將Azure平臺的數(shù)據(jù)庫接入至阿里云
在配置DTS實例時,若源庫或目標(biāo)庫為Microsoft Azure平臺的數(shù)據(jù)庫,您需要進行相應(yīng)的配置,以允許DTS服務(wù)器的訪問。通常可以選擇使用公網(wǎng)IP或VPC,將Azure平臺的數(shù)據(jù)庫接入至阿里云。本文為您介紹相關(guān)操作的步驟。
通過公網(wǎng)IP接入
若源庫為Azure SQL Managed Instance,請選擇此方案接入到阿里云。
Azure平臺的數(shù)據(jù)庫已開通公網(wǎng)訪問權(quán)限,并且已將DTS服務(wù)器的IP地址段加入到相應(yīng)數(shù)據(jù)庫的安全設(shè)置(安全組規(guī)則、防火墻、白名單等)中。
通過VPC接入
場景示例
本文以下圖場景為例。某企業(yè)在阿里云德國(法蘭克福)地域創(chuàng)建了一個VPC,并在Azure的Germany West Central地域也擁有一個虛擬網(wǎng)絡(luò)。企業(yè)可以使用IPsec-VPN(綁定VPN網(wǎng)關(guān))在Azure虛擬網(wǎng)絡(luò)和阿里云VPC之間建立網(wǎng)絡(luò)連接,實現(xiàn)阿里云VPC和Azure虛擬網(wǎng)絡(luò)的互相通信。
前提條件
Azure平臺的數(shù)據(jù)庫擁有一個虛擬網(wǎng)絡(luò)。具體操作,請咨詢Azure平臺。
已在阿里云德國(法蘭克福)地域創(chuàng)建了一個VPC。具體操作,請參見搭建IPv4專有網(wǎng)絡(luò)。
已知VPC間要互通的網(wǎng)段信息。
說明您可以自行規(guī)劃網(wǎng)段,請確保VPC之間要互通的網(wǎng)段沒有重疊。
資源
要互通的網(wǎng)段
IP地址
阿里云VPC
10.0.0.0/16,100.104.0.0/16
阿里云數(shù)據(jù)庫的內(nèi)網(wǎng)地址
Azure虛擬網(wǎng)絡(luò)
192.168.0.0/16
Azure數(shù)據(jù)庫的內(nèi)網(wǎng)地址
配置流程
在阿里云創(chuàng)建VPN網(wǎng)關(guān)實例。
首先,在阿里云創(chuàng)建一個VPN網(wǎng)關(guān)實例。具體操作,請參見步驟一:在阿里云創(chuàng)建VPN網(wǎng)關(guān)實例。
在Azure平臺部署VPN。
其次,在Azure平臺部署VPN。具體操作,請參見步驟二:在Azure平臺部署VPN。
在阿里云部署VPN網(wǎng)關(guān)。
然后,在Azure虛擬網(wǎng)絡(luò)和阿里云VPC之間建立IPsec-VPN連接。具體操作,請參見步驟三:在阿里云部署VPN網(wǎng)關(guān)。
步驟一:在阿里云創(chuàng)建VPN網(wǎng)關(guān)實例
您需要先在阿里云創(chuàng)建一個VPN網(wǎng)關(guān)實例,VPN網(wǎng)關(guān)實例創(chuàng)建完成后,系統(tǒng)會為VPN網(wǎng)關(guān)實例分配2個IP地址,這2個IP地址用于與Azure平臺虛擬網(wǎng)絡(luò)建立IPsec-VPN連接。
在頂部菜單欄,選擇VPN網(wǎng)關(guān)的地域。
VPN網(wǎng)關(guān)的地域需和待綁定的VPC實例的地域相同。
在VPN網(wǎng)關(guān)頁面,單擊創(chuàng)建VPN網(wǎng)關(guān)。
在購買頁面,根據(jù)以下信息配置VPN網(wǎng)關(guān),然后單擊立即購買并完成支付。
