文档

RDS MySQL通过专线接入金融云DBS

更新时间:

如果您拥有公有云RDS MySQL实例,并期望通过专线将其接入金融云,以实现更安全、快速和可靠的数据备份与恢复,您可以参考本文提供的方法。本文将介绍如何将公有云RDS MySQL实例连接到金融云DBS,并采用专线配置逻辑备份计划。

名词解释

  • 专有网络VPC:专有网络VPC(Virtual Private Cloud)是用户基于阿里云创建的自定义私有网络,不同的专有网络之间二层逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如ECS、负载均衡、RDS等。

  • VPN网关:VPN网关是一款网络连接服务,通过建立加密通道的方式实现企业本地数据中心、企业办公网络或者互联网客户端与阿里云专有网络VPC之间安全可靠的私网连接。VPN网关提供IPsec-VPN和SSL-VPN两种网络连接方式,不同的网络连接方式适用于不同的应用场景。更多详情请参见什么是VPN网关

  • IPsec-VPN:IPsec-VPN是一种基于路由的网络连接技术,提供灵活的流量路由方式,方便您配置和维护VPN策略,适用于在企业本地数据中心或企业办公网络与VPC之间建立网络连接。

场景示例

某企业在金融云华东1(杭州)地域拥有一个VPC1,在公有云华南1(深圳)地域拥有一个VPC2。两个VPC均已在各地域云服务器ECS(Elastic Compute Service)部署了业务,企业因后续发展,现在需要将公有云华南1(深圳)地域的RDS实例通过专线接入到金融云华东1(杭州)地域的DBS中,并采用专线配置DBS逻辑备份计划,便于后续备份和恢复数据。

前提条件

  • 已创建DBS备份计划。创建方法请参见创建备份计划。本文以金融云华东1(杭州)地域的DBS逻辑备份计划为示例。

  • 已创建RDS MySQL实例。创建方法请参见快速创建RDS MySQL实例。本文以公有云华南1(深圳)地域的RDS MySQL实例为示例。

  • 您已经在金融云华东1(杭州)地域和公有云华南1(深圳)地域分别创建了VPC1和VPC2,两个VPC中均使用ECS部署了相关业务。具体操作,请参见搭建IPv4专有网络

    本示例VPC1和VPC2的配置如下表所示。

    说明

    您可以按需规划VPC实例的网段,请确保要互通的网段之间没有重叠。

    VPC实例名称

    环境

    VPC实例所属地域

    VPC实例的网段

    ECS实例名称

    ECS实例的IP地址

    VPC1

    金融云

    华东1(杭州)

    说明

    DBS备份计划所在地

    192.168.0.0/16

    说明

    根据ECS实例私网IP地址设置。

    ECS1

    192.XXX.XX.3

    VPC2

    公有云

    华南1(深圳)

    说明

    RDS MySQL实例所在地

    172.18.0.0/16

    ECS2

    172.XXX.XX.112

配置流程

  1. 步骤一:创建VPN网关

  2. 步骤二:创建用户网关

  3. 步骤三:创建IPsec连接

  4. 步骤四:检查或配置路由

  5. 步骤五:采用专线配置备份计划

配置流程

步骤一:创建VPN网关

  1. 登录VPN网关管理控制台

  2. 在顶部菜单栏,选择VPN网关实例所属的地域。

    此处以配置金融云华东1(杭州)地域的VPN网关为例介绍配置流程,公有云华南1(深圳)地域的配置流程与该配置类似。

    说明

    VPN网关实例的地域和待关联的VPC实例的地域需相同。

  3. VPN网关页面,单击创建VPN网关

  4. 在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。

    配置项

    说明

    实例名称

    输入VPN网关实例的名称。本示例输入VPN网关1

    地域和可用区

    选择VPN网关实例所属的地域。本示例选择华东1(杭州)

    网关类型

    选择VPN网关实例的类型。本示例选择普通型

    VPC

    选择已创建的专有网络VPC。

    指定交换机

    是否指定VPN网关创建在VPC实例中的某一个交换机下。本示例选择

    带宽规格

    选择VPN网关实例的公网带宽峰值。单位:Mbps。

    IPsec-VPN

    选择开启或关闭IPsec-VPN功能。本示例选择开启

    SSL-VPN

    选择开启或关闭SSL-VPN功能。本示例选择关闭

    计费周期

    选择购买时长。

    您可以选择是否自动续费:

