RDS实例通过专线接入金融云DBS

名词解释

• 专有网络VPC：专有网络VPC（Virtual Private Cloud）是用户基于阿里云创建的自定义私有网络，不同的专有网络之间二层逻辑隔离，用户可以在自己创建的专有网络内创建和管理云产品实例，比如ECS、负载均衡、RDS等。
• VPN网关：VPN网关是一款网络连接服务，通过建立加密通道的方式实现企业本地数据中心、企业办公网络或者互联网客户端与阿里云专有网络VPC之间安全可靠的私网连接。VPN网关提供IPsec-VPN和SSL-VPN两种网络连接方式，不同的网络连接方式适用于不同的应用场景。更多详情请参见什么是VPN网关。
• IPsec-VPN：IPsec-VPN是一种基于路由的网络连接技术，提供灵活的流量路由方式，方便您配置和维护VPN策略，适用于在企业本地数据中心或企业办公网络与VPC之间建立网络连接。

场景示例

某企业在金融云华东1（杭州）地域拥有一个VPC1，在公有云华南1（深圳）地域拥有一个VPC2。两个VPC均已在各地域云服务器ECS（Elastic Compute Service）部署了业务，企业因后续发展，现在需要将公有云华南1（深圳）地域的RDS实例通过专线接入到金融云华东1（杭州）地域的DBS中，并采用专线配置DBS逻辑备份计划，便于后续备份和恢复数据。

前提条件

• 已创建DBS备份计划。创建方法请参见购买备份计划。本文以金融云华东1（杭州）地域的DBS逻辑备份计划为示例。
• 已创建RDS MySQL实例。创建方法请参见创建RDS MySQL实例。本文以公有云华南1（深圳）地域的RDS MySQL实例为示例。
• 您已经在金融云华东1（杭州）地域和公有云华南1（深圳）地域分别创建了VPC1和VPC2，两个VPC中均使用ECS部署了相关业务。具体操作，请参见搭建IPv4专有网络。
  本示例VPC1和VPC2的配置如下表所示。

  说明 您可以按需规划VPC实例的网段，请确保要互通的网段之间没有重叠。

  VPC实例名称	环境	VPC实例所属地域	VPC实例的网段	ECS实例名称	ECS实例的IP地址
  VPC1	金融云	华东1（杭州） 说明 DBS备份计划所在地。	192.168.0.0/16 说明 根据ECS实例私网IP地址设置。	ECS1	192.XXX.XX.3
  VPC2	公有云	华南1（深圳） 说明 RDS MySQL实例所在地。	172.18.0.0/16	ECS2	172.XXX.XX.112

配置流程

1. 步骤一：创建VPN网关
2. 步骤二：创建用户网关
3. 步骤三：创建IPsec连接
4. 步骤四：检查或配置路由
5. 步骤五：采用专线配置备份计划

步骤一：创建VPN网关

1. 登录VPN网关管理控制台。
2. 在顶部菜单栏，选择VPN网关实例所属的地域。
   此处以配置金融云华东1（杭州）地域的VPN网关为例介绍配置流程，公有云华南1（深圳）地域的配置流程与该配置类似。

   说明 VPN网关实例的地域和待关联的VPC实例的地域需相同。
3. 在VPN网关页面，单击创建VPN网关。
4. 在购买页面，根据以下信息配置VPN网关，然后单击立即购买并完成支付。

   配置项	说明
   实例名称	输入VPN网关实例的名称。本示例输入VPN网关1。
   地域和可用区	选择VPN网关实例所属的地域。本示例选择华东1（杭州）。
   网关类型	选择VPN网关实例的类型。本示例选择普通型。
   VPC	选择步骤一中已创建的专有网络VPC。
   指定交换机	是否指定VPN网关创建在VPC实例中的某一个交换机下。本示例选择否。
   带宽规格	选择VPN网关实例的公网带宽峰值。单位：Mbps。
   IPsec-VPN	选择开启或关闭IPsec-VPN功能。本示例选择开启。
   SSL-VPN	选择开启或关闭SSL-VPN功能。本示例选择关闭。
   计费周期	选择购买时长。 您可以选择是否自动续费： 按月购买：自动续费周期为1个月。 按年购买：自动续费周期为1年。
   服务关联角色	单击创建关联角色，系统自动创建服务关联角色AliyunServiceRoleForVpn。 VPN网关使用此角色来访问其他云产品中的资源，更多信息，请参见AliyunServiceRoleForVpn。 若本配置项显示为已创建，则表示您的账号下已创建了该角色，无需重复创建。

   更多信息，请参见创建VPN网关实例。
5. 返回VPN网关页面，查看已创建的VPN网关实例。
   创建VPN网关实例后，其状态是准备中，约1~5分钟会变成正常状态。正常状态表明VPN网关实例已经完成了初始化，可以正常使用。
6. 重复步骤2到步骤5的操作，在公有云华南1（深圳）地域创建一个名称为VPN网关2的VPN网关实例，该VPN网关实例关联VPC2，其余配置与VPN网关1相同。
   VPN网关创建完成后，两个VPN网关实例的信息如下表所示。

   环境	地域	VPN网关实例的名称	VPN网关实例关联的VPC实例名称	VPN网关实例ID	VPN网关IP地址
   金融云	华东1（杭州）	VPN网关1	VPC1	vpn-bp1mkxa7nbclxe4my****	116.XXX.XX.151
   公有云	华南1（深圳）	VPN网关2	VPC2	vpn-bp16lmik5zrlkev5e0elv****	39.XXX.XX.149

步骤二：创建用户网关

1. 在左侧导航栏，选择网间互联 > VPN > 用户网关。
2. 在顶部菜单栏，选择用户网关实例的地域。
   说明 用户网关实例的地域必须和待连接的VPN网关实例的地域相同。
3. 在用户网关页面，单击创建用户网关。
4. 在创建用户网关面板，根据以下信息配置用户网关实例，然后单击确定。
   您需要在金融云华东1（杭州）地域和公有云华南1（深圳）地域分别创建一个用户网关实例，用户网关实例的配置请参见下表。

   配置项	配置项说明	金融云华东1（杭州）	公有云华南1（深圳）
   名称	输入用户网关实例的名称。	Customer1	Customer2
   IP地址	输入用户网关实例的公网IP地址。	本示例输入VPN网关2的IP地址39.XXX.XX.149。 说明 在本示例中VPN1和VPN2互为对方的用户网关。	本示例输入VPN网关1的IP地址116.XXX.XX.151。

   更多信息，请参见创建用户网关。

   配置完成后，VPN网关实例、用户网关实例与VPC实例之间的对应关系如下表所示。

   地域	VPC实例名称	VPN网关实例名称	用户网关实例名称	用户网关实例ID	用户网关IP地址
   金融云华东1（杭州）	VPC1	VPN网关1	Customer1	cgw-bp1whkahxvxh7zm7u****	39.XXX.XX.149
   公有云华南1（深圳）	VPC2	VPN网关2	Customer2	cgw-m5e6qdvuxquse3fvm****	116.XXX.XX.151

步骤三：创建IPsec连接

您需要在金融云华东1（杭州）地域和公有云华南1（深圳）地域分别创建IPsec连接，此处以配置金融云华东1（杭州）地域的IPsec连接为例介绍配置流程，公有云华南1（深圳）地域的配置流程与该配置类似。

1. 在左侧导航栏，选择网间互联 > VPN > IPsec连接。
2. 在顶部菜单栏，选择IPsec连接的地域。
   说明 IPsec连接的地域必须和要连接的VPN网关的地域相同。
3. 在IPsec连接页面，单击创建IPsec连接。
4. 在创建IPsec连接页面，根据以下信息配置IPsec连接，然后单击确定，配置项说明请参见下表。
   说明 请确保金融云华东1（杭州）地域和公有云华南1（深圳）地域的预共享密钥、IKE配置、IPsec配置必须保持一致。

   配置项	配置项名称	配置项说明
   基本配置	名称	输入IPsec连接的名称。 本文输入IPsec连接1。
   	VPN网关	选择已创建的VPN网关实例。 本文选择VPN网关1。
   	用户网关	选择已创建的用户网关实例。 本文选择用户网关1。
   	路由模式	选择感兴趣流模式：基于源IP地址和目的IP地址精确的路由和转发流量。 选择感兴趣流模式后，您需要配置本端网段和对端网段。IPsec连接配置完成后： 如果IPsec连接绑定了VPN网关实例，系统自动在VPN网关实例的策略路由表中添加策略路由。 系统在VPN网关实例的策略路由表中添加策略路由后，路由默认是未发布状态。您可以依据网络互通需求决定是否将路由发布至VPC的路由表中。具体操作，请参见添加策略路由。 如果IPsec连接绑定了转发路由器实例，系统自动在IPsec连接下的目的路由表中添加目的路由，路由默认会被发布至IPsec连接关联的转发路由器的路由表中。
   	本端网段	请输入金融云华东1（杭州）地域的VPC网段、金融云华东1（杭州）地域VPC的Server网段、华东1（杭州）地域的DBS IP网段，用于第二阶段协商。 单击文本框右侧的图标，可添加多个需要和本地互通的网段信息。 说明 金融云各地域VPC的Server网段，请参见金融云Server网段。 各地域的DBS IP网段，请参见DBS IP地址段。 仅当创建备份计划的金融云地域作为本端时，需要配置如上所述3个网段；当另一公有云地域作为本端时仅需要配置一个互联的VPC网段。 如果您配置了多个网段，则后续IKE协议的版本需要选择为ikev2。
   	对端网段	请输入公有云华南1（深圳）地域的VPC网段，用于第二阶段协商。 单击文本框右侧的图标，可添加多个需要和本地互通的网段信息。 说明 如果您配置了多个网段，则后续IKE协议的版本需要选择为ikev2。
   	立即生效	选择是否立即生效。 是：配置完成后立即进行协商。 否：当有流量进入时进行协商。 本文选择是。
   	预共享密钥	输入预共享密钥。 如果不输入该值，系统默认生成一个16位的随机字符串。 重要 此处需注意，请保证金融云华东1（杭州）地域预共享密钥和公有云华南1（深圳）地域的预共享密钥一致。
   IKE配置	版本	选择IKE协议的版本。本示例选择ikev2。 ikev1 ikev2 目前系统支持IKEv1和IKEv2，相对于IKEv1版本，IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持，所以建议选择IKEv2版本。
   	协商模式	选择协商模式。 本示例选择main。 main：主模式，协商过程安全性高。 aggressive：野蛮模式，协商快速且协商成功率高。 协商成功后两种模式的信息传输安全性相同。
   	加密算法	选择第一阶段协商使用的加密算法。本示例选择3des。
   	认证算法	选择第一阶段协商使用的认证算法。本示例选择md5。
   	DH分组	选择第一阶段协商的Diffie-Hellman密钥交换算法。本示例选择group2。
   	SA生存周期（秒）	设置第一阶段协商出的SA的生存周期。单位：秒。默认值：86400。取值范围：0~86400。
   	LocalId	为IPsec连接阿里云侧的标识，用于第一阶段的协商。 如果IPsec连接绑定转发路由器实例，则当前标识的值默认为IPsec连接的网关IP地址。 如果IPsec连接绑定VPN网关实例，则当前标识的值默认为VPN网关实例的IP地址。 LocalId支持FQDN格式，如果您使用FQDN格式，协商模式建议选择为aggressive（野蛮模式）。
   	RemoteId	为IPsec连接本地数据中心侧的标识，用于第一阶段的协商。默认值为用户网关的IP地址。 RemoteId支持FQDN格式，如果您使用FQDN格式，协商模式建议选择为aggressive（野蛮模式）。
   IPsec配置	加密算法	选择第二阶段协商的加密算法。本示例选择3des。
   	认证算法	选择第二阶段协商的认证算法。本示例选择md5。
   	DH分组	选择第二阶段协商的Diffie-Hellman密钥交换算法。本示例选择group2。 disabled：表示不使用DH密钥交换算法。 对于不支持PFS的客户端请选择disabled。 如果选择为非disabled的任何一个组，会默认开启完美向前加密PFS（Perfect Forward Secrecy）功能，使得每次重协商都要更新密钥，因此，相应的客户端也要开启PFS功能。 group1：表示DH分组中的DH1。 group2（默认值）：表示DH分组中的DH2。 group5：表示DH分组中的DH5。 group14：表示DH分组中的DH14。
   	SA生存周期（秒）	设置第二阶段协商出的SA的生存周期。单位：秒。默认值：86400。取值范围：0~86400。
   	DPD	选择开启或关闭对等体存活检测功能。DPD功能默认开启。
   	NAT穿越	选择开启或关闭NAT穿越功能。NAT穿越功能默认开启。

   其他选项使用默认配置。更多信息，请参见创建和管理IPsec连接。

5. 重复步骤2到步骤4的操作，在公有云华南1（深圳）地域创建一个名称为IPsec连接2的连接实例。请确保公有云华南1（深圳）地域的预共享密钥、IKE配置、IPsec配置与金融云华东1（杭州）地域这几个配置项必须保持一致。
   创建完成后，两个IPsec连接实例的本端/对端信息如下表所示。

   环境	地域	本端网段	对端网段
   金融云	华东1（杭州）	金融云华东1（杭州）VPC网段：192.168.0.0/16 金融云华东1（杭州）VPC的Server网段：100.104.255.64/26 华东1（杭州）DBS IP网段：100.104.217.0/24	公有云华南1（深圳）VPC网段：172.18.0.0/16
   公有云	华南1（深圳）	公有云华南1（深圳）VPC网段：172.18.0.0/16	金融云华东1（杭州）VPC网段：192.168.0.0/16 金融云华东1（杭州）VPC的Server网段：100.104.255.64/26 华东1（杭州）DBS IP网段：100.104.217.0/24

步骤四：检查或配置路由

1. 在左侧导航栏，选择网间互联 > VPN > VPN网关。
2. 在顶部菜单栏，选择VPN网关实例的地域。
3. 在VPN网关页面，找到目标VPN网关实例，单击实例ID。
4. 单击策略路由表页签，检查路由配置是否包含所有目的端和对端网络，以及所有路由的状态是否已发布。

   您需要分别检查华东1（杭州）地域和华南1（深圳）地域的路由配置情况。

   说明 如果有遗漏的路由策略，您可在此页面单击添加路由条目，在添加路由条目面板中，配置路由信息并单击确定。配置说明如下：

   配置项	配置说明
   目标网段	输入待互通的目标网段。
   下一跳类型	选择下一跳的类型。选择IPsec连接。
   下一跳	选择下一跳。本示例选择IPsec连接1。
   发布到VPC	选择是否将新添加的路由发布到VPN网关关联的VPC中。本示例选择是。
   权重	选择路由的权重值。本示例保持默认值100。 100：高优先级。 0：低优先级。

   更多信息，请参见添加目的路由。

步骤五：采用专线配置备份计划

完成上述配置后，您可以通过以下步骤，将公有云华南1（深圳）地域下RDS实例通过专线接入金融云华东1（杭州）地域下的DBS备份计划中。

1. 访问备份计划，然后在上方选择备份计划所在的地域。本示例为金融云华东1（杭州）。
2. 找到目标备份计划ID，单击右侧操作列下的配置备份计划。
3. 在配置备份源和目标页面，配置备份源信息与备份目标信息，并单击页面右下角的下一步。
   

