操作场景
进行批量 DTS 任务时,如果采用“放通单独 DTS 访问地址”的方法(先对任务进行连通性测试,获得 DTS IP,再逐一添加到源数据库和目标数据库的白名单中),效率较低,本章节为您提供一种高效的方法,一次性放开 DTS 访问 IP 所属网段。
说明:
本章节提供的放通 IP 网段范围比较大,除 DTS 访问 IP 外,网段内其他 IP 也可以访问源/目标数据库,可能会有数据暴露风险,请慎重选择。
放通方式对比
批量任务放通 IP 操作,与放通单独任务 IP 的差异对比如下,请慎重选择方式二。
方式 | 说明 |
方式一(推荐):放通单独 DTS 访问 IP | 先进行连通性测试,失败后根据弹窗提示放通具体的 IP。 优点:安全性高,保证源/目标数据库会只会放通 DTS 访问 IP 的访问,其他 IP 不可访问。 缺点:需要每个任务分别先进行连通性测试,然后再一一添加对应的 IP,任务数量较多时操作比较繁琐。 |
方式二:放通 DTS 访问 IP 所属网段 | 放通 DTS 任务所属网段。 优点:创建多个 DTS 任务时,一次添加 IP 地址即可,操作方便。 缺点:放通的 IP 网段范围比较大,除 DTS 访问 IP 外,网段内其他 IP 也可以访问源/目标数据库,可能会有数据暴露风险,请慎重选择。 |
注意事项
使用 DTS 对同一个数据库进行多个同步任务时,在 DTS 的任务配置中,请选择相同的接入类型、VPC 和 subnet 等参数,否则可能会导致网络打通出现异常,DTS 无法连接数据库。
操作概览
不同的接入方式,需要排查的网络安全规则不同,具体如下。
接入方式 | 网络放通排查 | 处理说明 |
公网 | 检查数据库所属网络层级,是否设置了网络 ACL 和安全组规则 检查数据库部署的服务器层级,是否设置了防火墙(如 iptables) 检查数据库层级,是否设置了访问 IP 限制规则(如仅授权内的主机地址可访问数据库) | 如果设置了安全规则,则在相应规则中,放通接入 DTS 服务地域的 IP。 |
VPN 接入/专线接入/云联网 | 检查数据库所属网络层级,是否设置了网络 ACL 和安全组规则 检查数据库部署的服务器层级,是否设置了防火墙(如 iptables) 检查数据库层级,是否设置了访问 IP 限制规则(如仅授权内的主机地址可访问数据库) | 如果设置了安全规则,则在相应规则中,放通接入 VPC 下的一个子网。 |
云主机自建 私有网络 VPC(CVM自建数据库) | 检查数据库部署的服务器层级,是否设置了防火墙(如 iptables) 检查数据库层级是否设置了访问 IP 限制规则(如仅授权内的主机地址可访问数据库) | 如果设置了安全规则,则放通169.254.1.1/16,11.163.1.1/16 |
云数据库 私有网络 VPC(云数据库) | 检查数据库层级是否设置了访问 IP 限制规则(如 限制授权内的主机地址可访问数据库) | 如果设置了安全规则,则放通169.254.1.1/16,11.163.1.1/16 |
操作步骤
公网接入
使用公网接入方式,需要用户在购买 DTS 任务时,选择离物理数据库最近的 DTS 地域进行接入,然后通过 DTS 进行传输任务。
1. 获取需要放通的网段。
请根据您的接入地域,找到对应地域的 DTS 服务 IP。
例如,您的源数据库地域在廊坊,则就近选择 DTS 北京地域进行接入,需要在源数据库所属网络中放通北京地域 DTS 服务 IP;目标数据库地域在广州,选择广州地域进行接入,需要在目标数据库所属网络中放通广州地域 DTS 服务 IP。
DTS 地域 | DTS 服务 IP 地址 |
广州 | 111.230.198.143,118.89.34.161,123.207.84.254,139.199.74.159 |
上海 | 111.231.139.59,111.231.142.94,115.159.71.186,182.254.153.245 |
北京 | 123.207.145.84,211.159.157.165,211.159.160.104,58.87.92.66 |
成都 | 111.231.225.99,118.24.42.158 |
重庆 | 139.186.122.1/24,129.28.12.1/24,129.28.14.1/24,139.186.77.242,139.186.109.1/24, 139.186.131.1/23,94.191.102.144,94.191.98.210 |
杭州ec | 111.231.139.59,111.231.142.94,115.159.71.186,182.254.153.245 |
南京 | 129.211.166.117,129.211.167.130 |
天津 | 154.8.246.150,154.8.246.48 |
深圳 | 118.126.124.6,118.126.124.83 |
中国香港 | 119.29.180.130,119.29.208.220,124.156.168.151,150.109.72.54 |
北京金融 | 62.234.240.36,62.234.241.241 |
深圳金融 | 118.89.251.206,139.199.90.75 |
上海金融 | 115.159.237.246,211.159.242.74 |
新加坡 | 119.28.103.40,119.28.104.184,119.28.116.123,150.109.11.113 |
