析言GBI反向网络访问VPC打通

简介

本文针对用户使用阿里云VPC内数据库时如何使用析言GBI产品进行操作指导。析言通过反向网络访问技术与用户VPC环境打通,通过私网访问用户VPC数据库,进而为用户提供析言产品服务。

析言采用PrivateLink网络方案,解决用户数据库不能通过公网被析言生产环境访问的问题。析言VPC Regionbeijing。

网络联通示意图如下:

  • 用户与析言VPC所属相同Region(均为beijing):image

  • 用户与析言VPC所属不同Region时,需跨Region(用户数据库VPC所属Region不为beijing):image

关于PrivateLink的介绍和基本使用,请参见跨账号VPC间的私网访问服务文档。

关于对等连接的介绍和基本使用,请参见VPC对等连接文档。

操作流程

用户准备工作

  • 析言生产环境部署在cn-beijing区域,若用户的数据库同在cn-beijing,VPC间联通方案较便捷;若用户的数据库在其他region(比如cn-shanghai),则需要在cn-beijing新建一份VPC,而后使用CEN或者对等连接等方式将cn-beijingcn-shanghai的两个VPC进行打通,最后再与析言cn-beijingVPC进行打通。

  • 用户需登录阿里云控制台,并具有PrivateLink相关权限。

  • 用户需提供阿里云主账号ID,用于后续进行网络白名单登记。

  • 用户可以访问主账号下待关联的数据库,并且创建好只读账号,并对该账号的权限进行设置,后续要使用该账号在析言控制台进行数据授权配置。

  • 用户可以查询到主账号下待关联的数据库的内网域名和内网IP,后续需要提供给析言,进行NAT规则的配置。

配置步骤

步骤一:提供主账号ID,由析言添加服务白名单

您可以在阿里云官网右上角点击头像,获取主账号ID。再点击image,选择售后在线,通过服务工单将主账号ID反馈给析言的技术支持人员。

image

步骤二:创建终端节点

用户需在其cn-beijingVPC内创建终端节点。终端节点可以与终端节点服务相关联,以建立通过VPC私网访问外部服务的网络连接。

注意:用户创建终端节点时,节点类型需选择反向类型,点击“选择可用服务”,下方列表区域将会出现析言终端节点服务(析言真实ID为:epsrv-2zeczobsytmn6nv9actr),并选择。

由于析言生产环境的网络资源在H区,所以这里相应的也要选择H区;后续析言可能会增加其他可用区来加强服务可用性,所以建议用户预留其他网段。

image

终端节点创建完毕后,用户可在终端节点详情页查看生成的终端节点域名、终端节点可用区的域名和IP,且连接状态为已连接。

image

步骤三:用户提供待关联数据库的内网域名和IP,由析言配置NAT规则

用户登录数据库控制台,查看内网地址,以RDS举例:

image

在同VPC内的ECS上,查询数据库对应的IP,可以通过ping命令:

image

步骤四:开放白名单

  • 终端节点开放白名单

    终端节点的安全组,可以管控VPC到终端节点网卡的数据通信,本场景中,需要开放入方向任意端口。具体操作可以参考加入和管理安全组

  • 数据库开放白名单

    本场景中,需要在数据库侧对终端节点开放访问权限。不同类型的数据库,有不同的白名单功能,以下以常见的RDSHologress等来举例。

步骤五:在析言控制台配置数据源

登录析言控制台,填入用户VPC内的内网域名等数据库信息。

image

image

附录

用户需提供的信息

主账号ID:例如:196xxx

可用区:例如:可用区B

数据库实例内网地址:例如:rm-xxxx.mysql.rds.aliyuncs.com

数据库实例内网IP:例如:172.x.x.x

VPC互联

本方案中,主要是指同账号跨地域的VPC对等连接,是析言推荐用户的同一账号在不同VPC间进行打通的方式,客户也可以根据自身情况选择其他互访方案。关于VPC对等连接的更多内容,请参见: