Hubungkan database Azure ke Alibaba Cloud - Data Transmission Service

Jika Anda ingin menggunakan database yang dideploy di Microsoft Azure sebagai database sumber atau tujuan dalam instans Data Transmission Service (DTS), Anda harus mengonfigurasi database tersebut agar mengizinkan akses dari server DTS. Anda dapat menghubungkan database Azure ke Alibaba Cloud melalui alamat IP publik atau virtual private cloud (VPC). Topik ini menjelaskan cara menghubungkan database Azure ke Alibaba Cloud.

Hubungkan melalui alamat IP publik

Aktifkan akses publik untuk database Anda di platform Azure. Kemudian, tambahkan alamat IP server DTS di wilayah yang sesuai ke pengaturan keamanan database Anda. Pengaturan ini mencakup aturan security group, firewall, dan daftar putih. Alamat IP yang perlu ditambahkan bergantung pada jenis tugas, seperti data synchronization, data migration, atau data validation.

Penting

Jika database sumber adalah Azure SQL Managed Instance, Anda harus menggunakan metode ini untuk menghubungkan database sumber ke Alibaba Cloud.

Hubungkan melalui VPC

Skenario

Topik ini menggunakan skenario pada gambar sebelumnya sebagai contoh. Sebuah perusahaan:

Memiliki VNet di wilayah Germany West Central pada platform Azure tempat sebuah instans VM dideploy.
Memiliki VPC di wilayah Germany (Frankfurt) pada Alibaba Cloud tempat sebuah instans ECS dideploy.
Ingin menggunakan koneksi IPsec-VPN Alibaba Cloud yang dikaitkan dengan VPN Gateway untuk membuat koneksi jaringan antara Azure VNet dan Alibaba Cloud VPC, sehingga memungkinkan komunikasi antara keduanya.

Prasyarat

Sebelum memulai, pastikan Anda memiliki resource dan informasi berikut:

Anda memiliki virtual network di wilayah Germany West Central pada platform Azure, dengan instans Azure VM yang dideploy di dalamnya. Untuk petunjuk spesifik, konsultasikan dokumentasi platform Azure.
Anda memiliki VPC di wilayah Germany (Frankfurt) pada platform Alibaba Cloud. Sebuah instans ECS telah dibuat di dalam VPC tersebut.
Anda memiliki Blok CIDR yang akan digunakan untuk komunikasi antara Azure VNet dan Alibaba Cloud VPC.
Penting
Anda harus merencanakan Blok CIDR tersebut. Pastikan Blok CIDR Azure VNet dan Alibaba Cloud VPC tidak tumpang tindih.
Resource
CIDR block
Alamat IP Resource
Alibaba Cloud VPC
10.0.0.0/16
Alamat instans ECS:
10.0.0.1
Azure virtual network
192.168.0.0/16
Alamat instans VM:
192.168.0.1

Langkah 1: Buat instans VPN Gateway di Alibaba Cloud

Pertama, buat instans VPN Gateway di Alibaba Cloud. Setelah instans VPN Gateway dibuat, sistem akan menetapkan dua alamat IP ke instans tersebut. Alamat IP ini digunakan untuk membuat koneksi IPsec-VPN dengan Azure VNet.

Buka atau Konsol VPN Gateway dan konfigurasikan parameter berikut:

Topik ini hanya menjelaskan parameter yang diperlukan. Anda dapat menggunakan nilai default untuk parameter lain atau membiarkannya kosong. Untuk informasi lebih lanjut tentang setiap parameter, lihat Buat dan kelola instans VPN Gateway.

