如果Azure平台的資料庫部署在虛擬網路中,並且您希望將資料庫遷移至阿里雲平台,您可以在Azure虛擬網路和阿里雲VPC之間建立網路連接,在Azure虛擬網路和阿里雲VPC實現網路互連的基礎上,再通過Data Transmission Service (DTS)將Azure平台的資料移轉至阿里雲平台。本文介紹如何建立IPsec-VPN串連(綁定VPN網關執行個體)實現Azure虛擬網路和阿里雲VPC之間的網路互連,並介紹如何通過DTS將Azure Database for MySQL 靈活伺服器中的資料移轉至阿里雲ApsaraDB RDS MySQL執行個體中。
情境樣本
本文以上圖情境為例。某企業在Azure平台的Germany West Central地區擁有一個虛擬網路,虛擬網路中建立了Azure Database for MySQL靈活伺服器。當前企業正在將業務遷移至阿里雲平台,企業已在阿里雲德國(法蘭克福)地區建立了一個VPC,並且VPC下已建立了RDS MySQL執行個體,企業希望可以將Azure Database for MySQL靈活伺服器下的資料移轉至阿里雲RDS MySQL執行個體中。
企業可以先使用IPsec-VPN(綁定VPN網關)在Azure虛擬網路和阿里雲VPC之間建立網路連接,在Azure虛擬網路和阿里雲VPC內的資源支援互連的情況下,再使用DTS將Azure Database for MySQL靈活伺服器中的資料移轉至阿里雲RDS MySQL執行個體中。
前提條件
在開始操作前,請確保您已經擁有以下環境並且已獲得對應的資源資訊:
在Azure平台Germany West Central地區擁有一個虛擬網路,虛擬網路下部署了Azure Database for MySQL靈活伺服器(以下簡稱為Azure MySQL伺服器)。具體操作,請諮詢Azure平台。
在阿里雲平台德國(法蘭克福)地區擁有一個VPC,VPC下已經建立了RDS MySQL版資料庫。具體操作,請參見(廢棄,重新導向到“第一步”)快速建立RDS MySQL執行個體。
您已知Azure虛擬網路和阿里雲VPC間要互連的網段資訊以及要進行資料移轉的2個資料庫帳號資訊。
重要您可以自行規劃網段,請確保Azure虛擬網路和阿里雲VPC間要互連的網段沒有重疊。
請確保您已瞭解資料移轉的相關限制,並且資料庫帳號需已擁有相關許可權。更多資訊,請參見注意事項、資料庫帳號的許可權要求章節。
資源
要互連的網段
地址
資料庫帳號
阿里雲VPC
10.0.0.0/16
RDS MySQL執行個體的內網地址:rm-gw8x4h4tg****.mysql.germany.rds.aliyuncs.com
如何擷取RDS MySQL執行個體的內網地址,請參見查看和管理執行個體串連地址和連接埠。
使用者名稱:AliyunUser
密碼:Hello1234****
Azure虛擬網路
192.168.0.0/16
Azure MySQL伺服器名稱:zho****-azure.mysql.database.azure.com
使用者名稱:AzureUser
密碼:Hello5678****
資料庫提供服務連接埠號碼:3306
配置步驟
步驟一:在阿里雲建立VPN網關執行個體
您需要先在阿里雲建立一個VPN網關執行個體,VPN網關執行個體建立完成後,系統會為VPN網關執行個體分配2個IP地址,這2個IP地址用於與Azure平台虛擬網路建立IPsec-VPN串連。
登入VPN網關管理主控台。
在頂部功能表列,選擇VPN網關的地區。
VPN網關的地區需和待綁定的VPC執行個體的地區相同。
在VPN網關頁面,單擊建立VPN網關。
