简介
本文针对用户使用阿里云VPC内数据库时如何使用析言GBI产品进行操作指导。析言通过反向网络访问技术与用户VPC环境打通,通过私网访问用户VPC数据库,进而为用户提供析言产品服务。
析言采用PrivateLink网络方案,解决用户数据库不能通过公网被析言生产环境访问的问题。析言VPC Region为beijing。
网络联通示意图如下:
用户与析言VPC所属相同Region(均为beijing):
用户与析言VPC所属不同Region时,需跨Region(用户数据库VPC所属Region不为beijing):
关于PrivateLink的介绍和基本使用,请参见跨账号VPC间的私网访问服务文档。
关于对等连接的介绍和基本使用,请参见VPC对等连接文档。
操作流程
用户准备工作
析言生产环境部署在cn-beijing区域,若用户的数据库同在cn-beijing,VPC间联通方案较便捷;若用户的数据库在其他region(比如cn-shanghai),则需要在cn-beijing新建一份VPC,而后使用CEN或者对等连接等方式将cn-beijing和cn-shanghai的两个VPC进行打通,最后再与析言cn-beijing的VPC进行打通。
用户需登录阿里云控制台,并具有PrivateLink相关权限。
用户需提供阿里云主账号ID,用于后续进行网络白名单登记。
用户可以访问主账号下待关联的数据库,并且创建好只读账号,并对该账号的权限进行设置,后续要使用该账号在析言控制台进行数据授权配置。
用户可以查询到主账号下待关联的数据库的内网域名和内网IP,后续需要提供给析言,进行NAT规则的配置。
配置步骤
步骤一:提供主账号ID,由析言添加服务白名单
您可以在阿里云官网右上角点击头像,获取主账号ID。再点击,选择售后在线,通过服务工单将主账号ID反馈给析言的技术支持人员。
步骤二:创建终端节点
用户需在其cn-beijing的VPC内创建终端节点。终端节点可以与终端节点服务相关联,以建立通过VPC私网访问外部服务的网络连接。
注意:用户创建终端节点时,节点类型需选择反向类型,点击“选择可用服务”,下方列表区域将会出现析言终端节点服务(析言真实ID为:epsrv-2zeczobsytmn6nv9actr),并选择。
由于析言生产环境的网络资源在H区,所以这里相应的也要选择H区;后续析言可能会增加其他可用区来加强服务可用性,所以建议用户预留其他网段。
终端节点创建完毕后,用户可在终端节点详情页查看生成的终端节点域名、终端节点可用区的域名和IP,且连接状态为已连接。
步骤三:用户提供待关联数据库的内网域名和IP,由析言配置NAT规则
用户登录数据库控制台,查看内网地址,以RDS举例:
在同VPC内的ECS上,查询数据库对应的IP,可以通过ping命令:
步骤四:开放白名单
终端节点开放白名单
终端节点的安全组,可以管控VPC到终端节点网卡的数据通信,本场景中,需要开放入方向的任意端口。具体操作可以参考加入和管理安全组。
数据库开放白名单
本场景中,需要在数据库侧对终端节点开放访问权限。不同类型的数据库,有不同的白名单功能,以下以常见的RDS和Hologress等来举例。
步骤五:在析言控制台配置数据源
登录析言控制台,填入用户VPC内的内网域名等数据库信息。
附录
用户需提供的信息
主账号ID:例如:196xxx
可用区:例如:可用区B
数据库实例内网地址:例如:rm-xxxx.mysql.rds.aliyuncs.com
数据库实例内网IP:例如:172.x.x.x
跨VPC互联
本方案中,主要是指同账号跨地域的VPC对等连接,是析言推荐用户的同一账号在不同VPC间进行打通的方式,客户也可以根据自身情况选择其他互访方案。关于VPC对等连接的更多内容,请参见: