通过配置VPC安全组的入站和出站规则,允许源端与目标端数据库的特定端口(如MySQL的3306或Oracle的1521)相互访问,即可实现DRS任务的网络互通。
数据复制服务(DRS)的核心在于建立源数据库与目标数据库之间稳定、低延迟的数据通道,许多用户在配置过程中,往往忽略了网络层面的“隐形墙”,导致任务启动失败或同步中断,只要理清VPC(虚拟私有云)与安全组(Security Group)的逻辑关系,打通内网互通并非难事,安全组本质上是一层虚拟防火墙,它控制着实例级别的流量进出,要实现DRS任务成功,必须确保源实例和目标实例所在的VPC网络是连通的,且安全组规则允许DRS代理服务器或任务实例访问数据库端口。
理解VPC与安全组在DRS中的角色
在深入操作之前,我们需要明确两个概念的区别与联系,VPC是网络的基础设施,决定了IP地址段和路由走向;而安全组则是应用层的访问控制策略,业内专家指出,很多网络故障并非源于路由不通,而是源于安全组规则配置错误。
VPC网络连通性基础
DRS任务通常运行在特定的子网中,如果源数据库和目标数据库位于同一个VPC内,它们默认可以通过内网IP直接通信,但如果它们位于不同的VPC,或者位于不同的地域,就需要借助VPC对等连接、云企业网(CEN)或专线来实现网络互通,对于大多数单一地域内的DRS任务,重点在于确保它们处于同一个VPC或已建立对等连接的VPC中。
安全组的访问控制逻辑
安全组遵循“默认拒绝,显式允许”的原则,这意味着,除非你明确添加了一条允许规则,否则所有流量都会被拦截,在DRS场景中,我们需要关注两个方向的流量:
- 入站规则(Inbound):控制谁可以访问数据库实例,这是最关键的部分,需要允许DRS任务实例或代理服务器发起的连接。
- 出站规则(Outbound):控制数据库实例可以向哪里发送数据,通常默认允许所有出站流量,但在某些高安全场景下可能需要限制。
配置安全组实现内网互通的具体步骤
要实现数据库间的内网互通,我们需要分别对源数据库和目标数据库的安全组进行配置,以下是标准化的操作流程,适用于大多数主流云平台。
确定需要开放的端口号
不同数据库类型的默认端口不同,常见的包括:
- MySQL:3306
- PostgreSQL:5432
- Oracle:1521
- MSSQL:1433
- Redis:6379
请根据你的实际数据库类型,记录对应的端口号,这是后续配置规则的基础。
获取DRS任务实例或代理的IP
这一步至关重要,你需要知道是谁在尝试连接你的数据库。
- 如果使用托管式DRS服务:通常不需要手动指定IP,因为云厂商会提供专门的网段或标识,你需要查阅云厂商的文档,获取DRS服务使用的内网网段。
- 如果使用自建代理或特定实例:获取执行DRS任务的那台ECS实例或容器的内网IP地址。
配置源数据库安全组
登录云控制台,找到源数据库实例所属的安全组,添加一条入站规则:
- 类型:自定义TCP
- 端口范围:填入上述确定的数据库端口(如3306)
- 授权对象:填入DRS任务实例的内网IP,或者DRS服务使用的内网网段(如10.0.0.0/8,具体视云厂商规定而定)
- 描述:备注为“允许DRS同步数据”
配置目标数据库安全组
同理,为目标数据库实例所属的安全组添加入站规则,授权对象同样为DRS任务实例的内网IP或网段,端口为目标的数据库端口。
常见误区:仅配置源端
很多用户只配置了源数据库的安全组,却忘记了目标数据库也需要开放端口,数据是从源流向目标的,目标数据库必须“开门迎客”,否则写入操作会被拒绝。
排查网络互通问题的实战技巧
即使配置了安全组,有时任务仍可能失败,这时需要进行网络连通性测试。
使用Ping和Telnet命令验证
在DRS任务运行的实例或本地机器上,使用命令行工具进行诊断。
- Ping测试:执行 `ping <目标数据库内网IP>`,如果通,说明网络层可达,如果不通,检查VPC路由表或对等连接状态。
- Telnet测试:执行 `telnet <目标数据库内网IP> <端口>`,如果连接成功,显示空白屏幕或字符,说明端口是通的,如果提示“连接失败”或“超时”,则说明被防火墙或安全组拦截。
检查白名单与ACL
除了安全组,数据库本身可能还有白名单设置,RDS数据库通常有自己的白名单功能,请确保DRS实例的IP也被添加到了数据库实例的白名单中,安全组和白名单是双重关卡,缺一不可。
不同场景下的配置差异对比
为了更清晰地理解,我们对比几种常见场景。
| 场景 | 网络环境 | 关键配置点 | 注意事项 |
|---|---|---|---|
| 同VPC同安全组 | 同一VPC,同一安全组 | 通常无需额外配置 | 确保数据库未禁用内网访问 |
| 同VPC不同安全组 | 同一VPC,不同安全组 | 需互相授权端口 | 注意授权对象是另一个安全组的ID |
| 跨VPC | 不同VPC,已建立对等连接 | 需配置对等连接路由+安全组 | 确保对等连接状态为“Active” |
| 跨地域 | 不同地域 | 需使用CEN或专线 | 内网互通成本较高,需评估预算 |
跨安全组授权的细节
当源数据库和目标数据库位于同一VPC但不同安全组时,授权对象不应填写IP,而应填写对方安全组的ID,这种方式更灵活,因为实例的IP可能会变,但安全组ID是固定的,在源数据库安全组中,授权对象填写目标数据库安全组的ID,端口为3306。
安全组实现内网互通的最佳实践
为了确保长期稳定运行,建议遵循以下最佳实践。
最小权限原则
不要随意开放0-65535的所有端口,只开放数据库所需的特定端口,这不仅提高了安全性,也减少了被恶意扫描的风险。
使用安全组ID而非IP
如前所述,使用安全组ID作为授权对象,可以避免因实例重启、更换IP导致的配置失效,这是运维自动化的基础。
定期审计规则
随着业务变化,安全组规则可能会变得杂乱,定期清理不再使用的规则,特别是那些宽泛的授权(如0.0.0.0/0),以防止潜在的安全漏洞。
Q&A:安全组实现内网互通常见问题
DRS任务显示网络不通,但Ping能通,可能是什么原因?
Ping能通说明网络层(Layer 3)是通的,但数据库连接失败通常是因为传输层(Layer 4)端口被拦截,请检查安全组的入站规则,确认是否允许了数据库端口的TCP流量,检查数据库实例本身的白名单是否包含DRS实例的IP。
如何确认DRS服务使用的内网网段?
不同云厂商的DRS服务使用的网段不同,云厂商会在控制台的“帮助文档”或“产品文档”中提供具体的网段信息,某些云厂商的DRS代理可能使用100.64.0.0/10或特定的私有网段,务必查阅最新官方文档以获取准确信息。
配置了安全组后,DRS任务仍无法连接,还有哪些可能?
除了安全组,还需检查数据库实例是否开启了公网访问但禁用了内网访问,或者数据库账号权限不足,如果使用了数据库代理(Proxy),需确保代理规则也允许来自DRS实例的连接,确认数据库实例处于“运行中”状态,且未处于维护模式。
首发原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/382015.html