在購買頁面,根據以下資訊配置VPN網關,然後單擊立即購買並完成支付。
以下僅列舉本文強相關的配置,其餘配置項保持預設值或為空白。更多資訊,請參見建立和管理VPN網關執行個體。
配置項
說明
本文樣本值
執行個體名稱
輸入VPN網關執行個體的名稱。
輸入VPN網關。
地區
選擇VPN網關執行個體所屬的地區。
選擇德國(法蘭克福)。
網關類型
選擇VPN網關執行個體的網關類型。
選擇普通型。
網路類型
選擇VPN網關執行個體的網路類型。
選擇公網。
隧道
系統直接展示當前地區IPsec-VPN串連支援的隧道模式。
雙隧道
單隧道
關於單隧道和雙隧道的說明,請參見綁定VPN網關情境雙隧道IPsec-VPN串連說明。
本文保持預設值雙隧道。
專用網路
選擇VPN網關執行個體關聯的VPC執行個體。
選擇阿里雲德國(法蘭克福)地區的VPC執行個體。
虛擬交換器
從VPC執行個體中選擇一個交換器執行個體。
IPsec-VPN串連的隧道模式為單隧道時,您僅需要指定一個交換器執行個體。
IPsec-VPN串連的隧道模式為雙隧道時,您需要指定兩個交換器執行個體。
IPsec-VPN功能開啟後,系統會在兩個交換器執行個體下各建立一個彈性網卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN串連與VPC流量互連的介面。每個ENI會佔用交換器下的一個IP地址。
說明系統預設幫您選擇第一個交換器執行個體,您可以手動修改或者直接使用預設的交換器執行個體。
建立VPN網關執行個體後,不支援修改VPN網關執行個體關聯的交換器執行個體,您可以在VPN網關執行個體的詳情頁面查看VPN網關執行個體關聯的交換器、交換器所屬可用性區域以及交換器下ENI的資訊。
選擇VPC執行個體下的一個交換器執行個體。
虛擬交換器2
從VPC執行個體中選擇第二個交換器執行個體。
您需要從VPN網關執行個體關聯的VPC執行個體下指定兩個分布在不同可用性區域的交換器執行個體,以實現IPsec-VPN串連可用性區域層級的容災。
對於僅支援一個可用性區域的地區 ,不支援可用性區域層級的容災,建議您在該可用性區域下指定兩個不同的交換器執行個體以實現IPsec-VPN串連的高可用,支援選擇和第一個相同的交換器執行個體。
說明如果VPC執行個體下沒有第二個交換器執行個體,您可以建立交換器執行個體。具體操作,請參見建立和管理交換器。
選擇VPC執行個體下的第二個交換器執行個體。
IPsec-VPN
選擇開啟或關閉IPsec-VPN功能。預設值:開啟。
選擇開啟IPsec-VPN功能。
SSL-VPN
選擇開啟或關閉SSL-VPN功能。預設值:關閉。
選擇關閉SSL-VPN功能。
返回VPN網關頁面,查看建立的VPN網關執行個體。
剛建立好的VPN網關執行個體的狀態是準備中,約1~5分鐘左右會變成正常狀態。正常狀態表明VPN網關已經完成了初始化,可以正常使用。
系統為VPN網關執行個體分配的2個IP地址如下表所示:
VPN網關執行個體的名稱
VPN網關執行個體ID
IP地址
VPN網關
vpn-gw8dickm386d2qi2g****
IPsec地址1(預設為主隧道地址):8.XX.XX.130
IPsec地址2(預設為備隧道地址):47.XX.XX.27
步驟二:在Azure平台部署VPN
為在Azure虛擬網路和阿里雲VPC之間建立IPsec-VPN串連,您需要根據以下資訊在Azure平台部署VPN,配置需要的具體操作請諮詢Azure平台。
在虛擬網路中建立網關子網。建立虛擬網路網關時將會使用到該子網。
建立虛擬網路網關。
虛擬網路網關關聯至需要和阿里雲互連的虛擬網路上。本文中虛擬網路網關啟用主動-主動模式,並建立2個公網IP地址,其餘配置採用預設值。
