如果您拥有公有云RDS MySQL实例,并期望通过专线将其接入金融云,以实现更安全、快速和可靠的数据备份与恢复,您可以参考本文提供的方法。本文将介绍如何将公有云RDS MySQL实例连接到金融云DBS,并采用专线配置逻辑备份计划。
名词解释
专有网络VPC:专有网络VPC(Virtual Private Cloud)是用户基于阿里云创建的自定义私有网络,不同的专有网络之间二层逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如ECS、负载均衡、RDS等。
VPN网关:VPN网关是一款网络连接服务,通过建立加密通道的方式实现企业本地数据中心、企业办公网络或者互联网客户端与阿里云专有网络VPC之间安全可靠的私网连接。VPN网关提供IPsec-VPN和SSL-VPN两种网络连接方式,不同的网络连接方式适用于不同的应用场景。更多详情请参见什么是VPN网关。
IPsec-VPN:IPsec-VPN是一种基于路由的网络连接技术,提供灵活的流量路由方式,方便您配置和维护VPN策略,适用于在企业本地数据中心或企业办公网络与VPC之间建立网络连接。
场景示例
某企业在金融云华东1(杭州)地域拥有一个VPC1,在公有云华南1(深圳)地域拥有一个VPC2。两个VPC均已在各地域云服务器ECS(Elastic Compute Service)部署了业务,企业因后续发展,现在需要将公有云华南1(深圳)地域的RDS实例通过专线接入到金融云华东1(杭州)地域的DBS中,并采用专线配置DBS逻辑备份计划,便于后续备份和恢复数据。
前提条件
已创建DBS备份计划。创建方法请参见创建备份计划。本文以金融云华东1(杭州)地域的DBS逻辑备份计划为示例。
已创建RDS MySQL实例。创建方法请参见快速创建RDS MySQL实例。本文以公有云华南1(深圳)地域的RDS MySQL实例为示例。
您已经在金融云华东1(杭州)地域和公有云华南1(深圳)地域分别创建了VPC1和VPC2,两个VPC中均使用ECS部署了相关业务。具体操作,请参见搭建IPv4专有网络。
本示例VPC1和VPC2的配置如下表所示。
说明您可以按需规划VPC实例的网段,请确保要互通的网段之间没有重叠。
VPC实例名称
环境
VPC实例所属地域
VPC实例的网段
ECS实例名称
ECS实例的IP地址
VPC1
金融云
华东1(杭州)
说明DBS备份计划所在地。
192.168.0.0/16
说明根据ECS实例私网IP地址设置。
ECS1
192.XXX.XX.3
VPC2
公有云
华南1(深圳)
说明RDS MySQL实例所在地。
172.18.0.0/16
ECS2
172.XXX.XX.112
配置流程
步骤一:创建VPN网关
登录VPN网关管理控制台。
在顶部菜单栏,选择VPN网关实例所属的地域。
此处以配置金融云华东1(杭州)地域的VPN网关为例介绍配置流程,公有云华南1(深圳)地域的配置流程与该配置类似。
说明VPN网关实例的地域和待关联的VPC实例的地域需相同。
在VPN网关页面,单击创建VPN网关。
在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。
配置项
说明
实例名称
输入VPN网关实例的名称。本示例输入VPN网关1。
地域和可用区
选择VPN网关实例所属的地域。本示例选择华东1(杭州)。
网关类型
选择VPN网关实例的类型。本示例选择普通型。
VPC
选择已创建的专有网络VPC。
指定交换机
是否指定VPN网关创建在VPC实例中的某一个交换机下。本示例选择否。
带宽规格
选择VPN网关实例的公网带宽峰值。单位:Mbps。
IPsec-VPN
选择开启或关闭IPsec-VPN功能。本示例选择开启。
SSL-VPN
选择开启或关闭SSL-VPN功能。本示例选择关闭。
计费周期
选择购买时长。
您可以选择是否自动续费:
按月购买:自动续费周期为1个月。
按年购买:自动续费周期为1年。
服务关联角色
单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。
VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn。
若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。
更多信息,请参见创建VPN网关实例。
返回VPN网关页面,查看已创建的VPN网关实例。
创建VPN网关实例后,其状态是准备中,约1~5分钟会变成正常状态。正常状态表明VPN网关实例已经完成了初始化,可以正常使用。
重复步骤2到步骤5的操作,在公有云华南1(深圳)地域创建一个名称为VPN网关2的VPN网关实例,该VPN网关实例关联VPC2,其余配置与VPN网关1相同。
VPN网关创建完成后,两个VPN网关实例的信息如下表所示。
环境
地域
VPN网关实例的名称
VPN网关实例关联的VPC实例名称
VPN网关实例ID
VPN网关IP地址
金融云
华东1(杭州)
VPN网关1
VPC1
vpn-bp1mkxa7nbclxe4my****
116.XXX.XX.151
公有云
华南1(深圳)
VPN网关2
VPC2
vpn-bp16lmik5zrlkev5e0elv****
39.XXX.XX.149
步骤二:创建用户网关
在左侧导航栏,选择 。
在顶部菜单栏,选择用户网关实例的地域。
说明用户网关实例的地域必须和待连接的VPN网关实例的地域相同。
在用户网关页面,单击创建用户网关。
在创建用户网关面板,根据以下信息配置用户网关实例,然后单击确定。
您需要在金融云华东1(杭州)地域和公有云华南1(深圳)地域分别创建一个用户网关实例,用户网关实例的配置请参见下表。
配置项
配置项说明
金融云华东1(杭州)
公有云华南1(深圳)
名称
输入用户网关实例的名称。
Customer1
Customer2
IP地址
输入用户网关实例的公网IP地址。
本示例输入VPN网关2的IP地址39.XXX.XX.149。
说明在本示例中VPN1和VPN2互为对方的用户网关。
本示例输入VPN网关1的IP地址116.XXX.XX.151。
更多信息,请参见创建和管理用户网关。
配置完成后,VPN网关实例、用户网关实例与VPC实例之间的对应关系如下表所示。
地域
VPC实例名称
VPN网关实例名称
用户网关实例名称
用户网关实例ID
用户网关IP地址
金融云华东1(杭州)
VPC1
VPN网关1
Customer1
cgw-bp1whkahxvxh7zm7u****
39.XXX.XX.149
公有云华南1(深圳)
VPC2
VPN网关2
Customer2
cgw-m5e6qdvuxquse3fvm****
116.XXX.XX.151
步骤三:创建IPsec连接
您需要在金融云华东1(杭州)地域和公有云华南1(深圳)地域分别创建IPsec连接,此处以配置金融云华东1(杭州)地域的IPsec连接为例介绍配置流程,公有云华南1(深圳)地域的配置流程与该配置类似。
在左侧导航栏,选择 。
在顶部菜单栏,选择IPsec连接的地域。
说明IPsec连接的地域必须和要连接的VPN网关的地域相同。
在IPsec连接页面,单击创建IPsec连接。
在创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定,配置项说明请参见下表。
说明请确保金融云华东1(杭州)地域和公有云华南1(深圳)地域的预共享密钥、IKE配置、IPsec配置必须保持一致。
配置项
配置项名称
配置项说明
基本配置
名称
输入IPsec连接的名称。
本文输入IPsec连接1。
VPN网关
选择已创建的VPN网关实例。
本文选择VPN网关1。
用户网关
选择已创建的用户网关实例。
本文选择用户网关1。
路由模式
选择感兴趣流模式:基于源IP地址和目的IP地址精确的路由和转发流量。
选择感兴趣流模式后,您需要配置本端网段和对端网段。IPsec连接配置完成后,系统自动在VPN网关实例的策略路由表中添加策略路由。
系统在VPN网关实例的策略路由表中添加策略路由后,路由默认是未发布状态。您可以依据网络互通需求决定是否将路由发布至VPC的路由表中。具体操作,请参见发布策略路由。
本端网段
请输入金融云华东1(杭州)地域的VPC网段、金融云华东1(杭州)地域VPC的Server网段、华东1(杭州)地域的DBS IP网段,用于第二阶段协商。
单击文本框右侧的图标,可添加多个需要和本地互通的网段信息。
