本文介绍如何将公有云RDS实例通过专线接入到金融云DBS中,并采用专线配置逻辑备份计划。

名词解释

  • 专有网络VPC:专有网络VPC(Virtual Private Cloud)是用户基于阿里云创建的自定义私有网络,不同的专有网络之间二层逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如ECS、负载均衡、RDS等。
  • VPN网关:VPN网关是一款网络连接服务,通过建立加密通道的方式实现企业本地数据中心、企业办公网络或者互联网客户端与阿里云专有网络VPC之间安全可靠的私网连接。VPN网关提供IPsec-VPN和SSL-VPN两种网络连接方式,不同的网络连接方式适用于不同的应用场景。更多详情请参见什么是VPN网关
  • IPsec-VPN:IPsec-VPN是一种基于路由的网络连接技术,提供灵活的流量路由方式,方便您配置和维护VPN策略,适用于在企业本地数据中心或企业办公网络与VPC之间建立网络连接。

场景示例

某企业在金融云华东1(杭州)地域拥有一个VPC1,在公有云华南1(深圳)地域拥有一个VPC2。两个VPC均已在各地域云服务器ECS(Elastic Compute Service)部署了业务,企业因后续发展,现在需要将公有云华南1(深圳)地域的RDS实例通过专线接入到金融云华东1(杭州)地域的DBS中,并采用专线配置DBS逻辑备份计划,便于后续备份和恢复数据。

前提条件

  • 已创建DBS备份计划。创建方法请参见购买备份计划。本文以金融云华东1(杭州)地域的DBS逻辑备份计划为示例。
  • 已创建RDS MySQL实例。创建方法请参见创建RDS MySQL实例。本文以公有云华南1(深圳)地域的RDS MySQL实例为示例。
  • 您已经在金融云华东1(杭州)地域和公有云华南1(深圳)地域分别创建了VPC1和VPC2,两个VPC中均使用ECS部署了相关业务。具体操作,请参见搭建IPv4专有网络
    本示例VPC1和VPC2的配置如下表所示。
    说明 您可以按需规划VPC实例的网段,请确保要互通的网段之间没有重叠。
    VPC实例名称 环境 VPC实例所属地域 VPC实例的网段 ECS实例名称 ECS实例的IP地址
    VPC1 金融云 华东1(杭州)
    说明 DBS备份计划所在地
    192.168.0.0/16
    说明 根据ECS实例私网IP地址设置。
    ECS1 192.XXX.XX.3
    VPC2 公有云 华南1(深圳)
    说明 RDS MySQL实例所在地
    172.18.0.0/16 ECS2 172.XXX.XX.112

配置流程

  1. 步骤一:创建VPN网关
  2. 步骤二:创建用户网关
  3. 步骤三:创建IPsec连接
  4. 步骤四:检查或配置路由
  5. 步骤五:采用专线配置备份计划
配置流程

步骤一:创建VPN网关

  1. 登录VPN网关管理控制台
  2. 在顶部菜单栏,选择VPN网关实例所属的地域。
    此处以配置金融云华东1(杭州)地域的VPN网关为例介绍配置流程,公有云华南1(深圳)地域的配置流程与该配置类似。
    说明 VPN网关实例的地域和待关联的VPC实例的地域需相同。
  3. VPN网关页面,单击创建VPN网关
  4. 在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。
    配置项 说明
    实例名称 输入VPN网关实例的名称。本示例输入VPN网关1
    地域和可用区 选择VPN网关实例所属的地域。本示例选择华东1(杭州)
    网关类型 选择VPN网关实例的类型。本示例选择普通型
    VPC 选择步骤一中已创建的专有网络VPC。
    指定交换机 是否指定VPN网关创建在VPC实例中的某一个交换机下。本示例选择
    带宽规格 选择VPN网关实例的公网带宽峰值。单位:Mbps。
    IPsec-VPN 选择开启或关闭IPsec-VPN功能。本示例选择开启
    SSL-VPN 选择开启或关闭SSL-VPN功能。本示例选择关闭
    计费周期

    选择购买时长。

    您可以选择是否自动续费:
    • 按月购买:自动续费周期为1个月。
    • 按年购买:自动续费周期为1年。
    服务关联角色 单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。

    VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn

    若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。

    更多信息,请参见创建VPN网关实例
  5. 返回VPN网关页面,查看已创建的VPN网关实例。
    创建VPN网关实例后,其状态是准备中,约1~5分钟会变成正常状态。正常状态表明VPN网关实例已经完成了初始化,可以正常使用。
  6. 重复步骤2到步骤5的操作,在公有云华南1(深圳)地域创建一个名称为VPN网关2的VPN网关实例,该VPN网关实例关联VPC2,其余配置与VPN网关1相同。
    VPN网关创建完成后,两个VPN网关实例的信息如下表所示。
    环境 地域 VPN网关实例的名称 VPN网关实例关联的VPC实例名称 VPN网关实例ID VPN网关IP地址
    金融云 华东1(杭州) VPN网关1 VPC1 vpn-bp1mkxa7nbclxe4my**** 116.XXX.XX.151
    公有云 华南1(深圳) VPN网关2 VPC2 vpn-bp16lmik5zrlkev5e0elv**** 39.XXX.XX.149

步骤二:创建用户网关

  1. 在左侧导航栏,选择网间互联 > VPN > 用户网关
  2. 在顶部菜单栏,选择用户网关实例的地域。
    说明 用户网关实例的地域必须和待连接的VPN网关实例的地域相同。
  3. 用户网关页面,单击创建用户网关
  4. 创建用户网关面板,根据以下信息配置用户网关实例,然后单击确定
    您需要在金融云华东1(杭州)地域和公有云华南1(深圳)地域分别创建一个用户网关实例,用户网关实例的配置请参见下表。
    配置项 配置项说明 金融云华东1(杭州) 公有云华南1(深圳)
    名称 输入用户网关实例的名称。 Customer1 Customer2
    IP地址 输入用户网关实例的公网IP地址。 本示例输入VPN网关2的IP地址39.XXX.XX.149
    说明 在本示例中VPN1和VPN2互为对方的用户网关。
    本示例输入VPN网关1的IP地址116.XXX.XX.151

    更多信息,请参见创建用户网关

    配置完成后,VPN网关实例、用户网关实例与VPC实例之间的对应关系如下表所示。
    地域 VPC实例名称 VPN网关实例名称 用户网关实例名称 用户网关实例ID 用户网关IP地址
    金融云华东1(杭州) VPC1 VPN网关1 Customer1 cgw-bp1whkahxvxh7zm7u**** 39.XXX.XX.149
    公有云华南1(深圳) VPC2 VPN网关2 Customer2 cgw-m5e6qdvuxquse3fvm**** 116.XXX.XX.151

步骤三:创建IPsec连接

您需要在金融云华东1(杭州)地域和公有云华南1(深圳)地域分别创建IPsec连接,此处以配置金融云华东1(杭州)地域的IPsec连接为例介绍配置流程,公有云华南1(深圳)地域的配置流程与该配置类似。

  1. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
  2. 在顶部菜单栏,选择IPsec连接的地域。
    说明 IPsec连接的地域必须和要连接的VPN网关的地域相同。
  3. IPsec连接页面,单击创建IPsec连接
  4. 创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定,配置项说明请参见下表。
    说明 请确保金融云华东1(杭州)地域和公有云华南1(深圳)地域的预共享密钥IKE配置IPsec配置必须保持一致。
    配置项 配置项名称 配置项说明
    基本配置 名称 输入IPsec连接的名称。

    本文输入IPsec连接1

    VPN网关 选择已创建的VPN网关实例。

    本文选择VPN网关1

    用户网关 选择已创建的用户网关实例。

    本文选择用户网关1

    路由模式 选择感兴趣流模式:基于源IP地址和目的IP地址精确的路由和转发流量。
    选择感兴趣流模式后,您需要配置本端网段对端网段。IPsec连接配置完成后:
    • 如果IPsec连接绑定了VPN网关实例,系统自动在VPN网关实例的策略路由表中添加策略路由。