以下僅列舉本文強相關(guān)的配置,其余配置項保持默認(rèn)值或為空。更多信息,請參見創(chuàng)建和管理VPN網(wǎng)關(guān)實例。
配置項
說明
本文示例值
實例名稱
輸入VPN網(wǎng)關(guān)實例的名稱。
輸入VPN網(wǎng)關(guān)。
地域和可用區(qū)
選擇VPN網(wǎng)關(guān)實例所屬的地域。
選擇德國(法蘭克福)。
網(wǎng)關(guān)類型
選擇VPN網(wǎng)關(guān)實例的網(wǎng)關(guān)類型。
選擇普通型。
網(wǎng)絡(luò)類型
選擇VPN網(wǎng)關(guān)實例的網(wǎng)絡(luò)類型。
選擇公網(wǎng)。
隧道
系統(tǒng)直接展示當(dāng)前地域IPsec-VPN連接支持的隧道模式。
雙隧道
單隧道
關(guān)于單隧道和雙隧道的說明,請參見【升級公告】IPsec-VPN連接升級為雙隧道模式。
本文保持默認(rèn)值雙隧道。
VPC
選擇VPN網(wǎng)關(guān)實例關(guān)聯(lián)的VPC實例。
選擇阿里云德國(法蘭克福)地域的VPC實例。
虛擬交換機
從VPC實例中選擇一個交換機實例。
IPsec-VPN連接的隧道模式為單隧道時,您僅需要指定一個交換機實例。
IPsec-VPN連接的隧道模式為雙隧道時,您需要指定兩個交換機實例。
IPsec-VPN功能開啟后,系統(tǒng)會在兩個交換機實例下各創(chuàng)建一個彈性網(wǎng)卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN連接與VPC流量互通的接口。每個ENI會占用交換機下的一個IP地址。
說明系統(tǒng)默認(rèn)幫您選擇第一個交換機實例,您可以手動修改或者直接使用默認(rèn)的交換機實例。
創(chuàng)建VPN網(wǎng)關(guān)實例后,不支持修改VPN網(wǎng)關(guān)實例關(guān)聯(lián)的交換機實例,您可以在VPN網(wǎng)關(guān)實例的詳情頁面查看VPN網(wǎng)關(guān)實例關(guān)聯(lián)的交換機、交換機所屬可用區(qū)以及交換機下ENI的信息。
選擇VPC實例下的一個交換機實例。
虛擬交換機2
從VPC實例中選擇第二個交換機實例。
您需要從VPN網(wǎng)關(guān)實例關(guān)聯(lián)的VPC實例下指定兩個分布在不同可用區(qū)的交換機實例,以實現(xiàn)IPsec-VPN連接可用區(qū)級別的容災(zāi)。
對于僅支持一個可用區(qū)的地域 ,不支持可用區(qū)級別的容災(zāi),建議您在該可用區(qū)下指定兩個不同的交換機實例以實現(xiàn)IPsec-VPN連接的高可用,支持選擇和第一個相同的交換機實例。
說明如果VPC實例下沒有第二個交換機實例,您可以新建交換機實例。具體操作,請參見創(chuàng)建和管理交換機。
選擇VPC實例下的第二個交換機實例。
IPsec-VPN
選擇開啟或關(guān)閉IPsec-VPN功能。默認(rèn)值:開啟。
選擇開啟IPsec-VPN功能。
SSL-VPN
選擇開啟或關(guān)閉SSL-VPN功能。默認(rèn)值:關(guān)閉。
選擇關(guān)閉SSL-VPN功能。
在頂部菜單欄,選擇VPN網(wǎng)關(guān)的地域。
VPN網(wǎng)關(guān)的地域需和待綁定的VPC實例的地域相同。
在VPN網(wǎng)關(guān)頁面,單擊創(chuàng)建VPN網(wǎng)關(guān)。
在購買頁面,根據(jù)以下信息配置VPN網(wǎng)關(guān),然后單擊立即購買并完成支付。