Parameter	Deskripsi	Contoh
Instance Name	Masukkan nama untuk instans VPN Gateway.	Misalnya, masukkan VPN Gateway.
Region	Pilih wilayah tempat Anda ingin membuat instans VPN Gateway.	Pilih Germany (Frankfurt).
Gateway Type	Pilih tipe gateway untuk instans VPN Gateway.	Pilih Standard.
Network Type	Pilih tipe jaringan untuk instans VPN Gateway.	Pilih Public.
Tunnel	Sistem menampilkan mode tunnel yang didukung oleh koneksi IPsec-VPN di wilayah yang dipilih. Dual-tunnel Single-tunnel Untuk informasi lebih lanjut tentang mode single-tunnel dan dual-tunnel, lihat Associate with a VPN gateway.	Dalam contoh ini, digunakan nilai default Dual-tunnel.
VPC	Pilih VPC yang ingin Anda kaitkan dengan instans VPN Gateway.	Pilih VPC di wilayah Germany (Frankfurt).
vSwitch	Pilih vSwitch dari VPC. Jika Anda menggunakan mode single-tunnel untuk koneksi IPsec-VPN, Anda hanya perlu menentukan satu vSwitch. Jika Anda menggunakan mode dual-tunnel untuk koneksi IPsec-VPN, Anda perlu menentukan dua vSwitch. Setelah fitur IPsec-VPN diaktifkan, sistem akan membuat elastic network interface (ENI) di masing-masing dua vSwitch tersebut. ENI berfungsi sebagai antarmuka untuk pertukaran traffic antara VPC dan koneksi IPsec-VPN. Setiap ENI menggunakan alamat IP dari vSwitch-nya. Catatan Secara default, sistem memilih vSwitch pertama untuk Anda. Anda dapat mengubah pilihan atau menggunakan vSwitch default. Setelah instans VPN Gateway dibuat, Anda tidak dapat mengubah vSwitch yang terkait. Anda dapat melihat informasi tentang vSwitch yang terkait, zona tempat vSwitch berada, dan ENI di vSwitch tersebut pada halaman detail instans VPN Gateway.	Pilih vSwitch di dalam VPC.
vSwitch 2	Pilih vSwitch kedua dari VPC. Untuk menerapkan zone-disaster recovery pada koneksi IPsec-VPN, Anda harus menentukan dua vSwitch yang dideploy di zona berbeda dalam VPC yang terkait. Untuk wilayah yang hanya mendukung satu zona, zone-disaster recovery tidak didukung. Kami menyarankan Anda menentukan dua vSwitch berbeda di zona tersebut untuk memastikan high availability koneksi IPsec-VPN. Anda dapat memilih vSwitch yang sama dengan yang pertama. Catatan Jika VPC tidak memiliki vSwitch kedua, buat satu. Untuk informasi lebih lanjut, lihat Buat dan kelola vSwitch.	Pilih vSwitch kedua di dalam VPC.
IPsec-VPN	Menentukan apakah fitur IPsec-VPN diaktifkan. Nilai default adalah Enable.	Aktifkan fitur IPsec-VPN.
SSL-VPN	Menentukan apakah fitur SSL-VPN diaktifkan. Nilai default adalah Disable.	Nonaktifkan fitur SSL-VPN.

Kembali ke halaman VPN Gateway untuk melihat instans VPN Gateway yang telah Anda buat.

Status awal instans VPN Gateway adalah Provisioning. Setelah sekitar 1 hingga 5 menit, status berubah menjadi Normal. Status Normal menunjukkan bahwa instans VPN Gateway telah diinisialisasi dan siap digunakan.

Tabel berikut mencantumkan dua alamat IP yang ditetapkan ke instans VPN Gateway.

Nama instans VPN Gateway	ID instans VPN Gateway	Alamat IP
VPN Gateway	vpn-gw8dickm386d2qi2g****	Alamat IPsec 1 (alamat tunnel aktif secara default): 8.XX.XX.130
VPN Gateway	vpn-gw8dickm386d2qi2g****	Alamat IPsec 2 (alamat tunnel standby secara default): 8.XX.XX.75

Langkah 2: Deploy resource VPN di Azure

Untuk membuat koneksi IPsec-VPN antara Azure VNet dan Alibaba Cloud VPC, deploy resource VPN di Azure berdasarkan informasi berikut. Untuk petunjuk spesifik, hubungi dukungan Azure.