      系统在VPN网关实例的策略路由表中添加策略路由后,路由默认是未发布状态。您可以依据网络互通需求决定是否将路由发布至VPC的路由表中。具体操作,请参见添加策略路由

    • 如果IPsec连接绑定了转发路由器实例,系统自动在IPsec连接下的目的路由表中添加目的路由,路由默认会被发布至IPsec连接关联的转发路由器的路由表中。
    本端网段 请输入金融云华东1(杭州)地域的VPC网段、金融云华东1(杭州)地域VPC的Server网段、华东1(杭州)地域的DBS IP网段,用于第二阶段协商。
    单击文本框右侧的添加图标,可添加多个需要和本地互通的网段信息。
    说明
    • 金融云各地域VPC的Server网段,请参见金融云Server网段
    • 各地域的DBS IP网段,请参见DBS IP地址段
    • 仅当创建备份计划的金融云地域作为本端时,需要配置如上所述3个网段;当另一公有云地域作为本端时仅需要配置一个互联的VPC网段。
    • 如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2
    对端网段 请输入公有云华南1(深圳)地域的VPC网段,用于第二阶段协商。
    单击文本框右侧的添加图标,可添加多个需要和本地互通的网段信息。
    说明 如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2
    立即生效 选择是否立即生效。
    • :配置完成后立即进行协商。
    • :当有流量进入时进行协商。

    本文选择

    预共享密钥 输入预共享密钥。

    如果不输入该值,系统默认生成一个16位的随机字符串。

    重要 此处需注意,请保证金融云华东1(杭州)地域预共享密钥和公有云华南1(深圳)地域的预共享密钥一致。
    IKE配置 版本 选择IKE协议的版本。本示例选择ikev2。
    • ikev1
    • ikev2

    目前系统支持IKEv1和IKEv2,相对于IKEv1版本,IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持,所以建议选择IKEv2版本。

    协商模式 选择协商模式。 本示例选择main。
    • main:主模式,协商过程安全性高。
    • aggressive:野蛮模式,协商快速且协商成功率高。

    协商成功后两种模式的信息传输安全性相同。

    加密算法 选择第一阶段协商使用的加密算法。本示例选择3des。
    认证算法 选择第一阶段协商使用的认证算法。本示例选择md5。
    DH分组 选择第一阶段协商的Diffie-Hellman密钥交换算法。本示例选择group2。
    SA生存周期(秒) 设置第一阶段协商出的SA的生存周期。单位:秒。默认值:86400。取值范围:0~86400
    LocalId 为IPsec连接阿里云侧的标识,用于第一阶段的协商。
    • 如果IPsec连接绑定转发路由器实例,则当前标识的值默认为IPsec连接的网关IP地址。
    • 如果IPsec连接绑定VPN网关实例,则当前标识的值默认为VPN网关实例的IP地址。

    LocalId支持FQDN格式,如果您使用FQDN格式,协商模式建议选择为aggressive(野蛮模式)。

    RemoteId 为IPsec连接本地数据中心侧的标识,用于第一阶段的协商。默认值为用户网关的IP地址。

    RemoteId支持FQDN格式,如果您使用FQDN格式,协商模式建议选择为aggressive(野蛮模式)。

    IPsec配置 加密算法 选择第二阶段协商的加密算法。本示例选择3des。
    认证算法 选择第二阶段协商的认证算法。本示例选择md5。
    DH分组 选择第二阶段协商的Diffie-Hellman密钥交换算法。本示例选择group2。
    • disabled:表示不使用DH密钥交换算法。
      • 对于不支持PFS的客户端请选择disabled
      • 如果选择为非disabled的任何一个组,会默认开启完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重协商都要更新密钥,因此,相应的客户端也要开启PFS功能。
    • group1:表示DH分组中的DH1。
    • group2(默认值):表示DH分组中的DH2。
    • group5:表示DH分组中的DH5。
    • group14:表示DH分组中的DH14。
    SA生存周期(秒) 设置第二阶段协商出的SA的生存周期。单位:秒。默认值:86400。取值范围:0~86400
    DPD 选择开启或关闭对等体存活检测功能。DPD功能默认开启。
    NAT穿越 选择开启或关闭NAT穿越功能。NAT穿越功能默认开启。

    其他选项使用默认配置。更多信息,请参见创建和管理IPsec连接

  5. 重复步骤2到步骤4的操作,在公有云华南1(深圳)地域创建一个名称为IPsec连接2的连接实例。请确保公有云华南1(深圳)地域的预共享密钥IKE配置IPsec配置金融云华东1(杭州)地域这几个配置项必须保持一致。
    创建完成后,两个IPsec连接实例的本端/对端信息如下表所示。
    环境 地域 本端网段 对端网段
    金融云 华东1(杭州)
    • 金融云华东1(杭州)VPC网段:192.168.0.0/16
    • 金融云华东1(杭州)VPC的Server网段:100.104.255.64/26
    • 华东1(杭州)DBS IP网段:100.104.217.0/24
    公有云华南1(深圳)VPC网段:172.18.0.0/16
    公有云 华南1(深圳) 公有云华南1(深圳)VPC网段:172.18.0.0/16
    • 金融云华东1(杭州)VPC网段:192.168.0.0/16
    • 金融云华东1(杭州)VPC的Server网段:100.104.255.64/26
    • 华东1(杭州)DBS IP网段:100.104.217.0/24

步骤四:检查或配置路由

  1. 在左侧导航栏,选择网间互联 > VPN > VPN网关
  2. 在顶部菜单栏,选择VPN网关实例的地域。
  3. VPN网关页面,找到目标VPN网关实例,单击实例ID。
  4. 单击策略路由表页签,检查路由配置是否包含所有目的端和对端网络,以及所有路由的状态是否已发布。

    您需要分别检查华东1(杭州)地域和华南1(深圳)地域的路由配置情况。

    说明 如果有遗漏的路由策略,您可在此页面单击添加路由条目,在添加路由条目面板中,配置路由信息并单击确定。配置说明如下:
    配置项 配置说明
    目标网段 输入待互通的目标网段。
    下一跳类型 选择下一跳的类型。选择IPsec连接
    下一跳 选择下一跳。本示例选择IPsec连接1。
    发布到VPC 选择是否将新添加的路由发布到VPN网关关联的VPC中。本示例选择
    权重 选择路由的权重值。本示例保持默认值100
    • 100:高优先级。
    • 0:低优先级。
    更多信息,请参见添加目的路由

步骤五:采用专线配置备份计划

完成上述配置后,您可以通过以下步骤,将公有云华南1(深圳)地域下RDS实例通过专线接入金融云华东1(杭州)地域下的DBS备份计划中。

  1. 访问备份计划,然后在上方选择备份计划所在的地域。本示例为金融云华东1(杭州)
  2. 找到目标备份计划ID,单击右侧操作列下的配置备份计划
  3. 配置备份源和目标页面,配置备份源信息备份目标信息,并单击页面右下角的下一步
    配置页面
    类别 配置 说明
    备份计划名称

    DBS会自动生成一个任务名称,建议配置具有业务意义的名称(无唯一性要求),便于后续识别。

    备份源信息 备份方式 默认为创建计划时购买的备份方式,本文为MySQL逻辑备份
    数据库所在位置 请选择通过专线/VPN网关/智能网关接入的自建数据库
    数据库类型 默认为购买的数据库类型,本示例为MySQL。
    对端专有网络 选择步骤一中金融云华东1(杭州)地域所创建的专有网络VPC。
    连接地址 填写公有云华南1(深圳)地域下RDS MySQL数据库实例的私网连接地址。
    端口 填写公有云华南1(深圳)地域下RDS MySQL数据库实例的连接端口,MySQL默认端口为3306。
    数据库账号

    填入数据库账号,该账号需要具备一定的权限用于备份数据库,更多信息,请参见账号权限说明

    密码 填入该数据库账号对应的密码。

    账号密码填写完毕后,您可以单击密码右侧的测试连接来验证填入的数据库信息是否正确。源库信息填写正确则提示测试通过;如果提示测试失败,单击测试失败后的诊断,根据提示调整填写的源库信息。

    备份目标信息 备份目标存储类型 备份目标存储类型,支持:
    • DBS内置存储(推荐):无需创建存储空间,数据将自动存入DBS内置存储中,会根据存入DBS的数据量产生费用,计费方式请参见存储费用

      推荐您预购存储包,进一步减低存储费用,详情请参见使用存储包

    • 用户OSS:您需要提前在OSS中创建存储空间(Bucket),更多信息,请参见创建存储空间
    说明 本示例为选择DBS内置存储,当您选择用户OSS时,您还需额外配置对象存储OSS Bucket名称参数,且只支持OSS标准存储。
    存储方式 请选择存储方式,当前支持:
    • 内置加密存储(推荐):使用行业标准的AES256算法(即256位高级加密标准)进行加密存储。

