使用默認值。
服務關聯角色
單擊創建關聯角色,系統自動創建服務關聯角色AliyunServiceRoleForVpn。
VPN網關使用此角色來訪問其他云產品中的資源,更多信息,請參見。
若本配置項顯示為已創建,則表示您當前賬號下已創建了該角色,無需重復創建。
根據需求創建服務關聯角色或跳過本配置項。
返回VPN網關頁面,查看已創建的VPN網關實例。
創建VPN網關實例后,其狀態是準備中,約1~5分鐘會變成正常狀態。正常狀態表明VPN網關實例已經完成了初始化,可以正常使用。
系統會為公網網絡類型的VPN網關實例分配兩個不同的公網IP地址,用于建立兩個加密隧道。本文中系統分配的兩個公網IP地址如下表:
VPN網關實例的名稱
VPN網關實例ID
IPsec-VPN連接隧道公網IP地址
VPNGW
vpn-bp1ox1xu1jo8m1ph0****
47.XX.XX.3
47.XX.XX.169
步驟二:創建用戶網關
在左側導航欄,選擇。
在頂部菜單欄選擇用戶網關的地域。
用戶網關地域需和VPN網關實例的地域相同。
在用戶網關頁面,單擊創建用戶網關。
在創建用戶網關面板,根據以下信息進行配置,然后單擊確定。
您需要創建兩個用戶網關用于創建兩個加密隧道。以下僅列舉本文強相關配置項,其余配置保持默認值或為空。更多信息,請參見創建和管理用戶網關。
配置項
說明
用戶網關1
用戶網關2
名稱
輸入用戶網關的名稱。
輸入CustomerGW1。
輸入CustomerGW2。
IP地址
輸入本地數據中心的網關設備的公網IP地址。
輸入211.XX.XX.36。
輸入211.XX.XX.71。
步驟三:創建IPsec連接
VPN網關和用戶網關創建完成后,您需要在VPN網關實例下創建IPsec連接以建立VPN加密隧道。根據IPsec連接使用的IKE版本不同,需要執行不同的操作步驟。
使用IKEv2版本
在左側導航欄,選擇。
在頂部菜單欄選擇IPsec連接的地域。
IPsec連接的地域需和VPN網關實例的地域相同。
在IPsec連接頁面,單擊創建IPsec連接。
在創建IPsec連接頁面,根據以下信息配置IPsec連接,然后單擊確定。
配置項
說明
本文示例值
名稱
輸入IPsec連接的名稱。
輸入IPsec-Connection。
綁定資源
選擇IPsec連接綁定的資源類型。
選擇VPN網關。
VPN網關
選擇IPsec連接關聯的VPN網關實例。
選擇VPNGW。
路由模式
選擇路由模式。
目的路由模式:基于目的IP地址路由和轉發流量。
感興趣流模式:基于源IP地址和目的IP地址精確的路由和轉發流量。
選擇感興趣流模式。
本端網段
輸入VPN網關實例關聯的VPC實例下的網段。
輸入以下兩個網段:
VPC網段:10.0.0.0/8
DTS網段:100.104.0.0/16
重要您需要將DTS使用的地址段也添加到本端網段中,以便DTS通過VPN網關訪問對端的數據庫。
關于DTS地址段的更多信息,請參見添加DTS服務器的IP地址段。
對端網段
輸入VPN網關實例關聯的VPC實例要訪問的對端的網段。
輸入172.16.0.0/12。
立即生效
選擇IPsec連接的配置是否立即生效。取值:
是:配置完成后立即進行協商。
否:當有流量進入時進行協商。
選擇是。
BGP配置
如果IPsec連接需要使用BGP路由協議,需要打開BGP配置的開關,系統默認關閉BGP配置。
本文保持默認值,即不開啟BGP配置。
Tunnel 1
為隧道1(主隧道)添加VPN相關配置。
系統默認隧道1為主隧道,隧道2為備隧道,且不支持修改。
用戶網關
為主隧道添加待關聯的用戶網關實例。
選擇CustomerGW1。
預共享密鑰
輸入主隧道的認證密鑰,用于身份認證。
密鑰長度為1~100個字符,支持數字、大小寫英文字母及右側字符
~`!@#$%^&*()_-+={}[]\|;:',.<>/?。若您未指定預共享密鑰,系統會隨機生成一個16位的字符串作為預共享密鑰。
