數據傳輸服務有哪些安全保障措施？

數據傳輸服務從三個方面提供安全保護措施：

• 賬號安全
  • 基于天翼云完善的賬號權限體系為用戶提供嚴格的租戶隔離，以及對各種資源進行了精細的權限控制，保障了用戶的賬號、數據和進行各項操作的安全性。
• 網絡安全
  • 通過VPC技術實現不同用戶資源的網絡隔離。
  • 通過網絡ACL、安全組實現對數據庫、DTS實例的進出網絡流量的安全控制。
• 數據傳輸安全
  • DTS對于數據傳輸的源端和目標端之間的連接，提供了可選的SSL加密傳輸的連接方式，保障了數據遷移、同步過程中數據傳輸的安全性。

如何處理遷移過程中出現的網絡中斷？

在遷移過程中出現網絡中斷，DTS實例會自動進行重試處理。如果超過20分鐘還未恢復，則會將任務狀態置為【運行異常】。在后續網絡恢復后，用戶可在實例詳情頁面點擊【開始任務】重新啟動任務，此時會基于網絡中斷前的遷移進度進行續傳。

如何通過設置VPC安全組，實現DTS網絡互通？

在部署上，DTS實例是與目標庫實例在同一個VPC，同一個子網和使用同一個VPC安全組，所以DTS實例與目標庫實例在網絡上是互通的，故對于VPC安全組的設置，主要需要對源庫實例所在安全組和DTS實例所在的安全組進行設置。

DTS實例所在安全組

DTS實例所在VPC安全組的出方向規則需要放通源庫的IP、端口，允許DTS實例訪問安全組外的數據庫。

1. 在DTS實例詳情頁面查看當前DTS實例所在安全組。
   
2. 在【VPC】產品的控制中心，進入【安全組】頁面，找到該安全組，在出方向規則單擊【添加規則】，即添加出方向規則，放通源庫的IP、端口；如果默認已放通，則無需重復進行添加操作。
   

源庫所在安全組

源庫所在VPC安全組的入方向規則需要放通DTS實例IP和源庫自身的端口，允許DTS實例通過端口訪問。具體步驟如下：

1. DTS實例詳情頁面查看當前DTS實例的IP。
   
2. 在【數據庫】產品的控制中心，如MySQL，找到源庫實例和對應的安全組。
3. 在【VPC】產品的控制中心，進入【安全組】頁面，找到該安全組，在入方向規則單擊【添加規則】，即添加入方向規則，放通DTS實例IP和源庫自身的端口。
   

如何處理遷移實例和數據庫網絡連接異常？

數據遷移前，請結合快速入門-準備工作概覽文檔中網絡準備部分介紹的幾種網絡互通場景，對當前匹配的場景完成網絡準備和安全規則設置。

                
注意
                
DTS在部署上是與目標數據庫實例在同一個VPC，網絡默認互通，故這里主要針對源數據庫實例與DTS實例的網絡連接異常場景進行介紹。如果出現網絡連接異常，請按照本節方法排查網絡配置是否正確。
              

同VPC內數據庫遷移

同VPC內網絡默認互通，如果沒有進行過特殊配置或者使用的是同一個安全組，無需進行該步驟檢查；否則按照以下方式對源數據庫實例和DTS實例所在安全組的規則進行檢查：

• 源數據庫實例所在安全組
  安全組的【入方向規則】需放通DTS實例的IP、源數據庫的自身端口，確保源數據庫可以被DTS實例可以正常訪問。
• DTS實例所在安全組
  安全組的【出方向規則】需放通DTS實例的IP、源數據庫的端口，確保DTS實例可正常訪問源數據庫實例。

跨云數據庫遷移

跨云數據庫遷移主要通過公網網絡進行，此時分為兩步：

1. 購買DTS實例時，在訂購頁面中，目標庫的網絡接入類型選擇“公網EIP”。
2. 源數據庫實例申請公網訪問，以阿里云云數據庫RDS MySQL為例，一般情況下，阿里云RDS MySQL不提供公網地址，需要通過申請公網地址來允許外部通過公網訪問，具體的操作及注意事項可以參考源數據庫所在云提供的相關指導。

完成以上兩步后，則主要需要針對源數據庫實例和DTS實例所在安全組進行檢查，具體可參考【同VPC內數據庫遷移】的檢查方式，其中分別對應源數據庫實例的公網IP和DTS實例的公網EIP。

本地數據庫遷移

本地數據庫遷移主要通過公網網絡進行，具體可參考以上【跨云數據庫遷移】相關步驟進行操作，其中主要的區別點：

• 本地數據庫要綁定一個公網IP來支持DTS實例通過公網訪問。
• 本地數據庫所在機器或者IDC的防火墻要放通DTS實例的公網EIP、本地數據庫端口的入方向訪問。
• 安全組規則主要針對DTS實例，可以參考以上【同VPC內數據庫遷移】相關說明進行檢查，此時為DTS實例的公網EIP。

ECS自建數據庫遷移

ECS自建數據庫遷移主要需要區分ECS與目標數據庫實例所在的VPC的幾種場景：

• 同一個VPC ：網絡默認互通，故主要需要針對安全組規則進行檢查。
• 同資源池，不同VPC：首先需要確保ECS所在子網的網段和目標數據庫實例所在子網的網段不沖突，然后可以通過對等連接的方式進行網絡打通。
• 不同資源池，不同VPC：不同資源池需要通過公網網絡進行訪問，故源數據庫實例需申請公網IP，DTS實例需使用公網EIP的網絡接入模式。
• 安全組規則可以參考以上【同VPC內數據庫遷移】相關說明進行檢查。

不同VPC場景下，如何實現源庫和目標庫的網絡互通？

不同VPC場景，需區分是在同一個資源池還是不同資源池，具體如下：

• 同一個資源池
  • 同一個資源池下，可以通過VPC對等連接的方式實現源庫和目標庫的網絡互通。注意，需要保證源庫和目標庫各自所在的子網的網段相互不沖突，否則會導致VPC對等連接無法成功建立。
• 不同資源池
  • 不同資源池需要通過公網網絡進行網絡互通。首先源庫需要申請公網IP來支持公網訪問，其次由于源庫和目標庫之間是通過DTS實例來進行數據遷移的，并且DTS實例與目標庫是在同一個VPC，故主要是在購買DTS實例時，網絡接入模式需使用【公網EIP】。

最后，針對以上兩種場景，都需要正確配置安全組規則，即源庫所在安全組的入方向需放通DTS實例的IP和源庫的端口；DTS實例所在的安全組的出方向規則需放通DTS實例的IP和源庫的端口。

DTS公網網絡的EIP帶寬是多少？

DTS使用的EIP是由用戶提供，即可以選擇在天翼云已購買的EIP或者在天翼云彈性IP產品新購一個EIP，故EIP帶寬主要由選擇使用的這個EIP決定。

彈性IP產品的默認可調整范圍為1Mbps到300Mbps；在彈性IP產品提交工單，最大值可提至2000Mbps。具體可以參考天翼云彈性IP-規格和使用限制文檔內容。

DTS支持跨帳號云數據庫遷移嗎？

支持。

DTS進行云數據庫遷移是沒有賬號限制的，只需要用戶的源數據庫和目標數據庫允許DTS實例通過所選擇的網絡進行訪問和建立連接即可。

對于網絡訪問，DTS目前支持VPC網絡和基于EIP的公網訪問。

對于建立連接，DTS使用的是jdbc連接，用戶只需保證所提供的用于數據庫遷移的數據庫賬號擁有足夠授權即可。