虛擬網路網關建立完成後,您可以在公用IP地址頁面查看系統為虛擬網路網關分配的公用IP地址。本文中系統分配的公用IP地址為4.XX.XX.224和4.XX.XX.166。
建立本網網關。
您需要在Azure側建立2個本網網關,每個本網網關配置阿里雲VPN網關執行個體的一個IP地址,同時將阿里雲VPC執行個體網段和100.104.0.0/16網段一併配置到每個本網網關上。
說明建立本網網關時,您需要指定100.104.0.0/16網段,DTS服務將使用該網段下的地址遷移資料。
建立網站到網站VPN串連。
重要阿里雲和Azure平台下的IPsec-VPN串連均支援雙隧道模式,但由於Azure平台的兩條隧道預設關聯至同一個本網網關,而阿里雲側兩條隧道擁有不同的IP地址,導致Azure平台和阿里雲側的兩條隧道無法做到一一對應建立串連。為確保阿里雲側IPsec-VPN串連下兩條隧道同時啟用,您需要在Azure平台建立兩個網站到網站的VPN串連,每個網站到網站VPN串連關聯不同的本網網關。
下圖展示其中一個網站到網站VPN串連的配置,建立VPN串連時選擇網站到網站(IPsec)類型,並關聯需要和阿里雲建立VPN串連的虛擬網路網關,然後選擇一個本網網關並設定共用密鑰,其餘配置項使用預設值。另一個網站到網站VPN串連關聯與當前VPN串連不同的本網網關,其餘配置與當前VPN串連相同。
步驟三:在阿里雲部署VPN網關
在Azure平台完成VPN配置後,請根據以下資訊在阿里雲側部署VPN網關,以便Azure虛擬網路和阿里雲VPC之間建立IPsec-VPN串連。
建立使用者網關。
登入VPN網關管理主控台。
在左側導覽列,選擇。
在頂部功能表列選擇使用者網關的地區。
使用者網關地區需和VPN網關執行個體的地區相同。
在使用者網關頁面,單擊建立使用者網關。
在建立使用者網關面板,根據以下資訊進行配置,然後單擊確定。
您需要建立兩個使用者網關,並將Azure平台虛擬網路網關的2個公用IP地址作為使用者網關的IP地址,以建立兩個加密隧道。以下僅列舉本文強相關配置項,其餘配置保持預設值或為空白。更多資訊,請參見建立和系統管理使用者網關。
配置項
說明
使用者網關1
使用者網關2
名稱
輸入使用者網關的名稱。
輸入使用者網關1。
輸入使用者網關2。
IP地址
輸入Azure平台虛擬網路網關的公用IP地址。
輸入4.XX.XX.224。
輸入4.XX.XX.166。
建立IPsec串連。
在左側導覽列,選擇。
在頂部功能表列選擇IPsec串連的地區。
IPsec串連的地區需和VPN網關執行個體的地區相同。
在IPsec串連頁面,單擊建立IPsec串連。
在建立IPsec串連頁面,根據以下資訊配置IPsec串連,然後單擊確定。
配置項
說明
本文樣本值
名稱
輸入IPsec串連的名稱。
輸入IPsec串連。
資源群組
選擇VPN網關執行個體所屬的資源群組。
選擇預設資源群組。
綁定資源
選擇IPsec串連綁定的資源類型。
選擇VPN網關。
VPN網關
選擇IPsec串連關聯的VPN網關執行個體。
選擇已建立的VPN網關。
路由模式
選擇路由模式。
目的路由模式:基於目的IP地址路由和轉寄流量。
感興趣流模式:基於源IP地址和目的IP地址精確的路由和轉寄流量。
選擇感興趣流模式。
本端網段
輸入VPN網關執行個體關聯的VPC執行個體下的網段。
輸入以下兩個網段:
VPC網段:10.0.0.0/16
DTS網段:100.104.0.0/16
重要您需要將DTS使用的位址區段也添加到本端網段中,以便DTS通過VPN網關訪問對端的資料庫。
關於DTS位址區段的更多資訊,請參見添加DTS伺服器的IP位址區段。
對端網段
輸入VPN網關執行個體關聯的VPC執行個體要訪問的對端的網段。
輸入192.168.0.0/16。
立即生效
選擇IPsec串連的配置是否立即生效。取值:
是:配置完成後立即進行協商。
否:當有流量進入時進行協商。
選擇是。
啟用BGP
如果IPsec串連需要使用BGP路由協議,需要開啟BGP功能的開關,系統預設關閉BGP功能。
本文保持預設值,即不開啟BGP功能。
Tunnel 1
為隧道1(主隧道)添加VPN相關配置。
系統預設隧道1為主隧道,隧道2為備隧道,且不支援修改。
使用者網關
為主隧道添加待關聯的使用者網關執行個體。
選擇使用者網關1。
預先共用金鑰
輸入主隧道的認證密鑰,用於身份認證。
密鑰長度為1~100個字元,支援數字、大小寫英文字母及右側字元
~`!@#$%^&*()_-+={}[]\|;:',.<>/?。若您未指定預先共用金鑰,系統會隨機產生一個16位的字串作為預先共用金鑰。
重要隧道及其對端網關裝置配置的預先共用金鑰需一致,否則系統無法正常建立IPsec-VPN串連。
當前隧道的認證密鑰需和串連的Azure平台VPN串連的密鑰一致。
加密配置
添加IKE配置、IPsec配置、DPD、NAT穿越等配置。
本文保持預設值。關於預設值的說明,請參見建立和管理IPsec串連(雙隧道模式)。
Tunnel 2
為隧道2(備隧道)添加VPN相關配置。
使用者網關
為備隧道添加待關聯的使用者網關執行個體。
選擇使用者網關2。
預先共用金鑰
輸入備隧道的認證密鑰,用於身份認證。
當前隧道的認證密鑰需和Azure平台VPN串連的密鑰一致。
加密配置
添加IKE配置、IPsec配置、DPD、NAT穿越等配置。
本文保持預設值。關於預設值的說明,請參見建立和管理IPsec串連(雙隧道模式)。
標籤
為IPsec串連添加標籤。
保持為空白。
在建立成功對話方塊中,單擊取消。
配置VPN網關路由。
建立IPsec串連後需要為VPN網關執行個體配置路由。建立IPsec串連時,如果路由模式您選擇了感興趣流模式,在IPsec串連建立完成後,系統會自動在VPN網關執行個體下建立策略路由,路由是未發布狀態。您需要執行本操作,將VPN網關執行個體下的策略路由發布至VPC中。
在左側導覽列,選擇。
在頂部功能表列,選擇VPN網關執行個體的地區。
在VPN網關頁面,單擊目標VPN網關執行個體ID。
在VPN網關執行個體詳情頁面單擊策略路由表頁簽,找到目標路由條目,在操作列單擊發布。
在發布路由對話方塊,單擊確定。
步驟四:測試網路連通性
完成上述配置後,阿里雲VPC和Azure虛擬網路下的資源已經可以互相通訊了,您可以通過以下步驟驗證阿里雲VPC和Azure虛擬網路之間的網路連通性。
在Azure虛擬網路中建立並登入Azure VM執行個體。具體操作,請諮詢Azure平台。
在VM執行個體中執行
ping命令,訪問阿里雲RDS MySQL執行個體的內網地址。ping <阿里雲RDS MySQL執行個體內網地址>如果VM執行個體可以收到如下所示的回複報文,則證明阿里雲VPC和Azure虛擬網路下的資源可以正常通訊。
擷取Azure MySQL伺服器的IP地址。
在Azure VM執行個體下使用
ping命令訪問Azure MySQL伺服器的名稱,系統會自動返回Azure MySQL伺服器的IP地址,後續DTS進行資料移轉時需要使用。
步驟五:建立DTS資料移轉任務
阿里雲VPC和Azure虛擬網路之間的資源可以互相通訊後,您可以開始建立DTS資料移轉任務。DTS資料移轉任務配置完成後可以將Azure MySQL伺服器中的資料移轉至阿里雲RDS MySQL執行個體中。
進入目標地區的遷移工作清單頁面(二選一)。