    • 按月购买:自动续费周期为1个月。

    • 按年购买:自动续费周期为1年。

    服务关联角色

    单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。

    VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn

    若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。

    更多信息,请参见创建VPN网关实例

  5. 返回VPN网关页面,查看已创建的VPN网关实例。

    创建VPN网关实例后,其状态是准备中,约1~5分钟会变成正常状态。正常状态表明VPN网关实例已经完成了初始化,可以正常使用。

  6. 重复步骤2到步骤5的操作,在公有云华南1(深圳)地域创建一个名称为VPN网关2的VPN网关实例,该VPN网关实例关联VPC2,其余配置与VPN网关1相同。

    VPN网关创建完成后,两个VPN网关实例的信息如下表所示。

    环境

    地域

    VPN网关实例的名称

    VPN网关实例关联的VPC实例名称

    VPN网关实例ID

    VPN网关IP地址

    金融云

    华东1(杭州)

    VPN网关1

    VPC1

    vpn-bp1mkxa7nbclxe4my****

    116.XXX.XX.151

    公有云

    华南1(深圳)

    VPN网关2

    VPC2

    vpn-bp16lmik5zrlkev5e0elv****

    39.XXX.XX.149

步骤二:创建用户网关

  1. 在左侧导航栏,选择网间互联 > VPN > 用户网关

  2. 在顶部菜单栏,选择用户网关实例的地域。

    说明

    用户网关实例的地域必须和待连接的VPN网关实例的地域相同。

  3. 用户网关页面,单击创建用户网关

  4. 创建用户网关面板,根据以下信息配置用户网关实例,然后单击确定

    您需要在金融云华东1(杭州)地域和公有云华南1(深圳)地域分别创建一个用户网关实例,用户网关实例的配置请参见下表。

    配置项

    配置项说明

    金融云华东1(杭州)

    公有云华南1(深圳)

    名称

    输入用户网关实例的名称。

    Customer1

    Customer2

    IP地址

    输入用户网关实例的公网IP地址。

    本示例输入VPN网关2的IP地址39.XXX.XX.149

    说明

    在本示例中VPN1和VPN2互为对方的用户网关。

    本示例输入VPN网关1的IP地址116.XXX.XX.151

    更多信息,请参见创建和管理用户网关

    配置完成后,VPN网关实例、用户网关实例与VPC实例之间的对应关系如下表所示。

    地域

    VPC实例名称

    VPN网关实例名称

    用户网关实例名称

    用户网关实例ID

    用户网关IP地址

    金融云华东1(杭州)

    VPC1

    VPN网关1

    Customer1

    cgw-bp1whkahxvxh7zm7u****

    39.XXX.XX.149

    公有云华南1(深圳)

    VPC2

    VPN网关2

    Customer2

    cgw-m5e6qdvuxquse3fvm****

    116.XXX.XX.151

步骤三:创建IPsec连接

您需要在金融云华东1(杭州)地域和公有云华南1(深圳)地域分别创建IPsec连接,此处以配置金融云华东1(杭州)地域的IPsec连接为例介绍配置流程,公有云华南1(深圳)地域的配置流程与该配置类似。

  1. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  2. 在顶部菜单栏,选择IPsec连接的地域。

    说明

    IPsec连接的地域必须和要连接的VPN网关的地域相同。

  3. IPsec连接页面,单击创建IPsec连接

  4. 创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定,配置项说明请参见下表。

    说明

    请确保金融云华东1(杭州)地域和公有云华南1(深圳)地域的预共享密钥IKE配置IPsec配置必须保持一致。

    配置项

    配置项名称

    配置项说明

    基本配置

    名称

    输入IPsec连接的名称。

    本文输入IPsec连接1

    VPN网关

    选择已创建的VPN网关实例。

    本文选择VPN网关1

    用户网关

    选择已创建的用户网关实例。

    本文选择用户网关1

    路由模式

    选择感兴趣流模式:基于源IP地址和目的IP地址精确的路由和转发流量。

    选择感兴趣流模式后,您需要配置本端网段对端网段。IPsec连接配置完成后,系统自动在VPN网关实例的策略路由表中添加策略路由。

    系统在VPN网关实例的策略路由表中添加策略路由后,路由默认是未发布状态。您可以依据网络互通需求决定是否将路由发布至VPC的路由表中。具体操作,请参见发布策略路由

    本端网段

    请输入金融云华东1(杭州)地域的VPC网段、金融云华东1(杭州)地域VPC的Server网段、华东1(杭州)地域的DBS IP网段,用于第二阶段协商。

    单击文本框右侧的添加图标,可添加多个需要和本地互通的网段信息。

    说明
    • 金融云各地域VPC的Server网段,请参见金融云Server网段

    • 各地域的DBS IP网段,请参见DBS IP地址段

    • 仅当创建备份计划的金融云地域作为本端时,需要配置如上所述3个网段;当另一公有云地域作为本端时仅需要配置一个互联的VPC网段。

    • 如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2

    对端网段

    请输入公有云华南1(深圳)地域的VPC网段,用于第二阶段协商。

    单击文本框右侧的添加图标,可添加多个需要和本地互通的网段信息。

    说明

    如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2

    立即生效

    选择是否立即生效。

    • :配置完成后立即进行协商。

    • :当有流量进入时进行协商。

    本文选择

    预共享密钥

    输入预共享密钥。

    如果不输入该值,系统默认生成一个16位的随机字符串。

    重要

    此处需注意,请保证金融云华东1(杭州)地域预共享密钥和公有云华南1(深圳)地域的预共享密钥一致。

    IKE配置

    版本

    选择IKE协议的版本。本示例选择ikev2。

    • ikev1

    • ikev2

    目前系统支持IKEv1和IKEv2,相对于IKEv1版本,IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持,所以建议选择IKEv2版本。

    协商模式

    选择协商模式。 本示例选择main。

    • main:主模式,协商过程安全性高。

    • aggressive:野蛮模式,协商快速且协商成功率高。

    协商成功后两种模式的信息传输安全性相同。

    加密算法

    选择第一阶段协商使用的加密算法。本示例选择3des。

    认证算法

    选择第一阶段协商使用的认证算法。本示例选择md5。

    DH分组

    选择第一阶段协商的Diffie-Hellman密钥交换算法。本示例选择group2。

    SA生存周期(秒)

    设置第一阶段协商出的SA的生存周期。单位:秒。默认值:86400。取值范围:0~86400

    LocalId

    为IPsec连接阿里云侧的标识,用于第一阶段的协商。

    输入IPsec连接本地数据中心侧的标识。默认值为用户网关的IP地址。

    该参数仅作为标识符用于在IPsec-VPN连接协商中标识本地数据中心,无其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推荐使用私网IP地址作为IPsec连接本地数据中心侧的标识。

    如果RemoteId使用了FQDN格式,例如输入example.aliyun.com,则本地数据中心侧IPsec连接的本端ID需与RemoteId的值保持一致,协商模式建议选择为aggressive(野蛮模式)。

    RemoteId

    为IPsec连接本地数据中心侧的标识,用于第一阶段的协商。默认值为用户网关的IP地址。

    该参数仅作为标识符用于在IPsec-VPN连接协商中标识本地数据中心,无其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推荐使用私网IP地址作为IPsec连接本地数据中心侧的标识。

    IPsec配置

    加密算法

    选择第二阶段协商的加密算法。本示例选择3des。

    认证算法

    选择第二阶段协商的认证算法。本示例选择md5。

    DH分组

    选择第二阶段协商的Diffie-Hellman密钥交换算法。本示例选择group2。

    • disabled:表示不使用DH密钥交换算法。

      • 对于不支持PFS的客户端请选择disabled

      • 如果选择为非disabled的任何一个组,会默认开启完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重协商都要更新密钥,因此,相应的客户端也要开启PFS功能。

    • group1:表示DH分组中的DH1。

    • group2(默认值):表示DH分组中的DH2。

    • group5:表示DH分组中的DH5。

    • group14:表示DH分组中的DH14。

    SA生存周期(秒)

    设置第二阶段协商出的SA的生存周期。单位:秒。默认值:86400。取值范围:0~86400

    DPD

    选择开启或关闭对等体存活检测功能。DPD功能默认开启。

    NAT穿越

    选择开启或关闭NAT穿越功能。NAT穿越功能默认开启。

    其他选项使用默认配置。更多信息,请参见创建和管理IPsec连接(单隧道模式)

  5. 重复步骤2到步骤4的操作,在公有云华南1(深圳)地域创建一个名称为IPsec连接2的连接实例。请确保公有云华南1(深圳)地域的预共享密钥IKE配置IPsec配置金融云华东1(杭州)地域这几个配置项必须保持一致。

    创建完成后,两个IPsec连接实例的本端/对端信息如下表所示。

    环境

    地域

    本端网段

    对端网段

    金融云

    华东1(杭州)