重要隧道及其對端網關設備配置的預共享密鑰需一致,否則系統無法正常建立IPsec-VPN連接。
輸入fddsFF123****。
加密配置
添加IKE配置、IPsec配置、DPD、NAT穿越等配置。
本文保持默認值。關于默認值的說明,請參見創建和管理IPsec連接(雙隧道模式)。
Tunnel 2
為隧道2(備隧道)添加VPN相關配置。
用戶網關
為備隧道添加待關聯的用戶網關實例。
選擇CustomerGW2。
預共享密鑰
輸入備隧道的認證密鑰,用于身份認證。
輸入fddsFF456****。
加密配置
添加IKE配置、IPsec配置、DPD、NAT穿越等配置。
本文保持默認值。關于默認值的說明,請參見創建和管理IPsec連接(雙隧道模式)。
在創建成功對話框中,單擊確定。
保持在IPsec連接頁面,找到創建的IPsec連接,在操作列單擊生成對端配置。
對端配置是指需要在IPsec連接對端添加的VPN配置。本文場景中您需要將這些配置添加在本地網關設備上。
在IPsec連接配置對話框,復制配置并保存在您的本地,用于后續配置本地網關設備。
使用IKEv1版本
在左側導航欄,選擇。
在頂部菜單欄選擇IPsec連接的地域。
IPsec連接的地域需和VPN網關實例的地域相同。
在IPsec連接頁面,單擊創建IPsec連接。
在創建IPsec連接頁面,根據以下信息配置IPsec連接,然后單擊確定。
IPsec連接使用IKEv1版本時不支持添加多網段,您需要創建2個IPsec連接分別傳輸DTS流量和VPC的流量。
配置項
說明
IPsec連接1
IPsec連接2
名稱
輸入IPsec連接的名稱。
輸入IPsec-Connection1。
輸入IPsec-Connection2。
綁定資源
選擇IPsec連接綁定的資源類型。
選擇VPN網關。
選擇VPN網關。
VPN網關
選擇IPsec連接關聯的VPN網關實例。
選擇VPNGW。
選擇VPNGW。
路由模式
選擇路由模式。
目的路由模式:基于目的IP地址路由和轉發流量。
感興趣流模式:基于源IP地址和目的IP地址精確的路由和轉發流量。
選擇感興趣流模式。
選擇感興趣流模式。
本端網段
輸入VPN網關實例關聯的VPC實例下的網段。
輸入VPC網段:10.0.0.0/8
輸入DTS網段:100.104.0.0/16
重要您需要將DTS使用的地址段也添加到本端網段中,以便DTS通過VPN網關訪問對端的數據庫。
關于DTS地址段的更多信息,請參見添加DTS服務器的IP地址段。
對端網段
輸入VPN網關實例關聯的VPC實例要訪問的對端的網段。
輸入172.16.0.0/12。
輸入172.16.0.0/12。
立即生效
選擇IPsec連接的配置是否立即生效。取值:
是:配置完成后立即進行協商。
否:當有流量進入時進行協商。
選擇是。
選擇是。
BGP配置
如果IPsec連接需要使用BGP路由協議,需要打開BGP配置的開關,系統默認關閉BGP配置。
本文保持默認值,即不開啟BGP配置。
本文保持默認值,即不開啟BGP配置。
Tunnel 1
為隧道1(主隧道)添加VPN相關配置。
系統默認隧道1為主隧道,隧道2為備隧道,且不支持修改。
用戶網關
為主隧道添加待關聯的用戶網關實例。
選擇CustomerGW1。
選擇CustomerGW1。
預共享密鑰
輸入主隧道的認證密鑰,用于身份認證。
密鑰長度為1~100個字符,支持數字、大小寫英文字母及右側字符
~`!@#$%^&*()_-+={}[]\|;:',.<>/?。若您未指定預共享密鑰,系統會隨機生成一個16位的字符串作為預共享密鑰。
重要隧道及其對端網關設備配置的預共享密鑰需一致,否則系統無法正常建立IPsec-VPN連接。
輸入fddsFF123****。
輸入fddsFF123****。
加密配置
添加IKE配置、IPsec配置、DPD、NAT穿越等配置。
使用IKEv1版本,其余使用默認值。關于默認值的說明,請參見創建和管理IPsec連接(雙隧道模式)。
