當您需要通過專線或VPN網關等方式將本機資料中心(IDC)的資料庫接入Data Transmission Service(DTS)時,為簡化複雜的網路設定,DTS提供了VPC資料通道功能。該功能通過在您的Virtual Private Cloud內建立彈性網卡(ENI),使DTS能以私網地址直接且安全地訪問您的資料庫,從而簡化網路架構並縮小所需配置的安全白名單範圍。
功能簡介
VPC資料通道是DTS基於阿里雲私網串連(PrivateLink)構建的一種高效且安全的網路連接方案。其工作原理如下:
啟用服務:當您使用此功能時,DTS會檢查您是否已開通私網串連(PrivateLink)服務。如未開通,DTS將為您自動開通該服務。
建立網路存取點:配置任務時,您需要在您的VPC內指定一個主可用性區域和一個備可用性區域的交換器(vSwitch)。DTS會在您選定的主、備交換器上各建立一個彈性網卡(ENI),這兩個ENI便成為DTS在您VPC內的網路存取點。
複用資源,節約IP:DTS僅使用您VPC中已有的交換器,不會為您建立新的交換器。每個VPC資料通道最少佔用2個IP地址(主、備ENI各一個)。如果您在同一個VPC內建立多個DTS任務,並選擇相同的主備交換器,DTS將複用已建立的VPC資料通道,不會額外佔用新的IP地址。為方便您複用,DTS會自動填滿您上次使用的交換器資訊。
不干涉網路規劃:該功能僅在您指定的交換器上掛載ENI,不會對您VPC的路由表做任何修改,確保對您現有的網路規劃無任何幹擾。
優勢
簡化網路架構
只需提前規劃好網路,並將彈性網卡所在交換器的網段加入Virtual Private Cloud的路由表和資料庫白名單,DTS在串連資料庫時就會自動為您建立VPC資料通道。縮小安全配置範圍
您僅需將彈性網卡所在交換器的網段添加到資料庫的安全設定(如防火牆、白名單、安全性群組等)中,無需再為龐大的DTS伺服器IP段加白。簡化網路排錯
如果發生網路連接問題(配置DTS執行個體時資料庫的串連性檢查失敗,即專線網路連接不通),您可以在彈性網卡所在的交換器上建立一台ECS執行個體,直接測試與資料庫的連通性,方便快速定位問題。
費用說明
VPC資料通道功能本身不收取任何費用。
適用範圍
資料庫類型:支援MySQL、PostgreSQL、SQLServer、Tair/Redis、Oracle、MongoDB。
接入方式:僅支援專線/VPN網關/智能網關。
控制台版本:僅支援在新版DTS配置頁面使用此功能。
地區和可用性區域:
地區
可用性區域
名稱
ID
名稱
ID
華東1(杭州)
cn-hangzhou
可用性區域I、可用性區域J、可用性區域K
cn-hangzhou-i、cn-hangzhou-j、cn-hangzhou-k
華東2(上海)
cn-shanghai
可用性區域B、可用性區域G、可用性區域M、可用性區域N
cn-shanghai-b、cn-shanghai-g、cn-shanghai-m、cn-shanghai-n
華南1(深圳)
cn-shenzhen
可用性區域D、可用性區域E、可用性區域F
cn-shenzhen-d、cn-shenzhen-e、cn-shenzhen-f
華北2(北京)
cn-beijing
可用性區域H、可用性區域G、可用性區域L、可用性區域I、可用性區域F、可用性區域K
cn-beijing-h、cn-beijing-g、cn-beijing-l、cn-beijing-i、cn-beijing-f、cn-beijing-k
華北1(青島)
cn-qingdao
可用性區域B、可用性區域C
cn-qingdao-b、cn-qingdao-c
華北3(張家口)
cn-zhangjiakou
可用性區域A、可用性區域B、可用性區域C
cn-zhangjiakou-a、cn-zhangjiakou-b、cn-zhangjiakou-c
華北6(烏蘭察布)
cn-wulanchabu
可用性區域A、可用性區域B
cn-wulanchabu-a、cn-wulanchabu-b
西南1(成都)
cn-chengdu
可用性區域A、可用性區域B
cn-chengdu-a、cn-chengdu-b
中國香港
cn-hongkong
可用性區域B、可用性區域C、可用性區域D
cn-hongkong-b、cn-hongkong-c、cn-hongkong-d
新加坡
ap-southeast-1
可用性區域A、可用性區域B
ap-southeast-1a、ap-southeast-1b
印尼(雅加達)
ap-southeast-5
可用性區域A、可用性區域B
ap-southeast-5a、ap-southeast-5b
德國(法蘭克福)
eu-central-1
可用性區域A、可用性區域B
eu-central-1a、eu-central-1b
美東(維吉尼亞)
us-east-1
可用性區域A、可用性區域B
us-east-1a、us-east-1b
美西(矽谷)
us-west-1
可用性區域A、可用性區域B
us-west-1a、us-west-1b
日本(東京)
ap-northeast-1
可用性區域A、可用性區域B
ap-northeast-1a、ap-northeast-1b
注意事項
當您配置的DTS任務同時滿足適用範圍中列出的資料庫類型、接入方式和執行個體地區要求時,DTS將強制要求使用VPC資料通道,您必須配置主備交換器。
為確保高可用,您選擇的主交換器和備交換器必須位於不同的可用性區域。
使用VPC資料通道功能,DTS會在您的VPC內建立一個名為
DTS_VPCNAT的安全性群組,並將其關聯到建立的彈性網卡上。該安全性群組的入方向規則預設為允許所有IP(
0.0.0.0/0)訪問,這是為了確保DTS與您的資料庫能成功建立雙向串連。請勿修改或刪除此安全性群組及其規則,否則將導致DTS任務異常。
此安全性群組為DTS專用,請勿將其用於您的ECS等其他資源,以避免潛在的安全風險。
常見問題
如您在配置過程中遇到網路不通等問題,請參見配置VPC資料通道任務與常見問題。