    • 金融云华东1(杭州)VPC网段:192.168.0.0/16

    • 金融云华东1(杭州)VPC的Server网段:100.104.255.64/26

    • 华东1(杭州)DBS IP网段:100.104.217.0/24

    公有云华南1(深圳)VPC网段:172.18.0.0/16

    公有云

    华南1(深圳)

    公有云华南1(深圳)VPC网段:172.18.0.0/16

    • 金融云华东1(杭州)VPC网段:192.168.0.0/16

    • 金融云华东1(杭州)VPC的Server网段:100.104.255.64/26

    • 华东1(杭州)DBS IP网段:100.104.217.0/24

步骤四:检查或配置路由

  1. 在左侧导航栏,选择网间互联 > VPN > VPN网关

  2. 在顶部菜单栏,选择VPN网关实例的地域。

  3. VPN网关页面,找到目标VPN网关实例,单击实例ID。

  4. 单击策略路由表页签,检查路由配置是否包含所有目的端和对端网络,以及所有路由的状态是否已发布。

    您需要分别检查华东1(杭州)地域和华南1(深圳)地域的路由配置情况。

    说明

    如果有遗漏的路由策略,您可在此页面单击添加路由条目,在添加路由条目面板中,配置路由信息并单击确定。配置说明如下:

    配置项

    配置说明

    目标网段

    输入待互通的目标网段。

    下一跳类型

    选择下一跳的类型。选择IPsec连接

    下一跳

    选择下一跳。本示例选择IPsec连接1。

    发布到VPC

    选择是否将新添加的路由发布到VPN网关关联的VPC中。本示例选择

    权重

    选择路由的权重值。本示例保持默认值100

    • 100:高优先级。

    • 0:低优先级。

    更多信息,请参见添加目的路由

步骤五:采用专线配置备份计划

完成上述配置后,您可以通过以下步骤,将公有云华南1(深圳)地域下RDS实例通过专线接入金融云华东1(杭州)地域下的DBS备份计划

  1. 登录数据管理DMS 5.0

  2. 在顶部菜单栏中,选择安全与规范(DBS) > 数据灾备(DBS) > 备份计划

    说明

    若您使用的是极简模式的控制台,请单击控制台左上角的2023-01-28_15-57-17.png图标,选择全部功能 > 安全与规范(DBS) > 数据灾备(DBS) > 备份计划

  3. 找到目标备份计划ID,单击右侧操作列下的配置备份计划

  4. 配置备份源和目标页面,配置备份源信息备份目标信息,并单击页面右下角的下一步

    配置页面

    类别

    配置

    说明

    备份计划名称

    DBS会自动生成一个任务名称,建议配置具有业务意义的名称(无唯一性要求),便于后续识别。

    备份源信息

    备份方式

    默认为创建计划时购买的备份方式,本文为MySQL逻辑备份

    数据库所在位置

    请选择通过专线/VPN网关/智能网关接入的自建数据库

    数据库类型

    默认为购买的数据库类型,本示例为MySQL。

    对端专有网络

    选择金融云华东1(杭州)地域所创建的专有网络VPC。

    连接地址

    填写公有云华南1(深圳)地域下RDS MySQL数据库实例的私网连接地址。

    端口

    填写公有云华南1(深圳)地域下RDS MySQL数据库实例的连接端口,MySQL默认端口为3306。

    数据库账号

    填入数据库账号,该账号需要具备一定的权限用于备份数据库。更多信息,请参见账号权限说明

    密码

    填入该数据库账号对应的密码。

    账号密码填写完毕后,您可以单击密码右侧的测试连接来验证填入的数据库信息是否正确。源库信息填写正确则提示测试通过;如果提示测试失败,单击测试失败后的诊断,根据提示调整填写的源库信息。

    数据跨境合规承诺

    阅读并勾选合规承诺。

    备份目标信息

    备份目标存储类型

    备份目标存储类型,支持:

    • DBS内置存储(推荐):无需创建存储空间,数据将自动存入DBS内置存储中,会根据存入DBS的数据量产生费用,计费方式请参见数据灾备(DBS)备份计划

    • 用户OSS:您需要提前在OSS中创建存储空间(Bucket),更多信息,请参见控制台创建存储空间

    说明
    • 本示例为选择DBS内置存储,当您选择用户OSS时,您还需额外配置对象存储OSS Bucket名称参数,且只支持OSS标准存储。

    • 当您的存储数据量较大时,推荐您购买DBS存储包(包年包月)抵扣DBS内置存储费用。相比按量付费,DBS存储包更加优惠。

    存储方式

    请选择存储方式,当前支持:

    • 内置加密存储(推荐):使用行业标准的AES256算法(即256位高级加密标准)进行加密存储。

      在对象存储OSS中支持服务器端加密功能。上传文件(Object)时,OSS对收到的文件进行加密,再将得到的加密文件持久化保存;下载文件时,OSS自动将加密文件解密后返回给用户。更多信息,请参见服务器端加密

    • 非加密存储:不开启加密。

  5. 配置备份对象页面,将需要备份的库或者表移动到已选择数据库对象框中,单击下一步

    说明
    • 逻辑备份:备份部分库表,支持单表、单库及多库,您可单击页面左下角的全选中选中现有所有库,各个数据库支持备份的对象不同,更多信息请参见支持的数据库类型与功能。备份任务默认不支持后续新创建的数据库,如需备份该库,您可在备份计划配置中添加该库便于后续备份,具体操作请参见修改备份对象

    • 物理备份:仅支持备份整个实例。

  6. 配置备份时间页面,配置备份时间等信息,并单击页面右下角的下一步

    配置

    说明

    全量备份频率

    按需选择周期备份单次备份

    说明

    需要恢复增量数据的场景,建议选择周期备份,一周至少做一次全量备份。否则恢复时需要回放大量binlog,会有很大几率出现恢复异常,恢复RTO(Recovery Time Objective)长,恢复失败的情况。

    全量备份周期

    全量备份频率周期备份时必选。勾选备份数据的周期,每周最少选择一天进行数据备份。

    全量备份开始时间

    全量备份频率周期备份时必选。选择备份开始时间,例如01:00,建议设置为业务低峰期。

    说明

    若到了指定备份时间点,仍有上次的全量备份任务在进行中,则会自动跳过一次备份。

    增量备份

    选择是否开启增量备份,开启该参数时,请确保目标数据库已开启Binlog。

    说明
    • 该参数仅在全量备份频率参数为周期备份时显示。

    • RDS MySQL已默认开启Binlog,自建数据库需要手动开启Binlog。

    全量备份并行线程数上限

    填写全量备份并行线程数上限,您可以通过设置该参数调节备份速度,例如降低备份线程数,以减少对数据库的影响。

    备份网络限速

    网络带宽限制(默认为0,表示不限速),单位为MB/s,取值不限。

    说明

    该参数仅在备份MySQL数据库时显示。

  7. 配置生命周期页面,输入全量备份数据的保存时间。

    说明

    若您在上一步开启了增量备份功能,您还需要配置增量备份数据的备份时间。

  8. 完成上述配置后,单击页面右下角的预检查并启动

  9. 预检查对话框中显示预检查通过100%后,单击立即启动

    说明

    待备份计划状态变为运行中,备份计划配置完成。

相关操作

  • 备份完成后,后续您可以按需查看或修改备份计划的备份策略、恢复数据等。具体操作,请参见管理备份计划恢复数据库

  • 如果遇到备份任务异常等情况,请参见或常见报错

DBS IP地址段

地域

DBS IP地址段

华东1(杭州)

100.104.217.0/24

华北2(北京)

100.104.119.0/24

华北1(青岛)

100.104.183.0/24

华东2(上海)

100.104.191.0/24

华南1(深圳)

100.104.81.0/24

西南1(成都)

100.104.133.128/26

华北6(乌兰察布)

100.104.76.192/26

华南2(河源)

100.104.127.0/26

韩国(首尔)

100.104.150.192/26

泰国(曼谷)

100.104.119.128/26

中国香港

100.104.10.0/24

新加坡

100.104.10.0/24

日本(东京)

100.104.144.0/24

华北5(呼和浩特)

100.104.40.0/24

华北3(张家口)

100.104.48.0/24

美国(弗吉尼亚)

100.104.220.0/24

美国(硅谷)

100.104.17.0/24

澳大利亚(悉尼)关停中

100.104.234.0/24

德国(法兰克福)

100.104.133.0/24

马来西亚(吉隆坡)

100.104.10.0/24

印度尼西亚(雅加达)

100.104.209.0/24

金融云Server网段

金融云地域

金融云Server网段

华东1(杭州)

100.104.255.64/26

华南1(深圳)

100.104.194.128/26

华东2(上海)

100.104.45.64/26