以下僅列舉本文強相關(guān)的配置,其余配置項保持默認(rèn)值或為空。更多信息,請參見創(chuàng)建和管理VPN網(wǎng)關(guān)實例。
配置項
說明
本文示例值
實例名稱
輸入VPN網(wǎng)關(guān)實例的名稱。
輸入VPN網(wǎng)關(guān)。
地域和可用區(qū)
選擇VPN網(wǎng)關(guān)實例所屬的地域。
選擇德國(法蘭克福)。
網(wǎng)關(guān)類型
選擇VPN網(wǎng)關(guān)實例的網(wǎng)關(guān)類型。
選擇普通型。
網(wǎng)絡(luò)類型
選擇VPN網(wǎng)關(guān)實例的網(wǎng)絡(luò)類型。
選擇公網(wǎng)。
隧道
系統(tǒng)直接展示當(dāng)前地域IPsec-VPN連接支持的隧道模式。
雙隧道
單隧道
關(guān)于單隧道和雙隧道的說明,請參見【升級公告】IPsec-VPN連接升級為雙隧道模式。
本文保持默認(rèn)值雙隧道。
VPC
選擇VPN網(wǎng)關(guān)實例關(guān)聯(lián)的VPC實例。
選擇阿里云德國(法蘭克福)地域的VPC實例。
虛擬交換機
從VPC實例中選擇一個交換機實例。
IPsec-VPN連接的隧道模式為單隧道時,您僅需要指定一個交換機實例。
IPsec-VPN連接的隧道模式為雙隧道時,您需要指定兩個交換機實例。
IPsec-VPN功能開啟后,系統(tǒng)會在兩個交換機實例下各創(chuàng)建一個彈性網(wǎng)卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN連接與VPC流量互通的接口。每個ENI會占用交換機下的一個IP地址。
說明系統(tǒng)默認(rèn)幫您選擇第一個交換機實例,您可以手動修改或者直接使用默認(rèn)的交換機實例。
創(chuàng)建VPN網(wǎng)關(guān)實例后,不支持修改VPN網(wǎng)關(guān)實例關(guān)聯(lián)的交換機實例,您可以在VPN網(wǎng)關(guān)實例的詳情頁面查看VPN網(wǎng)關(guān)實例關(guān)聯(lián)的交換機、交換機所屬可用區(qū)以及交換機下ENI的信息。
選擇VPC實例下的一個交換機實例。
虛擬交換機2
從VPC實例中選擇第二個交換機實例。
您需要從VPN網(wǎng)關(guān)實例關(guān)聯(lián)的VPC實例下指定兩個分布在不同可用區(qū)的交換機實例,以實現(xiàn)IPsec-VPN連接可用區(qū)級別的容災(zāi)。
對于僅支持一個可用區(qū)的地域 ,不支持可用區(qū)級別的容災(zāi),建議您在該可用區(qū)下指定兩個不同的交換機實例以實現(xiàn)IPsec-VPN連接的高可用,支持選擇和第一個相同的交換機實例。
說明如果VPC實例下沒有第二個交換機實例,您可以新建交換機實例。具體操作,請參見創(chuàng)建和管理交換機。
選擇VPC實例下的第二個交換機實例。
IPsec-VPN
選擇開啟或關(guān)閉IPsec-VPN功能。默認(rèn)值:開啟。
選擇開啟IPsec-VPN功能。
SSL-VPN
選擇開啟或關(guān)閉SSL-VPN功能。默認(rèn)值:關(guān)閉。
選擇關(guān)閉SSL-VPN功能。
返回VPN網(wǎng)關(guān)頁面,查看創(chuàng)建的VPN網(wǎng)關(guān)實例。
剛創(chuàng)建好的VPN網(wǎng)關(guān)實例的狀態(tài)是準(zhǔn)備中,約1~5分鐘左右會變成正常狀態(tài)。正常狀態(tài)表明VPN網(wǎng)關(guān)已經(jīng)完成了初始化,可以正常使用。