   类别	配置	说明
   无	备份计划名称	DBS会自动生成一个任务名称，建议配置具有业务意义的名称（无唯一性要求），便于后续识别。
   备份源信息	备份方式	默认为创建计划时购买的备份方式，本文为MySQL逻辑备份。
   	数据库所在位置	请选择通过专线/VPN网关/智能网关接入的自建数据库。
   	数据库类型	默认为购买的数据库类型，本示例为MySQL。
   	对端专有网络	选择步骤一中金融云华东1（杭州）地域所创建的专有网络VPC。
   	连接地址	填写公有云华南1（深圳）地域下RDS MySQL数据库实例的私网连接地址。
   	端口	填写公有云华南1（深圳）地域下RDS MySQL数据库实例的连接端口，MySQL默认端口为3306。
   	数据库账号	填入数据库账号，该账号需要具备一定的权限用于备份数据库，更多信息，请参见账号权限说明。
   	密码	填入该数据库账号对应的密码。 账号密码填写完毕后，您可以单击密码右侧的测试连接来验证填入的数据库信息是否正确。源库信息填写正确则提示测试通过；如果提示测试失败，单击测试失败后的诊断，根据提示调整填写的源库信息。
   备份目标信息	备份目标存储类型	备份目标存储类型，支持： DBS内置存储（推荐）：无需创建存储空间，数据将自动存入DBS内置存储中，会根据存入DBS的数据量产生费用，计费方式请参见存储费用。 推荐您预购存储包，进一步减低存储费用，详情请参见使用存储包。 用户OSS：您需要提前在OSS中创建存储空间（Bucket），更多信息，请参见创建存储空间。 说明 本示例为选择DBS内置存储，当您选择用户OSS时，您还需额外配置对象存储OSS Bucket名称参数，且只支持OSS标准存储。
   	存储方式	请选择存储方式，当前支持： 内置加密存储（推荐）：使用行业标准的AES256算法（即256位高级加密标准）进行加密存储。 在对象存储OSS中支持服务器端加密功能。上传文件（Object）时，OSS对收到的文件进行加密，再将得到的加密文件持久化保存；下载文件时，OSS自动将加密文件解密后返回给用户。更多信息，请参见服务器端加密。 非加密存储：不开启加密。

4. 在配置备份对象页面，将需要备份的库或者表移动到已选择数据库对象框中，单击下一步。
   说明

   • 逻辑备份：备份部分库表，支持单表、单库及多库，您可单击页面左下角的全选中选中现有所有库，各个数据库支持备份的对象不同，更多信息请参见支持的数据库引擎与功能。备份任务默认不支持后续新创建的数据库，如需备份该库，您可在备份计划配置中添加该库便于后续备份，具体操作请参见修改备份对象。
   • 物理备份：仅支持备份整个实例。
5. 在配置备份时间页面，配置备份时间等信息，并单击页面右下角的下一步。

   配置	说明
   全量备份频率	按需选择周期备份或单次备份。 说明 需要恢复增量数据的场景，建议选择周期备份，一周至少做一次全量备份。否则恢复时需要回放大量binlog，会有很大几率出现恢复异常，恢复RTO（Recovery Time Objective）长，恢复失败的情况。
   全量备份周期	全量备份频率为周期备份时必选。勾选备份数据的周期，每周最少选择一天进行数据备份。
   全量备份开始时间	全量备份频率为周期备份时必选。选择备份开始时间，例如01:00，建议设置为业务低峰期。 说明 若到了指定备份时间点，仍有上次的全量备份任务在进行中，则会自动跳过一次备份。
   增量备份	选择是否开启增量备份，开启该参数时，请确保目标数据库已开启Binlog。 说明 RDS MySQL已默认开启Binlog，自建数据库需要手动开启Binlog。 该参数仅在全量备份频率参数为周期备份时显示。
   全量备份并行线程数上限	填写全量备份并行线程数上限，您可以通过设置该参数调节备份速度，例如降低备份线程数，以减少对数据库的影响。 不同备份计划规格并行线程数上限不同，具体以控制台为准，更多信息，请参见如何调节备份速度。
   备份网络限速	网络带宽限制（默认为0，表示不限速），单位为MB/s，取值不限。 该参数仅在备份MySQL数据库时显示。

6. 在配置生命周期页面，输入全量备份数据的保存时间。
   说明 若您在上一步开启了增量备份功能，您还需要配置增量备份数据的备份时间。
7. 完成上述配置后，单击页面右下角的预检查并启动。
8. 在预检查对话框中显示预检查通过100%后，单击立即启动。
   说明 待备份计划状态变为运行中，备份计划配置完成。
   完成备份后，您可以查看备份计划或恢复备份计划，具体操作，请参见查看备份计划或恢复数据库。

DBS IP地址段

金融云Server网段