使用IKEv1版本,其余使用默認值。關于默認值的說明,請參見創建和管理IPsec連接(雙隧道模式)。
Tunnel 2
為隧道2(備隧道)添加VPN相關配置。
用戶網關
為備隧道添加待關聯的用戶網關實例。
選擇CustomerGW2。
選擇CustomerGW2。
預共享密鑰
輸入備隧道的認證密鑰,用于身份認證。
輸入fddsFF456****。
輸入fddsFF456****。
加密配置
添加IKE配置、IPsec配置、DPD、NAT穿越等配置。
使用IKEv1版本,其余使用默認值。關于默認值的說明,請參見創建和管理IPsec連接(雙隧道模式)。
使用IKEv1版本,其余使用默認值。關于默認值的說明,請參見創建和管理IPsec連接(雙隧道模式)。
在創建成功對話框中,單擊確定。
保持在IPsec連接頁面,找到創建的IPsec連接,在操作列單擊生成對端配置。
對端配置是指需要在IPsec連接對端添加的VPN配置。本文場景中您需要將這些配置添加在本地網關設備上。
在IPsec連接配置對話框,復制配置并保存在您的本地,用于后續配置本地網關設備。
步驟四:配置VPN網關路由
創建IPsec連接后需要為VPN網關實例配置路由以實現流量互通。創建IPsec連接時,如果路由模式您選擇了感興趣流模式,在IPsec連接創建完成后,系統會自動在VPN網關實例下創建策略路由,路由是未發布狀態。您需要執行本操作,將VPN網關實例下的所有策略路由均發布至VPC中。
在左側導航欄,選擇。
在頂部菜單欄,選擇VPN網關實例的地域。
在VPN網關頁面,單擊目標VPN網關實例ID。
在VPN網關實例詳情頁面單擊策略路由表頁簽,找到目標路由條目,在操作列單擊發布。
在發布路由對話框,單擊確定。
步驟五:配置本地網關設備
在阿里云側創建IPsec連接后,您需要在本地網關設備上添加VPN配置和路由配置,使本地網關設備與VPN網關之間成功建立IPsec-VPN連接,同時使本地數據中心去往VPC的流量優先通過主隧道進行傳出,在主隧道中斷后自動切換至備隧道進行傳輸。
以下內容包含第三方產品信息,第三方產品信息僅供參考。阿里云對第三方產品的性能、可靠性以及操作可能帶來的潛在影響,不做任何暗示或其他形式的承諾。
不同廠商的設備配置命令可能會有所不同。具體命令,請咨詢相關設備廠商。
使用IKEv2版本
根據保存在本地的IPsec連接對端配置,在本地網關設備中添加VPN配置。
登錄本地網關設備的命令行配置界面。
執行以下命令,配置ikev2 proposal和policy。
//分別在本地網關設備1和本地網關設備2上添加如下配置 crypto ikev2 proposal alicloud encryption aes-cbc-128 //配置加密算法,本示例為aes-cbc-128。 integrity sha1 //配置認證算法,本示例為sha1。 group 2 //配置DH分組,本示例為group2。 exit ! crypto ikev2 policy Pureport_Pol_ikev2 proposal alicloud exit !執行以下命令,配置ikev2 keyring。
//在本地網關設備1上添加如下配置 crypto ikev2 keyring alicloud peer alicloud address 47.XX.XX.3 //配置云上IPsec連接主隧道公網IP地址,本示例為47.XX.XX.3。 pre-shared-key fddsFF123**** //配置預共享密鑰,本示例為fddsFF123****。 exit ! //在本地網關設備2上添加如下配置 crypto ikev2 keyring alicloud peer alicloud address 47.XX.XX.169 //配置云上IPsec連接備隧道公網IP地址,本示例為47.XX.XX.169。 pre-shared-key fddsFF456**** //配置預共享密鑰,本示例為fddsFF456****。 exit !執行以下命令,配置ikev2 profile。