雅加达 | 43.129.33.41,43.129.35.144 |
曼谷 | 150.109.164.203,150.109.164.82 |
孟买 | 119.28.246.130,119.28.246.18 |
首尔 | 119.28.150.71,119.28.157.173 |
东京 | 150.109.195.201,150.109.196.137 |
硅谷 | 49.51.38.216,49.51.39.189,170.106.177.233,170.106.81.114,170.106.81.79,170.106.98.28,170.106.98.49,170.106.101.94,170.106.98.140,49.51.250.101,170.106.64.252,49.51.245.168 |
弗吉尼亚 | 170.106.2.63,49.51.85.120 |
多伦多 | 45.113.70.156,45.113.70.6,49.51.10.104,49.51.9.221 |
法兰克福 | 49.51.132.38,49.51.133.85 |
2. 排查数据库相关的安全设置规则,如果有如下设置,则需要在相应规则中放通 DTS 服务 IP。
2.1 数据库所属网络层级,是否设置了网络 ACL 和安全组。
如果有,则将 DTS 服务 IP 添加到数据库所属网络的 ACL 和安全组规则中。
2.2 自建数据库部署的服务器上是否设置了防火墙(如 iptables) 。
如果有,则在防火墙规则中放通 DTS 服务 IP。
2.3 数据库层级,是否设置了访问 IP 限制(如限制仅授权内的主机地址可访问数据库)。
如果有,则在访问限制中放通 DTS 服务 IP。
VPN 接入/专线接入
使用 VPN 接入方式,需要用户购买一个腾讯云 VPC 和 VPN 网关,将本地 IDC 数据库就近接入腾讯云 VPC 中,然后通过 DTS 进行传输任务。
1. 获取需要放通的网段。
您在配置 DTS 任务时会选择接入 VPC 下的一个子网,这个子网就是需要放通的网段。如下所示,源数据库需要放通的 DTS 访问 IP 网段为 subnet1,目标数据库需要放通的 DTS 访问 IP 网段为 subnet2。
2. 排查数据库相关的安全设置规则,如果有如下设置,则需要在相应规则中放通 DTS 访问 IP 网段。
2.1 数据库所属网络层级,是否设置了网络 ACL 和安全组
如果有,则将 DTS 访问 IP 网段添加到数据库所属网络的 ACL 和安全组规则中。
2.2 自建数据库部署的服务器上是否设置了防火墙(如 iptables)
如果有,则在防火墙规则中放通 DTS 访问 IP 网段。
2.3 数据库层级,是否设置了访问 IP 限制(如限制仅授权内的主机地址可访问数据库)。
如果有,则在访问限制中放通 DTS 访问 IP 网段。
云联网接入
使用云联网接入方式,需要用户将本地 IDC 数据库就近接入腾讯云 VPC 中(如 VPC1) ,再通过云联网打通 VPC1 和接入 VPC2。
1. 获取需要放通的网段。
您在配置 DTS 任务时会选择云联网关联 VPC(即 VPC2) 下的一个子网,这个子网就是需要放通的网段。如下图所示,源数据库需要放通子网 subnet2 的访问。
2. 排查数据库相关的安全设置规则,如果有如下设置,则需要在相应规则中放通 DTS 访问 IP 网段。
2.1 数据库所属网络层级,是否设置了网络 ACL 和安全组。
如果有,则将 DTS 访问 IP 网段添加到数据库所属网络的 ACL 和安全组规则中。
2.2 自建数据库部署的服务器上是否设置了防火墙(如 iptables) 。
如果有,则在防火墙规则中放通 DTS 访问 IP 网段。
2.3 数据库层级,是否设置了访问 IP 限制(如限制仅授权内的主机地址可访问数据库)。
如果有,则在访问限制中放通 DTS 访问 IP 网段。
云主机自建
源/目标库为腾讯云 CVM 上的自建数据库,接入方式选择“云主机自建”。当用户发起 DTS 任务时,可自动进行网络 ACL 和安全组的放通,用户只需排查其他安全规则并进行放通。
1. 获取需要放通的网段。
云主机自建数据库与 DTS 的连通都是在腾讯云内网中,统一网段为169.254.1.1/16,11.163.1.1/16。
2. 排查数据库的安全规则,如果有如下设置,则需要在相应规则中放通 DTS 访问 IP 网段。
2.1 自建数据库部署的服务器上,是否设置了防火墙(如 iptables)。
如果有,则在防火墙规则中放通 DTS 访问 IP 网段。
云数据库
源/目标库为腾讯云数据库实例,接入方式选择“云数据库”。当用户发起 DTS 任务时,可自动进行网络 ACL 和安全组的放通,用户只需排查其他安全规则并进行放通。
1. 获取需要放通的网段。
云数据库与 DTS 的连通都是在腾讯云内网中,统一网段为169.254.1.1/16,11.163.1.1/16。
2. 排查数据库的安全规则,如果有如下设置,则需要在相应规则中放通 DTS 访问 IP 网段。
2.1 检查数据库层级,是否设置了访问 IP 限制规则。
如果有类似设置,则需要放通 DTS 访问 IP 网段。
私有网络 VPC
使用私有网络 VPC 接入,根据数据库的部署形态为 CVM 自建数据库(参考上述“云主机自建”),还是云数据库(参考上述“云数据库”),参考对应的场景操作即可。