说明金融云各地域VPC的Server网段,请参见金融云Server网段。
各地域的DBS IP网段,请参见DBS IP地址段。
仅当创建备份计划的金融云地域作为本端时,需要配置如上所述3个网段;当另一公有云地域作为本端时仅需要配置一个互联的VPC网段。
如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2。
对端网段
请输入公有云华南1(深圳)地域的VPC网段,用于第二阶段协商。
单击文本框右侧的图标,可添加多个需要和本地互通的网段信息。
说明如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2。
立即生效
选择是否立即生效。
是:配置完成后立即进行协商。
否:当有流量进入时进行协商。
本文选择是。
预共享密钥
输入预共享密钥。
如果不输入该值,系统默认生成一个16位的随机字符串。
重要此处需注意,请保证金融云华东1(杭州)地域预共享密钥和公有云华南1(深圳)地域的预共享密钥一致。
IKE配置
版本
选择IKE协议的版本。本示例选择ikev2。
ikev1
ikev2
目前系统支持IKEv1和IKEv2,相对于IKEv1版本,IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持,所以建议选择IKEv2版本。
协商模式
选择协商模式。 本示例选择main。
main:主模式,协商过程安全性高。
aggressive:野蛮模式,协商快速且协商成功率高。
协商成功后两种模式的信息传输安全性相同。
加密算法
选择第一阶段协商使用的加密算法。本示例选择3des。
认证算法
选择第一阶段协商使用的认证算法。本示例选择md5。
DH分组
选择第一阶段协商的Diffie-Hellman密钥交换算法。本示例选择group2。
SA生存周期(秒)
设置第一阶段协商出的SA的生存周期。单位:秒。默认值:86400。取值范围:0~86400。
LocalId
为IPsec连接阿里云侧的标识,用于第一阶段的协商。
输入IPsec连接本地数据中心侧的标识。默认值为用户网关的IP地址。
该参数仅作为标识符用于在IPsec-VPN连接协商中标识本地数据中心,无其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推荐使用私网IP地址作为IPsec连接本地数据中心侧的标识。
如果RemoteId使用了FQDN格式,例如输入example.aliyun.com,则本地数据中心侧IPsec连接的本端ID需与RemoteId的值保持一致,协商模式建议选择为aggressive(野蛮模式)。
RemoteId
为IPsec连接本地数据中心侧的标识,用于第一阶段的协商。默认值为用户网关的IP地址。
该参数仅作为标识符用于在IPsec-VPN连接协商中标识本地数据中心,无其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推荐使用私网IP地址作为IPsec连接本地数据中心侧的标识。
IPsec配置
加密算法
选择第二阶段协商的加密算法。本示例选择3des。
认证算法
选择第二阶段协商的认证算法。本示例选择md5。
DH分组
选择第二阶段协商的Diffie-Hellman密钥交换算法。本示例选择group2。
disabled:表示不使用DH密钥交换算法。
对于不支持PFS的客户端请选择disabled。
如果选择为非disabled的任何一个组,会默认开启完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重协商都要更新密钥,因此,相应的客户端也要开启PFS功能。
group1:表示DH分组中的DH1。
group2(默认值):表示DH分组中的DH2。
group5:表示DH分组中的DH5。
group14:表示DH分组中的DH14。
SA生存周期(秒)
设置第二阶段协商出的SA的生存周期。单位:秒。默认值:86400。取值范围:0~86400。
DPD
选择开启或关闭对等体存活检测功能。DPD功能默认开启。
NAT穿越
选择开启或关闭NAT穿越功能。NAT穿越功能默认开启。
其他选项使用默认配置。更多信息,请参见创建和管理IPsec连接(单隧道模式)。