Buat subnet gateway di virtual network. Subnet ini diperlukan untuk membuat virtual network gateway.
Buat virtual network gateway.
Kaitkan virtual network gateway dengan virtual network yang perlu berkomunikasi dengan Alibaba Cloud. Dalam contoh ini, aktifkan mode aktif-aktif untuk virtual network gateway dan buat dua alamat IP publik. Anda dapat menggunakan nilai default untuk parameter lain.
Setelah virtual network gateway dibuat, Anda dapat melihat alamat IP publik yang ditetapkan oleh sistem ke virtual network gateway pada halaman Public IP addresses. Dalam contoh ini, alamat IP publiknya adalah 4.XX.XX.224 dan 4.XX.XX.166.
Buat local network gateways.
Buat dua local network gateways di Azure. Konfigurasikan masing-masing local network gateway dengan satu alamat IP dari instans Alibaba Cloud VPN Gateway. Tambahkan Blok CIDR Alibaba Cloud VPC ke setiap local network gateway.
Penting
Jika Anda menggunakan DTS untuk menyinkronkan data dari Azure ke Alibaba Cloud, Anda juga harus menambahkan Blok CIDR 100.104.0.0/16 karena DTS menggunakan alamat IP dalam Blok CIDR ini untuk migrasi data.
Untuk informasi lebih lanjut tentang Blok CIDR yang digunakan oleh DTS, lihat Tambahkan Blok CIDR server DTS ke daftar putih.
Buat koneksi site-to-site VPN.
Penting
Koneksi IPsec-VPN di Alibaba Cloud dan Azure mendukung mode dual-tunnel. Namun, dua tunnel koneksi IPsec-VPN Azure secara default dikaitkan dengan local network gateway yang sama, sedangkan dua tunnel koneksi IPsec-VPN Alibaba Cloud memiliki alamat IP berbeda. Hal ini mencegah pemetaan satu-ke-satu untuk koneksi tunnel. Untuk memastikan kedua tunnel koneksi IPsec-VPN Alibaba Cloud diaktifkan, Anda harus membuat dua koneksi site-to-site VPN di Azure dan mengaitkan masing-masing koneksi site-to-site VPN dengan local network gateway yang berbeda.
Gambar berikut menunjukkan konfigurasi salah satu koneksi site-to-site VPN. Saat membuat koneksi VPN, atur Connection type ke Site-to-site (IPsec) dan kaitkan koneksi VPN dengan virtual network gateway yang perlu terhubung ke Alibaba Cloud. Kemudian, pilih local network gateway dan atur shared key. Anda dapat menggunakan nilai default untuk parameter lain. Untuk koneksi site-to-site VPN lainnya, kaitkan dengan local network gateway yang berbeda tetapi gunakan nilai yang sama untuk parameter lainnya.

Langkah 3: Deploy VPN Gateway di Alibaba Cloud

Setelah menyelesaikan konfigurasi VPN di Azure, deploy VPN Gateway di Alibaba Cloud berdasarkan informasi berikut untuk membuat koneksi IPsec-VPN antara Azure VNet dan Alibaba Cloud VPC.

Buat customer gateways.

Buka halaman atau Customer Gateway di Konsol VPN Gateway. Di bilah navigasi atas, pilih Germany (Frankfurt) sebagai wilayah.

Di panel Create Customer Gateway, konfigurasikan parameter berikut dan klik OK.

Buat dua customer gateways. Gunakan dua alamat IP publik dari Azure virtual network gateway sebagai alamat IP customer gateways untuk membuat dua tunnel terenkripsi. Topik ini hanya menjelaskan parameter yang diperlukan. Anda dapat menggunakan nilai default untuk parameter lain atau membiarkannya kosong. Untuk informasi lebih lanjut, lihat Customer gateways.

