數據復制服務有哪些安全保障措施

網絡

使用安全組確保訪問源為可信的。

使用SSL通道，確保數據傳輸加密。

如何處理遷移過程中出現的網絡中斷

遷移過程中如果出現網絡中斷，可先觀察任務狀態，當如下狀態的遷移任務出現失敗時，可在任務列表上單擊“續傳”，進行任務續傳。

全量遷移

增量遷移

如何通過設置VPC安全組，允許本云VPC訪問外部彈性IP

默認情況下，基于安全的考慮，本云VPC與外部網絡是隔離的，VPC內是無法訪問外部的彈性IP，如其他云數據庫的彈性IP、云下數據庫的彈性IP等。但數據庫遷移場景需要確保本云VPC內的遷移實例或者目標數據庫可連通外部的彈性IP，從而實現數據庫遷移。

為此，您需要在安全組里設置一個出口規則，出口規則控制的是本云VPC可以訪問哪些外部的彈性IP和端口范圍，安全組的出入口規則一般需要滿足“嚴進寬出”的要求。

如何處理遷移實例和數據庫網絡連接異常

數據遷移前請確保完成網絡準備和安全規則設置。如果連接異常，請按照本節方法排查網絡配置是否正確。

本節將以MySQL到RDS for MySQL的遷移為示例，從三種遷移場景（跨云數據庫實時遷移、本地數據庫實時遷移、ECS自建數據庫實時遷移）進行說明。

跨云數據庫實時遷移

1. 網絡準備。

源數據庫需要開放公網訪問。

• 源數據庫的網絡設置：

源數據庫MySQL實例需要開放外網域名的訪問。

具體的操作及注意事項可以參考源數據庫所在云提供的相關指導。

• 目標數據庫的網絡設置：

目標數據庫默認與DRS遷移實例處在同一個VPC內，網絡是互通的，不需要進行任何設置。

2. 安全規則準備。

• 源數據庫的安全規則設置：

源數據庫MySQL實例需要將目標端DRS遷移實例的彈性公網IP添加到其網絡白名單中，確保源數據庫MySQL實例可以與上述彈性公網IP連通。

在設置網絡白名單之前，需要先獲取目標端DRS遷移實例的彈性公網IP，具體方法如下：DRS遷移實例創建成功后，可在“源庫及目標庫”頁面獲取DRS遷移實例的彈性公網IP。

以上講述的是精細配置白名單的方法，還有一種簡單設置白名單的方法， 在安全允許的情況下 ，可以將源數據庫MySQL實例的網絡白名單設置為0.0.0.0/0，代表允許任何IP地址訪問該實例。

上述的網絡白名單是為了進行數據遷移設置的，遷移結束后可以刪除。

• 目標數據庫安全規則設置：

目標數據庫默認與DRS遷移實例處在同一個VPC，網絡是互通的，DRS可以直接寫入數據到目標數據庫，不需要進行任何設置。

本地數據庫實時遷移

3. 網絡準備：

• 源數據庫的網絡設置：

本地MySQL數據庫實時遷移至本云云數據庫 RDS for MySQL的場景，一般可以使用VPN網絡和公網網絡兩種方式進行遷移，您可以根據實際情況為本地MySQL數據庫開放公網訪問或建立VPN訪問。一般推薦使用公網網絡進行遷移，該方式下的數據遷移過程較為方便和經濟。

• 目標數據庫的網絡設置：
  • 若通過VPN訪問，請先開通VPN服務，確保源數據庫MySQL和目標端本云云數據庫 RDS for MySQL的網絡互通。
  • 若通過公網網絡訪問，本云云數據庫** **RDS for MySQL實例不需要進行任何設置。

4. 安全規則準備：

a. 源數據庫的安全規則設置：

若通過公網網絡進行遷移，源數據庫MySQL需要將DRS遷移實例的彈性公網IP添加到其網絡白名單內，使源數據庫與本云的網絡互通。在設置網絡白名單之前，需要獲取DRS遷移實例的彈性公網IP，具體方法如下：

DRS遷移實例創建成功后，可在“源庫及目標庫”頁面獲取DRS遷移實例的彈性公網IP。

若通過VPN網絡進行遷移，源數據庫MySQL需要將DRS遷移實例的私有IP添加到其網絡白名單內，使源數據庫與本云的網絡互通。DRS遷移實例創建成功后，可在“源庫及目標庫”頁面獲取DRS遷移實例的私有IP。

以上白名單是為了進行遷移針對性設置的，遷移結束后可以刪除。

b. 目標數據庫安全規則設置：

目標數據庫默認與DRS遷移實例處在同一個VPC，網絡是互通的，DRS可以直接寫入數據到目標數據庫，不需要進行任何設置。

ECS自建數據庫實時遷移

5. 網絡準備：

• 源數據庫所在的region要和目標端本云云數據庫 RDS for MySQL實例所在的region保持一致。
• 源數據庫可以與目標端本云云數據庫** **RDS for MySQL實例在同一個VPC，也可以不在同一個VPC。
  • 當源庫和目標庫處于同一個VPC時，網絡默認是互通的。
  • 當不在同一個VPC的時候，要求源數據庫實例和目標端本云云數據庫 RDS for MySQL實例所處的子網處于不同網段，此時需要通過建立對等連接實現網絡互通。

6. 安全規則準備：

• 同一VPC場景下，默認網絡是連通的，不需要單獨設置安全組。
• 不同VPC場景下，通過建立對等連接就可以實現網絡互通，不需要單獨設置安全組。

排查iptables設置

以源數據庫為本云ECS自建數據庫為例，如果在上述的操作后，仍無法連通，此時需要額外排查iptables設置，因為HOSTGUARD服務在DRS發起頻繁連接請求失敗時，會將請求IP加入黑名單中。

7. 登錄彈性云主機。
8. 執行以下命令，排查是否有DENY相關的項目包含DRS實例的IP，一般項目名稱為IN_HIDS_MYSQLD_DENY_DROP 。

iptables --list

9. 如果存在，執行以下命令，查詢iptables入方向規則列表，獲取具體規則編號（line-numbers）。

iptables -L INPUT --line-numbers

10. 執行以下命令，刪除DRS實例的IP相關的入方向規則（注意：必須從后往前刪，不然line-numbers會更新，需要重新查詢）。

**iptables -D **規則項目名 具體規則編號

11. 刪除相關iptables規則后重新進行測試連接即可。