重复步骤2到步骤4的操作,在公有云华南1(深圳)地域创建一个名称为IPsec连接2的连接实例。请确保公有云华南1(深圳)地域的预共享密钥、IKE配置、IPsec配置与金融云华东1(杭州)地域这几个配置项必须保持一致。
创建完成后,两个IPsec连接实例的本端/对端信息如下表所示。
环境
地域
本端网段
对端网段
金融云
华东1(杭州)
金融云华东1(杭州)VPC网段:192.168.0.0/16
金融云华东1(杭州)VPC的Server网段:100.104.255.64/26
华东1(杭州)DBS IP网段:100.104.217.0/24
公有云华南1(深圳)VPC网段:172.18.0.0/16
公有云
华南1(深圳)
公有云华南1(深圳)VPC网段:172.18.0.0/16
金融云华东1(杭州)VPC网段:192.168.0.0/16
金融云华东1(杭州)VPC的Server网段:100.104.255.64/26
华东1(杭州)DBS IP网段:100.104.217.0/24
步骤四:检查或配置路由
在左侧导航栏,选择 。
在顶部菜单栏,选择VPN网关实例的地域。
在VPN网关页面,找到目标VPN网关实例,单击实例ID。
单击策略路由表页签,检查路由配置是否包含所有目的端和对端网络,以及所有路由的状态是否已发布。
您需要分别检查华东1(杭州)地域和华南1(深圳)地域的路由配置情况。
说明如果有遗漏的路由策略,您可在此页面单击添加路由条目,在添加路由条目面板中,配置路由信息并单击确定。配置说明如下:
配置项
配置说明
目标网段
输入待互通的目标网段。
下一跳类型
选择下一跳的类型。选择IPsec连接。
下一跳
选择下一跳。本示例选择IPsec连接1。
发布到VPC
选择是否将新添加的路由发布到VPN网关关联的VPC中。本示例选择是。
权重
选择路由的权重值。本示例保持默认值100。
100:高优先级。
0:低优先级。
更多信息,请参见添加目的路由。
步骤五:采用专线配置备份计划
完成上述配置后,您可以通过以下步骤,将公有云华南1(深圳)地域下RDS实例通过专线接入金融云华东1(杭州)地域下的DBS备份计划。
登录数据管理DMS 5.0。
在顶部菜单栏中,选择
。说明若您使用的是极简模式的控制台,请单击控制台左上角的图标,选择
。找到目标备份计划ID,单击右侧操作列下的配置备份计划。
在配置备份源和目标页面,配置备份源信息与备份目标信息,并单击页面右下角的下一步。
类别
配置
说明
无
备份计划名称
DBS会自动生成一个任务名称,建议配置具有业务意义的名称(无唯一性要求),便于后续识别。
备份源信息
备份方式
默认为创建计划时购买的备份方式,本文为MySQL逻辑备份。
数据库所在位置
请选择通过专线/VPN网关/智能网关接入的自建数据库。
数据库类型
默认为购买的数据库类型,本示例为MySQL。
对端专有网络
选择金融云华东1(杭州)地域所创建的专有网络VPC。
连接地址
填写公有云华南1(深圳)地域下RDS MySQL数据库实例的私网连接地址。
端口
填写公有云华南1(深圳)地域下RDS MySQL数据库实例的连接端口,MySQL默认端口为3306。
数据库账号
填入数据库账号,该账号需要具备一定的权限用于备份数据库。更多信息,请参见账号权限说明。
密码
填入该数据库账号对应的密码。
账号密码填写完毕后,您可以单击密码右侧的测试连接来验证填入的数据库信息是否正确。源库信息填写正确则提示测试通过;如果提示测试失败,单击测试失败后的诊断,根据提示调整填写的源库信息。
数据跨境合规承诺
阅读并勾选合规承诺。
备份目标信息
备份目标存储类型
备份目标存储类型,支持:
DBS内置存储(推荐):无需创建存储空间,数据将自动存入DBS内置存储中,会根据存入DBS的数据量产生费用,计费方式请参见数据灾备(DBS)备份计划。
用户OSS:您需要提前在OSS中创建存储空间(Bucket),更多信息,请参见控制台创建存储空间。
说明本示例为选择DBS内置存储,当您选择用户OSS时,您还需额外配置对象存储OSS Bucket名称参数,且只支持OSS标准存储。
当您的存储数据量较大时,推荐您购买DBS存储包(包年包月)抵扣DBS内置存储费用。相比按量付费,DBS存储包更加优惠。
存储方式
请选择存储方式,当前支持:
内置加密存储(推荐):使用行业标准的AES256算法(即256位高级加密标准)进行加密存储。
在对象存储OSS中支持服务器端加密功能。上传文件(Object)时,OSS对收到的文件进行加密,再将得到的加密文件持久化保存;下载文件时,OSS自动将加密文件解密后返回给用户。更多信息,请参见服务器端加密。
非加密存储:不开启加密。
在配置备份对象页面,将需要备份的库或者表移动到已选择数据库对象框中,单击下一步。
说明逻辑备份:备份部分库表,支持单表、单库及多库,您可单击页面左下角的全选中选中现有所有库,各个数据库支持备份的对象不同,更多信息请参见支持的数据库类型与功能。备份任务默认不支持后续新创建的数据库,如需备份该库,您可在备份计划配置中添加该库便于后续备份,具体操作请参见修改备份对象。
物理备份:仅支持备份整个实例。
在配置备份时间页面,配置备份时间等信息,并单击页面右下角的下一步。
配置
说明
全量备份频率
按需选择周期备份或单次备份。
说明需要恢复增量数据的场景,建议选择周期备份,一周至少做一次全量备份。否则恢复时需要回放大量binlog,会有很大几率出现恢复异常,恢复RTO(Recovery Time Objective)长,恢复失败的情况。
全量备份周期
全量备份频率为周期备份时必选。勾选备份数据的周期,每周最少选择一天进行数据备份。
全量备份开始时间
全量备份频率为周期备份时必选。选择备份开始时间,例如01:00,建议设置为业务低峰期。
说明若到了指定备份时间点,仍有上次的全量备份任务在进行中,则会自动跳过一次备份。
增量备份
选择是否开启增量备份,开启该参数时,请确保目标数据库已开启Binlog。
说明该参数仅在全量备份频率参数为周期备份时显示。
RDS MySQL已默认开启Binlog,自建数据库需要手动开启Binlog。
全量备份并行线程数上限
填写全量备份并行线程数上限,您可以通过设置该参数调节备份速度,例如降低备份线程数,以减少对数据库的影响。
备份网络限速
网络带宽限制(默认为0,表示不限速),单位为MB/s,取值不限。
说明该参数仅在备份MySQL数据库时显示。
在配置生命周期页面,输入全量备份数据的保存时间。
说明若您在上一步开启了增量备份功能,您还需要配置增量备份数据的备份时间。
完成上述配置后,单击页面右下角的预检查并启动。
在预检查对话框中显示预检查通过100%后,单击立即启动。
说明待备份计划状态变为运行中,备份计划配置完成。
相关操作
DBS IP地址段
地域 | DBS IP地址段 |
华东1(杭州) | 100.104.217.0/24 |
华北2(北京) | 100.104.119.0/24 |
华北1(青岛) | 100.104.183.0/24 |
华东2(上海) | 100.104.191.0/24 |
华南1(深圳) | 100.104.81.0/24 |
西南1(成都) | 100.104.133.128/26 |
华北6(乌兰察布) | 100.104.76.192/26 |
华南2(河源) | 100.104.127.0/26 |
韩国(首尔) | 100.104.150.192/26 |
泰国(曼谷) | 100.104.119.128/26 |
中国香港 | 100.104.10.0/24 |
新加坡 | 100.104.10.0/24 |
日本(东京) | 100.104.144.0/24 |
华北5(呼和浩特) | 100.104.40.0/24 |
华北3(张家口) | 100.104.48.0/24 |
美国(弗吉尼亚) | 100.104.220.0/24 |
美国(硅谷) | 100.104.17.0/24 |
澳大利亚(悉尼)关停中 | 100.104.234.0/24 |
德国(法兰克福) | 100.104.133.0/24 |
马来西亚(吉隆坡) | 100.104.10.0/24 |
印度尼西亚(雅加达) | 100.104.209.0/24 |
金融云Server网段
金融云地域 | 金融云Server网段 |
华东1(杭州) | 100.104.255.64/26 |
华南1(深圳) | 100.104.194.128/26 |
华东2(上海) | 100.104.45.64/26 |