通過DTS控制台進入
在左側導覽列,單擊資料移轉。
在頁面左上方,選擇遷移執行個體所屬地區。
通過DMS控制台進入
說明實際操作可能會因DMS的模式和布局不同,而有所差異。更多資訊。請參見極簡模式控制台和自訂DMS介面布局與樣式。
在頂部功能表列中,選擇。
在遷移任務右側,選擇遷移執行個體所屬地區。
單擊創建任務,進入任務配置頁面。
可選:在頁面右上方,單擊試用新版配置頁。
說明若您已進入新版配置頁(頁面右上方的按鈕為返回舊版配置頁),則無需執行此操作。
新版配置頁和舊版配置頁部分參數有差異,建議使用新版配置頁。
配置源庫及目標庫資訊。
類別
配置
說明
無
任務名稱
DTS會自動產生一個任務名稱,建議配置具有業務意義的名稱(無唯一性要求),便於後續識別。
源庫資訊
資料庫類型
選擇MySQL。
接入方式
選擇專線/VPN網關/智能網關。
執行個體地區
選擇源MySQL資料庫所屬地區。
本文選擇德國(法蘭克福)。
是否跨阿里雲帳號
選擇不跨帳號。
已和源端資料庫聯通的VPC
選擇VPN網關執行個體關聯的VPC執行個體。
DTS將通過IPsec-VPN串連訪問Azure MySQL伺服器下的資料庫。
網域名稱或IP地址
輸入源MySQL資料庫IP地址。
本文輸入Azure MySQL伺服器的私網IP地址192.168.0.4。
連接埠
輸入源MySQL資料庫的服務連接埠。本文輸入3306。
資料庫帳號
輸入源MySQL資料庫的帳號。
資料庫密碼
輸入該資料庫帳號對應的密碼。
串連方式
請根據實際情況選擇非加密串連或SSL安全連線。
若Azure MySQL伺服器未開啟SSL加密,請選擇非加密串連。
若Azure MySQL伺服器已開啟SSL加密,請選擇SSL安全連線。同時,您還需要上傳CA 憑證並填寫CA 密鑰。
本文中Azure MySQL伺服器已關閉加密串連功能,使用非加密串連。
說明Azure MySQL伺服器建立後預設使用加密串連,支援關閉加密串連。更多資訊,請參見在 Azure Database for MySQL 靈活伺服器執行個體上禁用 SSL 強制。
目標庫資訊
資料庫類型
選擇MySQL。
接入方式
選擇雲執行個體。
執行個體地區
選擇阿里雲RDS MySQL執行個體所屬的地區。
本文選擇德國(法蘭克福)。
是否跨阿里雲帳號
選擇不跨帳號。
RDS執行個體ID
選擇阿里雲VPC下的RDS MySQL執行個體。
資料庫帳號
輸入RDS MySQL執行個體的資料庫帳號。
資料庫密碼
輸入該資料庫帳號對應的密碼。
串連方式
本文選擇非加密串連。
配置完成後,單擊頁面下方的測試連接以進行下一步。在DTS伺服器訪問授權對話方塊,單擊測試連接。
請確保阿里雲VPC和Azure虛擬網路所應用的安全性群組規則允許DTS訪問。例如,在安全性群組規則的入方向允許100.104.0.0/16網段的資源通過。關於DTS使用的位址區段的更多資訊,請參見添加DTS伺服器的IP位址區段。
如果系統測試阿里雲VPC和Azure虛擬網路下的資料庫可以正常連通,則表明資料庫之間的網路連通性正常,系統會跳轉至配置任務對象頁面。
如果系統測試阿里雲VPC和Azure虛擬網路下的資料庫無法正常連通,則不會跳轉至下一個頁面,請根據頁面提示排查問題。更多資訊,請參見如何解決使用VPN將資料庫執行個體接入DTS時報錯。
在配置任務對象頁面,選擇遷移類型以及Azure MySQL伺服器下要遷移至阿里雲的資料庫,其餘配置項及後續配置均保持預設配置。更多資訊,請參見自建MySQL遷移至RDS MySQL。
配置完成後,DTS會自動開始資料移轉任務,您可以登入阿里雲RDS MySQL執行個體中,查看資料移轉結果。