系統(tǒng)為VPN網(wǎng)關(guān)實例分配的2個IP地址如下表所示:
VPN網(wǎng)關(guān)實例的名稱
VPN網(wǎng)關(guān)實例ID
IP地址
VPN網(wǎng)關(guān)
vpn-gw8dickm386d2qi2g****
IPsec地址1(默認(rèn)為主隧道地址):8.XX.XX.130
IPsec地址2(默認(rèn)為備隧道地址):47.XX.XX.27
步驟二:在Azure平臺部署VPN
在為Azure虛擬網(wǎng)絡(luò)和阿里云VPC之間建立IPsec-VPN連接前,您需要根據(jù)以下信息在Azure平臺部署VPN。具體操作,請咨詢Azure平臺。
在虛擬網(wǎng)絡(luò)中創(chuàng)建網(wǎng)關(guān)子網(wǎng)。創(chuàng)建虛擬網(wǎng)絡(luò)網(wǎng)關(guān)時將會使用到該子網(wǎng)。
創(chuàng)建虛擬網(wǎng)絡(luò)網(wǎng)關(guān)。
虛擬網(wǎng)絡(luò)網(wǎng)關(guān)關(guān)聯(lián)至需要和阿里云互通的虛擬網(wǎng)絡(luò)上。本文中虛擬網(wǎng)絡(luò)網(wǎng)關(guān)啟用主動-主動模式,并新建2個公網(wǎng)IP地址,其余配置采用默認(rèn)值。
虛擬網(wǎng)絡(luò)網(wǎng)關(guān)創(chuàng)建完成后,您可以在公共IP地址頁面查看系統(tǒng)為虛擬網(wǎng)絡(luò)網(wǎng)關(guān)分配的公共IP地址。本文中系統(tǒng)分配的公共IP地址為4.XX.XX.224和4.XX.XX.166。
創(chuàng)建本地網(wǎng)絡(luò)網(wǎng)關(guān)。
您需要在Azure側(cè)創(chuàng)建2個本地網(wǎng)絡(luò)網(wǎng)關(guān),每個本地網(wǎng)絡(luò)網(wǎng)關(guān)配置阿里云VPN網(wǎng)關(guān)實例的一個IP地址,同時將阿里云VPC實例網(wǎng)段和100.104.0.0/16網(wǎng)段一并配置到每個本地網(wǎng)絡(luò)網(wǎng)關(guān)上。
說明創(chuàng)建本地網(wǎng)絡(luò)網(wǎng)關(guān)時,您需要指定100.104.0.0/16網(wǎng)段,DTS服務(wù)將使用該網(wǎng)段下的地址遷移數(shù)據(jù)。
創(chuàng)建站點到站點VPN連接。
重要阿里云和Azure平臺下的IPsec-VPN連接均支持雙隧道模式,但由于Azure平臺的兩條隧道默認(rèn)關(guān)聯(lián)至同一個本地網(wǎng)絡(luò)網(wǎng)關(guān),而阿里云側(cè)兩條隧道擁有不同的IP地址,導(dǎo)致Azure平臺和阿里云側(cè)的兩條隧道無法做到一一對應(yīng)建立連接。為確保阿里云側(cè)IPsec-VPN連接下兩條隧道同時啟用,您需要在Azure平臺創(chuàng)建兩個站點到站點的VPN連接,每個站點到站點VPN連接關(guān)聯(lián)不同的本地網(wǎng)絡(luò)網(wǎng)關(guān)。
下圖展示其中一個站點到站點VPN連接的配置,創(chuàng)建VPN連接時選擇站點到站點(IPsec)類型,并關(guān)聯(lián)需要和阿里云建立VPN連接的虛擬網(wǎng)絡(luò)網(wǎng)關(guān),然后選擇一個本地網(wǎng)絡(luò)網(wǎng)關(guān)并設(shè)置共享密鑰,其余配置項使用默認(rèn)值。另一個站點到站點VPN連接關(guān)聯(lián)與當(dāng)前VPN連接不同的本地網(wǎng)絡(luò)網(wǎng)關(guān),其余配置與當(dāng)前VPN連接相同。
步驟三:在阿里云部署VPN網(wǎng)關(guān)
在Azure平臺完成VPN配置后,請根據(jù)以下信息在阿里云側(cè)部署VPN網(wǎng)關(guān),以便Azure虛擬網(wǎng)絡(luò)和阿里云VPC之間建立IPsec-VPN連接。
創(chuàng)建用戶網(wǎng)關(guān)。
在左側(cè)導(dǎo)航欄,選擇。
在頂部菜單欄選擇用戶網(wǎng)關(guān)的地域。
用戶網(wǎng)關(guān)地域需和VPN網(wǎng)關(guān)實例的地域相同。
在用戶網(wǎng)關(guān)頁面,單擊創(chuàng)建用戶網(wǎng)關(guān)。
在創(chuàng)建用戶網(wǎng)關(guān)面板,根據(jù)以下信息進行配置,然后單擊確定。
您需要創(chuàng)建兩個用戶網(wǎng)關(guān),并將Azure平臺虛擬網(wǎng)絡(luò)網(wǎng)關(guān)的2個公共IP地址作為用戶網(wǎng)關(guān)的IP地址,以建立兩個加密隧道。以下僅列舉本文強相關(guān)配置項,其余配置保持默認(rèn)值或為空。更多信息,請參見創(chuàng)建和管理用戶網(wǎng)關(guān)。
配置項
說明
用戶網(wǎng)關(guān)1
用戶網(wǎng)關(guān)2
名稱
輸入用戶網(wǎng)關(guān)的名稱。
輸入用戶網(wǎng)關(guān)1。
輸入用戶網(wǎng)關(guān)2。
IP地址
輸入Azure平臺虛擬網(wǎng)絡(luò)網(wǎng)關(guān)的公共IP地址。
輸入4.XX.XX.224。
輸入4.XX.XX.166。
創(chuàng)建IPsec連接。
在左側(cè)導(dǎo)航欄,選擇。
在頂部菜單欄選擇IPsec連接的地域。
IPsec連接的地域需和VPN網(wǎng)關(guān)實例的地域相同。
在IPsec連接頁面,單擊創(chuàng)建IPsec連接。
在創(chuàng)建IPsec連接頁面,根據(jù)以下信息配置IPsec連接,然后單擊確定。
配置項
說明
本文示例值
名稱
輸入IPsec連接的名稱。
輸入IPsec連接。
資源組
選擇VPN網(wǎng)關(guān)實例所屬的資源組。
選擇默認(rèn)資源組。
綁定資源
選擇IPsec連接綁定的資源類型。
選擇VPN網(wǎng)關(guān)。
VPN網(wǎng)關(guān)
選擇IPsec連接關(guān)聯(lián)的VPN網(wǎng)關(guān)實例。
選擇已創(chuàng)建的VPN網(wǎng)關(guān)。
路由模式
選擇路由模式。
目的路由模式:基于目的IP地址路由和轉(zhuǎn)發(fā)流量。
感興趣流模式:基于源IP地址和目的IP地址精確的路由和轉(zhuǎn)發(fā)流量。
選擇感興趣流模式。
本端網(wǎng)段
輸入VPN網(wǎng)關(guān)實例關(guān)聯(lián)的VPC實例下的網(wǎng)段。
輸入以下兩個網(wǎng)段:
VPC網(wǎng)段:10.0.0.0/16
DTS網(wǎng)段:100.104.0.0/16
重要您需要將DTS使用的地址段也添加到本端網(wǎng)段中,以便DTS通過VPN網(wǎng)關(guān)訪問對端的數(shù)據(jù)庫。
關(guān)于DTS地址段的更多信息,請參見添加DTS服務(wù)器的IP地址段。
對端網(wǎng)段
輸入VPN網(wǎng)關(guān)實例關(guān)聯(lián)的VPC實例要訪問的對端的網(wǎng)段。
輸入192.168.0.0/16。
立即生效
選擇IPsec連接的配置是否立即生效。取值:
是:配置完成后立即進行協(xié)商。
否:當(dāng)有流量進入時進行協(xié)商。
選擇是。
啟用BGP
如果IPsec連接需要使用BGP路由協(xié)議,需要打開BGP功能的開關(guān),系統(tǒng)默認(rèn)關(guān)閉BGP功能。
本文保持默認(rèn)值,即不開啟BGP功能。
Tunnel 1
為隧道1(主隧道)添加VPN相關(guān)配置。
系統(tǒng)默認(rèn)隧道1為主隧道,隧道2為備隧道,且不支持修改。
用戶網(wǎng)關(guān)
為主隧道添加待關(guān)聯(lián)的用戶網(wǎng)關(guān)實例。
選擇用戶網(wǎng)關(guān)1。
預(yù)共享密鑰
輸入主隧道的認(rèn)證密鑰,用于身份認(rèn)證。
密鑰長度為1~100個字符,支持?jǐn)?shù)字、大小寫英文字母及右側(cè)字符
~`!@#$%^&*()_-+={}[]\|;:',.<>/?。若您未指定預(yù)共享密鑰,系統(tǒng)會隨機生成一個16位的字符串作為預(yù)共享密鑰。
重要隧道及其對端網(wǎng)關(guān)設(shè)備配置的預(yù)共享密鑰需一致,否則系統(tǒng)無法正常建立IPsec-VPN連接。
當(dāng)前隧道的認(rèn)證密鑰需和連接的Azure平臺VPN連接的密鑰一致。
加密配置
添加IKE配置、IPsec配置、DPD、NAT穿越等配置。
本文保持默認(rèn)值。關(guān)于默認(rèn)值的說明,請參見創(chuàng)建和管理IPsec連接(雙隧道模式)。
Tunnel 2
為隧道2(備隧道)添加VPN相關(guān)配置。
用戶網(wǎng)關(guān)
為備隧道添加待關(guān)聯(lián)的用戶網(wǎng)關(guān)實例。
選擇用戶網(wǎng)關(guān)2。
預(yù)共享密鑰
輸入備隧道的認(rèn)證密鑰,用于身份認(rèn)證。
當(dāng)前隧道的認(rèn)證密鑰需和Azure平臺VPN連接的密鑰一致。
加密配置
添加IKE配置、IPsec配置、DPD、NAT穿越等配置。
本文保持默認(rèn)值。關(guān)于默認(rèn)值的說明,請參見創(chuàng)建和管理IPsec連接(雙隧道模式)。
標(biāo)簽
為IPsec連接添加標(biāo)簽。
保持為空。
在創(chuàng)建成功對話框中,單擊取消。
配置VPN網(wǎng)關(guān)路由。
創(chuàng)建IPsec連接后需要為VPN網(wǎng)關(guān)實例配置路由。創(chuàng)建IPsec連接時,如果路由模式您選擇了感興趣流模式,在IPsec連接創(chuàng)建完成后,系統(tǒng)會自動在VPN網(wǎng)關(guān)實例下創(chuàng)建策略路由,路由是未發(fā)布狀態(tài)。您需要執(zhí)行本操作,將VPN網(wǎng)關(guān)實例下的策略路由發(fā)布至VPC中。
在左側(cè)導(dǎo)航欄,選擇。
在頂部菜單欄,選擇VPN網(wǎng)關(guān)實例的地域。
在VPN網(wǎng)關(guān)頁面,單擊目標(biāo)VPN網(wǎng)關(guān)實例ID。
在VPN網(wǎng)關(guān)實例詳情頁面單擊策略路由表頁簽,找到目標(biāo)路由條目,在操作列單擊發(fā)布。
在發(fā)布路由對話框,單擊確定。