Parameter	Deskripsi	Customer Gateway 1	Customer Gateway 2
Name	Masukkan nama untuk customer gateway.	Masukkan Customer Gateway 1.	Masukkan Customer Gateway 2.
IP Address	Masukkan alamat IP publik dari Azure virtual network gateway.	Masukkan 4.XX.XX.224.	Masukkan 4.XX.XX.166.

Buat koneksi IPsec-VPN.

Di panel navigasi kiri, pilih Interconnections > VPN > IPsec Connections.
Di halaman IPsec Connections, klik Bind VPN Gateway.

Di halaman Create IPsec-VPN Connection (VPN Gateway), konfigurasikan koneksi IPsec-VPN berdasarkan informasi berikut dan klik OK.

Parameter	Deskripsi	Contoh
IPsec-VPN Connection Name	Masukkan nama untuk koneksi IPsec-VPN.	Misalnya, masukkan IPsec-VPN Connection.
Region	Pilih wilayah tempat VPN gateway yang akan dikaitkan dengan koneksi IPsec-VPN dideploy. Koneksi IPsec-VPN dibuat di wilayah yang sama dengan VPN gateway.	Pilih Germany (Frankfurt).
Filter By Resource Group	Pilih kelompok sumber daya tempat instans VPN Gateway berada.	Pilih kelompok sumber daya default.
Associate With VPN Gateway	Pilih instans VPN Gateway yang ingin Anda kaitkan dengan koneksi IPsec-VPN.	Pilih VPN Gateway yang telah Anda buat.
Routing Mode	Pilih mode routing. Destination-based Routing: Traffic dirutekan dan diteruskan berdasarkan alamat IP tujuan. Traffic of Interest Pattern: Merutekan dan meneruskan traffic berdasarkan alamat IP sumber dan tujuan tertentu.	Pilih Interest Stream Pattern.
Local Network	Masukkan Blok CIDR VPC yang dikaitkan dengan instans VPN Gateway.	Masukkan Blok CIDR VPC: 10.0.0.0/16 Penting Jika Anda menggunakan DTS untuk menyinkronkan data dari Azure ke Alibaba Cloud, Anda juga harus menambahkan Blok CIDR 100.104.0.0/16 karena DTS menggunakan alamat IP dalam Blok CIDR ini untuk migrasi data.
Remote Network	Masukkan Blok CIDR jaringan remote yang ingin diakses oleh VPC.	Masukkan 192.168.0.0/16.
Effective Immediately	Menentukan apakah negosiasi koneksi dimulai segera. Nilai yang valid: Yes: Negosiasi dimulai segera setelah konfigurasi selesai. No: Negosiasi dimulai saat lalu lintas masuk terdeteksi.	Pilih Yes.
Enable BGP	Jika Anda ingin menggunakan Border Gateway Protocol (BGP) untuk koneksi IPsec-VPN, aktifkan sakelar ini. Secara default, fitur ini dinonaktifkan.	Dalam contoh ini, digunakan nilai default. Fitur BGP tidak diaktifkan.
Tunnel 1	Konfigurasikan parameter VPN untuk Tunnel 1 (tunnel aktif). Secara default, Tunnel 1 adalah tunnel aktif dan Tunnel 2 adalah tunnel standby. Anda tidak dapat mengubah pengaturan ini.
Customer Gateway	Pilih customer gateway yang ingin Anda kaitkan dengan tunnel aktif.	Pilih Customer Gateway 1.
Pre-Shared Key	Masukkan kunci autentikasi untuk tunnel aktif. Kunci ini digunakan untuk otentikasi identitas. Kunci harus terdiri dari 1 hingga 100 karakter dan dapat berisi angka, huruf, serta karakter khusus berikut: ~`!@#$%^&()_-+={}[]\\|;:',.<>/?. Jika Anda tidak menentukan pre-shared key, sistem akan menghasilkan string acak sepanjang 16 karakter. Penting* Tunnel dan perangkat gateway peer-nya harus menggunakan pre-shared key yang sama. Jika tidak, koneksi IPsec-VPN tidak dapat dibuat.	Kunci autentikasi tunnel harus sama dengan kunci koneksi VPN Azure yang sesuai.
Encryption Configurations	Konfigurasikan IKE, IPsec, DPD, dan Penelusuran NAT.	Dalam contoh ini, digunakan pengaturan default. Untuk informasi lebih lanjut tentang nilai default, lihat IPsec-VPN connections (VPN Gateway).
Tunnel 2	Konfigurasikan parameter VPN untuk Tunnel 2 (tunnel standby).
Customer Gateway	Pilih customer gateway yang ingin Anda kaitkan dengan tunnel standby.	Pilih Customer Gateway 2.
Pre-Shared Key	Masukkan kunci autentikasi untuk tunnel standby. Kunci ini digunakan untuk otentikasi identitas.	Kunci autentikasi tunnel harus sama dengan kunci koneksi VPN Azure yang sesuai.
Encryption Configurations	Konfigurasikan IKE, IPsec, DPD, dan Penelusuran NAT.	Dalam contoh ini, digunakan pengaturan default. Untuk informasi lebih lanjut tentang nilai default, lihat IPsec-VPN connections (VPN Gateway).

Di pesan Created, klik Cancel.

Konfigurasikan rute untuk VPN Gateway.
Setelah membuat koneksi IPsec-VPN, Anda harus mengonfigurasikan rute untuk instans VPN Gateway. Jika Anda memilih Policy-based Routing untuk Routing Mode saat membuat koneksi IPsec-VPN, sistem secara otomatis membuat entri rute berbasis kebijakan untuk instans VPN Gateway. Entri rute tersebut berada dalam status Unpublished. Anda harus melakukan langkah ini untuk mempublikasikan entri rute berbasis kebijakan ke VPC.
1. Di panel navigasi kiri, pilih Interconnections > VPN > VPN Gateways.
2. Di bilah navigasi atas, pilih wilayah tempat instans VPN gateway berada.
3. Di halaman VPN Gateways, klik ID VPN gateway yang dituju.
4. Di halaman detail VPN gateway, klik tab Policy-based Route Table, temukan entri rute yang ingin Anda kelola, lalu klik Advertise di kolom Actions.
5. Di kotak dialog Advertise Route, klik OK.

Langkah 4: Uji konektivitas jaringan

Setelah menyelesaikan konfigurasi di atas, resource di Alibaba Cloud VPC dan Azure VNet dapat saling berkomunikasi. Anda dapat melakukan langkah-langkah berikut untuk menguji konektivitas jaringan.

Buat dan login ke instans Azure VM di Azure VNet. Untuk petunjuk spesifik, hubungi dukungan Azure.
Penting
Sebelum menguji konektivitas, pastikan Anda memahami aturan security group yang diterapkan pada Alibaba Cloud VPC dan Azure VNet, serta aturan tersebut mengizinkan komunikasi antar resource di VPC dan VNet.
- Untuk informasi lebih lanjut tentang aturan security group Alibaba Cloud, lihat Query security group rules dan Add a security group rule.
- Untuk informasi lebih lanjut tentang aturan security group Azure, hubungi dukungan Azure.
Di instans VM, jalankan perintah ping untuk mengakses alamat IP pribadi instans Alibaba Cloud ECS.
```
ping 10.0.0.1
```
Jika Anda menerima pesan balasan seperti yang ditunjukkan pada gambar berikut, resource di Alibaba Cloud VPC dan Azure VNet dapat saling berkomunikasi.

Langkah selanjutnya

Berdasarkan jenis tugas Anda, seperti data synchronization, data migration, atau data validation, tambahkan alamat IP server DTS di wilayah yang sesuai ke pengaturan keamanan database. Pengaturan ini mencakup aturan security group, kebijakan firewall, dan daftar putih.