//在本地網關設備1上添加如下配置 crypto ikev2 profile alicloud match identity remote address 47.XX.XX.3 255.255.255.255 //匹配云上IPsec連接主隧道公網IP地址,本示例為47.XX.XX.3。 identity local address 211.XX.XX.36 //本地網關設備1的公網IP地址,本示例為211.XX.XX.36。 authentication remote pre-share //認證對端的方式為PSK(預共享密鑰的方式)。 authentication local pre-share //認證本端的方式為PSK。 keyring local alicloud //調用密鑰串。 exit ! //在本地網關設備2上添加如下配置 crypto ikev2 profile alicloud match identity remote address 47.XX.XX.169 255.255.255.255 //匹配云上IPsec連接備隧道公網IP地址,本示例為47.XX.XX.169。 identity local address 211.XX.XX.71 //本地網關設備2的公網IP地址,本示例為211.XX.XX.71。 authentication remote pre-share //認證對端的方式為PSK(預共享密鑰的方式)。 authentication local pre-share //認證本端的方式為PSK。 keyring local alicloud //調用密鑰串。 exit !執行以下命令,配置transform。
//分別在本地網關設備1和本地網關設備2上添加如下配置 crypto ipsec transform-set TSET esp-aes esp-sha-hmac mode tunnel exit !配置ACL(訪問控制列表),定義需要保護的數據流。
//分別在本地網關設備1和本地網關設備2上添加如下配置 access-list 100 permit ip 172.16.0.0 0.15.255.255 10.0.0.0 0.255.255.255配置IPsec策略。
//在本地網關設備1上添加如下配置 crypto map ipsecpro64 10 ipsec-isakmp set peer 47.XX.XX.3 set transform-set TSET set ikev2-profile alicloud set pfs group2 match address 100 //在本地網關設備2上添加如下配置 crypto map ipsecpro64 10 ipsec-isakmp set peer 47.XX.XX.169 set transform-set TSET set ikev2-profile alicloud set pfs group2 match address 100執行以下命令,配置IPsec隧道。
//在本地網關設備1上添加如下配置 interface GigabitEthernet1 //配置與云上IPsec連接建立VPN主隧道的接口IP地址。 ip address 211.XX.XX.36 255.255.255.0 crypto map ipsecpro64 //應用IPsec策略 negotiation auto ! //在本地網關設備2上添加如下配置 interface GigabitEthernet1 //配置與云上IPsec連接建立VPN備隧道的接口IP地址。 ip address 211.XX.XX.71 255.255.255.0 crypto map ipsecpro64 //應用IPsec策略 negotiation auto !
在本地網關設備1和本地網關設備2中添加路由配置。
在本地網關設備1和本地網關設備2中添加去往VPC的路由。
//在本地網關設備1上添加去往VPC的路由 ip route 10.0.0.0 255.0.0.0 47.XX.XX.3 ip route 100.104.0.0 255.255.0.0 47.XX.XX.3 //在本地網關設備2上添加去往VPC的路由 ip route 10.0.0.0 255.0.0.0 47.XX.XX.169 ip route 100.104.0.0 255.255.0.0 47.XX.XX.169請根據您的實際網絡環境按需在本地數據中心添加路由配置,使本地數據中心去往VPC的流量優先通過本地網關設備1進行傳輸,在本地網關設備1故障后可以自動通過本地網關設備2進行傳輸。具體命令,請咨詢相關設備廠商。
使用IKEv1版本
根據保存在本地的IPsec連接對端配置,在本地網關設備中添加VPN配置。
登錄本地網關設備的命令行配置界面。
配置isakmp策略。
//分別在本地網關設備1和本地網關設備2上添加如下配置 crypto isakmp policy 1 authentication pre-share encryption aes hash sha group 2 lifetime 86400配置預共享密鑰。
//在本地網關設備1上添加如下配置 crypto isakmp key fddsFF123**** address 47.XX.XX.3 //在本地網關設備2上添加如下配置 crypto isakmp key fddsFF456**** address 47.XX.XX.169配置IPsec安全協議。
//分別在本地網關設備1和本地網關設備2上添加如下配置 crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac mode tunnel配置ACL(訪問控制列表),定義需要保護的數據流。
//分別在本地網關設備1和本地網關設備2上添加如下配置 access-list 100 permit ip 172.16.0.0 0.15.255.255 10.0.0.0 0.255.255.255配置IPsec策略。
//在本地網關設備1上添加如下配置 crypto map ipsecpro64 10 ipsec-isakmp set peer 47.XX.XX.3 set transform-set ipsecpro64 set pfs group2 match address 100 //在本地網關設備2上添加如下配置 crypto map ipsecpro64 10 ipsec-isakmp set peer 47.XX.XX.169 set transform-set ipsecpro64 set pfs group2 match address 100應用IPsec策略。
//分別在本地網關設備1上添加如下配置 interface GigabitEthernet1 //在配置公網IP地址的接口下應用IPsec策略 crypto map ipsecpro64 //分別在本地網關設備2上添加如下配置 interface GigabitEthernet1 //在配置公網IP地址的接口下應用IPsec策略 crypto map ipsecpro64
在本地網關設備1和本地網關設備2中添加路由配置。
在本地網關設備1和本地網關設備2中添加去往VPC的路由。
//在本地網關設備1上添加去往VPC的路由 ip route 10.0.0.0 255.0.0.0 47.XX.XX.3 ip route 100.104.0.0 255.255.0.0 47.XX.XX.3 //在本地網關設備2上添加去往VPC的路由 ip route 10.0.0.0 255.0.0.0 47.XX.XX.169 ip route 100.104.0.0 255.255.0.0 47.XX.XX.169請根據您的實際網絡環境按需在本地數據中心添加路由配置,使本地數據中心去往VPC的流量優先通過本地網關設備1進行傳輸,在本地網關設備1故障后可以自動通過本地網關設備2進行傳輸。具體命令,請咨詢相關設備廠商。
步驟六:測試連通性
完成上述配置后,本地數據中心和VPC之間已經可以相互通信了,您可以通過以下步驟驗證本地數據中心和VPC之間的連通性。
登錄VPC下的ECS實例。
關于如何登錄ECS實例,請參見ECS遠程連接方式概述。
在ECS實例中執行
ping命令,訪問本地數據中心的數據庫服務器。如果ECS實例可以收到回復報文,則證明本地數據中心和VPC之間可以正常通信。
ping <本地數據中心數據庫服務器IP地址>
步驟七:創建DTS實例
本地數據中心和VPC之間正常通信后,您可以開始創建DTS數據同步任務,DTS數據同步任務配置完成后可以將本地數據中心的數據自動同步至VPC下的數據庫中。
在配置數據遷移、數據同步或數據訂閱時,選擇實例類型為專線/VPN網關/智能網關,然后下拉選擇和源庫連通的VPC,即可將本地IDC中的自建數據庫作為源庫或目標庫。相關配置案例請參見同步方案概覽、遷移方案概覽或訂閱方案概覽。