帮助中心

数据传输服务DTS

产品概述
快速入门
用户指南
常见问题
最佳实践
安全白皮书
故障排除
文档下载
相关协议

网络安全类

2023-10-24 06:13:20

数据传输服务有哪些安全保障措施?

数据传输服务从三个方面提供安全保护措施:

  • 账号安全

    • 基于天翼云完善的账号权限体系为用户提供严格的租户隔离,以及对各种资源进行了精细的权限控制,保障了用户的账号、数据和进行各项操作的安全性。

  • 网络安全

    • 通过VPC技术实现不同用户资源的网络隔离。

    • 通过网络ACL、安全组实现对数据库、DTS实例的进出网络流量的安全控制。

  • 数据传输安全

    • DTS对于数据传输的源端和目标端之间的连接,提供了可选的SSL加密传输的连接方式,保障了数据迁移、同步过程中数据传输的安全性。

如何处理迁移过程中出现的网络中断?

在迁移过程中出现网络中断,DTS实例会自动进行重试处理。如果超过20分钟还未恢复,则会将任务状态置为【运行异常】。在后续网络恢复后,用户可在实例详情页面点击【开始任务】重新启动任务,此时会基于网络中断前的迁移进度进行续传。

如何通过设置VPC安全组,实现DTS网络互通?

在部署上,DTS实例是与目标库实例在同一个VPC,同一个子网和使用同一个VPC安全组,所以DTS实例与目标库实例在网络上是互通的,故对于VPC安全组的设置,主要需要对源库实例所在安全组和DTS实例所在的安全组进行设置。

DTS实例所在安全组

DTS实例所在VPC安全组的出方向规则需要放通源库的IP、端口,允许DTS实例访问安全组外的数据库。

  1. 在DTS实例详情页面查看当前DTS实例所在安全组。

    image (92).png

  2. 在【VPC】产品的控制中心,进入【安全组】页面,找到该安全组,在出方向规则单击【添加规则】,即添加出方向规则,放通源库的IP、端口;如果默认已放通,则无需重复进行添加操作。

    741996853914464256.png

源库所在安全组

源库所在VPC安全组的入方向规则需要放通DTS实例IP和源库自身的端口,允许DTS实例通过端口访问。具体步骤如下:

  1. DTS实例详情页面查看当前DTS实例的IP。

    image (94).png

  2. 在【数据库】产品的控制中心,如MySQL,找到源库实例和对应的安全组。

  3. 在【VPC】产品的控制中心,进入【安全组】页面,找到该安全组,在入方向规则单击【添加规则】,即添加入方向规则,放通DTS实例IP和源库自身的端口。

    image (95).png

如何处理迁移实例和数据库网络连接异常?

数据迁移前,请结合快速入门-准备工作概览文档中网络准备部分介绍的几种网络互通场景,对当前匹配的场景完成网络准备和安全规则设置。

注意

DTS在部署上是与目标数据库实例在同一个VPC,网络默认互通,故这里主要针对源数据库实例与DTS实例的网络连接异常场景进行介绍。如果出现网络连接异常,请按照本节方法排查网络配置是否正确。

同VPC内数据库迁移

同VPC内网络默认互通,如果没有进行过特殊配置或者使用的是同一个安全组,无需进行该步骤检查;否则按照以下方式对源数据库实例和DTS实例所在安全组的规则进行检查:

  • 源数据库实例所在安全组

    安全组的【入方向规则】需放通DTS实例的IP、源数据库的自身端口,确保源数据库可以被DTS实例可以正常访问。

  • DTS实例所在安全组

    安全组的【出方向规则】需放通DTS实例的IP、源数据库的端口,确保DTS实例可正常访问源数据库实例。

跨云数据库迁移

跨云数据库迁移主要通过公网网络进行,此时分为两步:

  1. 购买DTS实例时,在订购页面中,目标库的网络接入类型选择“公网EIP”。

  2. 源数据库实例申请公网访问,以阿里云云数据库RDS MySQL为例,一般情况下,阿里云RDS MySQL不提供公网地址,需要通过申请公网地址来允许外部通过公网访问,具体的操作及注意事项可以参考源数据库所在云提供的相关指导。

完成以上两步后,则主要需要针对源数据库实例和DTS实例所在安全组进行检查,具体可参考【同VPC内数据库迁移】的检查方式,其中分别对应源数据库实例的公网IP和DTS实例的公网EIP。

本地数据库迁移

本地数据库迁移主要通过公网网络进行,具体可参考以上【跨云数据库迁移】相关步骤进行操作,其中主要的区别点:

  • 本地数据库要绑定一个公网IP来支持DTS实例通过公网访问。

  • 本地数据库所在机器或者IDC的防火墙要放通DTS实例的公网EIP、本地数据库端口的入方向访问。

  • 安全组规则主要针对DTS实例,可以参考以上【同VPC内数据库迁移】相关说明进行检查,此时为DTS实例的公网EIP。

ECS自建数据库迁移

ECS自建数据库迁移主要需要区分ECS与目标数据库实例所在的VPC的几种场景:

  • 同一个VPC :网络默认互通,故主要需要针对安全组规则进行检查。

  • 同资源池,不同VPC:首先需要确保ECS所在子网的网段和目标数据库实例所在子网的网段不冲突,然后可以通过对等连接的方式进行网络打通。

  • 不同资源池,不同VPC:不同资源池需要通过公网网络进行访问,故源数据库实例需申请公网IP,DTS实例需使用公网EIP的网络接入模式。

  • 安全组规则可以参考以上【同VPC内数据库迁移】相关说明进行检查。

不同VPC场景下,如何实现源库和目标库的网络互通?

不同VPC场景,需区分是在同一个资源池还是不同资源池,具体如下:

  • 同一个资源池

    • 同一个资源池下,可以通过VPC对等连接的方式实现源库和目标库的网络互通。注意,需要保证源库和目标库各自所在的子网的网段相互不冲突,否则会导致VPC对等连接无法成功建立。

  • 不同资源池

    • 不同资源池需要通过公网网络进行网络互通。首先源库需要申请公网IP来支持公网访问,其次由于源库和目标库之间是通过DTS实例来进行数据迁移的,并且DTS实例与目标库是在同一个VPC,故主要是在购买DTS实例时,网络接入模式需使用【公网EIP】。

最后,针对以上两种场景,都需要正确配置安全组规则,即源库所在安全组的入方向需放通DTS实例的IP和源库的端口;DTS实例所在的安全组的出方向规则需放通DTS实例的IP和源库的端口。

DTS公网网络的EIP带宽是多少?

DTS使用的EIP是由用户提供,即可以选择在天翼云已购买的EIP或者在天翼云弹性IP产品新购一个EIP,故EIP带宽主要由选择使用的这个EIP决定。

弹性IP产品的默认可调整范围为1Mbps到300Mbps;在弹性IP产品提交工单,最大值可提至2000Mbps。具体可以参考弹性IP产品文档

DTS支持跨帐号云数据库迁移吗?

支持。

DTS进行云数据库迁移是没有账号限制的,只需要用户的源数据库和目标数据库允许DTS实例通过所选择的网络进行访问和建立连接即可。

对于网络访问,DTS目前支持VPC网络和基于EIP的公网访问。

对于建立连接,DTS使用的是jdbc连接,用户只需保证所提供的用于数据库迁移的数据库账号拥有足够授权即可。


上一篇 -  产品咨询类
下一篇 -  权限类
SS_7JKjxX_xn