      在对象存储OSS中支持服务器端加密功能。上传文件(Object)时,OSS对收到的文件进行加密,再将得到的加密文件持久化保存;下载文件时,OSS自动将加密文件解密后返回给用户。更多信息,请参见服务器端加密

    • 非加密存储:不开启加密。
  4. 配置备份对象页面,将需要备份的库或者表移动到已选择数据库对象框中,单击下一步
    说明
    • 逻辑备份:备份部分库表,支持单表、单库及多库,您可单击页面左下角的全选中选中现有所有库,各个数据库支持备份的对象不同,更多信息请参见支持的数据库引擎与功能。备份任务默认不支持后续新创建的数据库,如需备份该库,您可在备份计划配置中添加该库便于后续备份,具体操作请参见修改备份对象
    • 物理备份:仅支持备份整个实例。
  5. 配置备份时间页面,配置备份时间等信息,并单击页面右下角的下一步
    配置 说明
    全量备份频率

    按需选择周期备份单次备份

    说明 需要恢复增量数据的场景,建议选择周期备份,一周至少做一次全量备份。否则恢复时需要回放大量binlog,会有很大几率出现恢复异常,恢复RTO(Recovery Time Objective)长,恢复失败的情况。
    全量备份周期

    全量备份频率周期备份时必选。勾选备份数据的周期,每周最少选择一天进行数据备份。

    全量备份开始时间

    全量备份频率周期备份时必选。选择备份开始时间,例如01:00,建议设置为业务低峰期。

    说明 若到了指定备份时间点,仍有上次的全量备份任务在进行中,则会自动跳过一次备份。
    增量备份

    选择是否开启增量备份,开启该参数时,请确保目标数据库已开启Binlog。

    说明 RDS MySQL已默认开启Binlog,自建数据库需要手动开启Binlog。

    该参数仅在全量备份频率参数为周期备份时显示。

    全量备份并行线程数上限

    填写全量备份并行线程数上限,您可以通过设置该参数调节备份速度,例如降低备份线程数,以减少对数据库的影响。

    不同备份计划规格并行线程数上限不同,具体以控制台为准,更多信息,请参见如何调节备份速度

    备份网络限速

    网络带宽限制(默认为0,表示不限速),单位为MB/s,取值不限。

    该参数仅在备份MySQL数据库时显示。

  6. 配置生命周期页面,输入全量备份数据的保存时间。
    说明 若您在上一步开启了增量备份功能,您还需要配置增量备份数据的备份时间。
  7. 完成上述配置后,单击页面右下角的预检查并启动
  8. 预检查对话框中显示预检查通过100%后,单击立即启动
    说明 待备份计划状态变为运行中,备份计划配置完成。
    完成备份后,您可以查看备份计划或恢复备份计划,具体操作,请参见查看备份计划恢复数据库

DBS IP地址段

地域 DBS IP地址段
华东1(杭州) 100.104.217.0/24
华北2(北京) 100.104.119.0/24
华北1(青岛) 100.104.183.0/24
华东2(上海) 100.104.191.0/24
华南1(深圳) 100.104.81.0/24
西南1(成都) 100.104.133.128/26
华北6(乌兰察布) 100.104.76.192/26
华南2(河源) 100.104.127.0/26
韩国(首尔) 100.104.150.192/26
泰国(曼谷) 100.104.119.128/26
印度(孟买) 100.104.88.64/26
中国香港 100.104.10.0/24
新加坡 100.104.10.0/24
日本(东京) 100.104.144.0/24
华北5(呼和浩特) 100.104.40.0/24
华北3(张家口) 100.104.48.0/24
美国(弗吉尼亚) 100.104.220.0/24
美国(硅谷) 100.104.17.0/24
澳大利亚(悉尼) 100.104.234.0/24
德国(法兰克福) 100.104.133.0/24
马来西亚(吉隆坡) 100.104.10.0/24
印度尼西亚(雅加达) 100.104.209.0/24

金融云Server网段

金融云地域 金融云Server网段
华东1(杭州) 100.104.255.64/26
华南1(深圳) 100.104.194.128/26
华东2(上海) 100.104.45.64/26