操作场景

用户可通过公网类型的 VPN 网关在本地数据中心和 VPC 之间建立 VPN 连接，实现本地数据中心和 VPC 间的加密互通，并通过 VPC 接入方式使用 DTS 实现本地数据中心下的数据同步至 VPC 的数据库中。

前提条件

• 创建 VPC，并在 VPC 下部署了数据库。
• VPC 实例的网段与本地数据中心要互通的网段没有重叠

操作步骤

创建VPN网关

1. 登录 VPN 网关控制台。
2. 在上方切换栏中选择 VPN 类型，以下以 IPsec VPN网关为例，其他网关创建方式参考 VPN 网关。

3. 点击 + 创建 IPsec VPN 网关，配置以下信息：

   配置项	说明
   付费方式	选择付费方式
   当前地域	支持华北-北京、华北-保定、华南-广州、华东-上海、华东-苏州，华中-武汉、西南-成都、香港，通过左上角区域进行切换。
   所在网络	VPN 所属的私有网络(VPC)
   所在子网	VPN 所属 VPC 下对应可用区的子网。
   VPN 网关名称	用户自定义 VPN 网关名称。
   VPN 网关规格	用户选择 VPN 网关支持的最大转发能力，普通型 VPN 网关，最大转发能力 200 Mbps；增强型 VPN 网关，最大转发能力1000 Mbps。
   VPN 描述	该 VPN 网关的描述信息。
   网关类型	支持公网和私网，公网指通过互联网建立加密隧道，需绑定百度智能云 EIP 产品。 私网指基于专线接入 ET 的私网连接建立加密隧道，需确保本端 VPN 网关和对端 VPN 网关的 IP 地址网络可达，如通过专线接入 ET 的专线通道可达。
   VPN 公网带宽	（可选，仅当网关类型为公网时展示）用户绑定的公网 EIP 。
   资源分组	选择资源分组
   购买时长	选择购买时长
   自动续费	选择是否自动续费

   说明：

   • 如果您需要在非默认 VPC 中创建 IPsec VPN 网关，首先需要在该 VPC 中创建一个子网，详情请参考 创建子网。
   • 每个 VPC 最多支持创建 3 个 IPsec VPN 网关 ，如果您需要创建更多 IPsec VPN 网关，可以提交 工单 申请。

4. 确认订单并进行支付后，IPsec VPN 网关创建完成。

创建VPN隧道

1. 在 IPsec VPN 网关列表页，选择 IPsec VPN 网关，点击网关最前方的向下箭头出现 VPN 隧道列表。

   

   说明： 每个IPsec VPN 网关最多支持 10 条 IPsec VPN 隧道，如果您需要创建更多 IPsec VPN 隧道，可以提交 工单 申请。

2. 点击 创建 VPN 隧道，配置以下信息：

   类别	配置	说明
   基本配置	所在私有网络	VPN 所属的私有网络(VPC)。
   	VPN 隧道名称	用户自定义 VPN 隧道名称。
   	共享密钥	共享密钥是用于验证 IPsec 连接的 Unicode 字符串，本端和对端必须使用相同的预共享密钥。
   	通信模式	支持目的路由模式和感兴趣流模式。目的路由模式指基于目的 IP 进行路由转发，不用写协商的本端网段。通常使用网段数量大于 2 时推荐使用.感兴趣流模式指基于安全联盟 SA，需要写协商的本端网络和对端网络。通常使用网段数量较少时使用。 如果选择目的路由模式，本端网段和对端网段均为 0.0.0.0/0，需在创建 IPsec 连接再在 VPN 网关内手动添加策略路由或目的路由。
   	本端 VPN 网关公网 IP	（可选，仅当网关类型为公网时展示）本端 VPN 网关用于公网加密通信的公网 IP/带宽。 如 VPN 网关选择增强型，则本端使用的公网 IP/带宽购买需参考弹性公网 IP EIP 的购买带宽限制细则，详见。
   	本端私网 IP	（可选，仅当网关类型为私网时展示）
   	本端网络	（可选，仅当通信模式为感兴趣流模式时展示该字段），字段表示百度智能云VPC中需要进入VPN隧道的子网。
   	对端 VPN 网关公网 IP	（可选，仅当网关类型为公网时展示）对端网关是指 IDC 机房的 IPsec VPN 服务网关，对端网关需与百度智能云 VPN 网关配合使用。
   	对端 VPN 网关 IP	（可选，仅当网关类型为私网时展示） 需确保本端VPN网关和对端 VPN 网关的 IP 地址网络可达，如通过专线接入 ET 的专线通道可达。
   	对端网络	对端需要通过 VPN 隧道连通的网段。
   	描述	该 VPN 隧道的描述信息。
   高级配置：IKE 配置	版本	选择 IKE 协议的版本。目前支持 IKE V1 和 IKE V2，建议在设备支持且有多网段和安全性要求较高的情况下，推荐用 IKE V2。
   	协商模式	选择 IKE V1 版本的协商模式。 主模式（main）：协商过程安全性高。 野蛮模式（aggressive）：协商快速且协商成功率高。 协商成功后两种模式的信息传输安全性相同。
   	加密算法	选择第一阶段协商使用的加密算法。支持 aes、aes192、aes256 和 3des，其中 3des 安全性较低，不推荐使用。
   	认证算法	第一阶段协商使用的认证算法。支持 sha1（安全性较低，不推荐使用）、md5（安全性较低，不推荐使用）、sha2_256、sha2_384 和 sha2_512。
   	本端标识	支持 IP address 和 FQDN（全称域名），“本端标识”与隧道对端配置的“远端标识”需一致。
   	远端标识	支持 IP address 和 FQDN（全称域名），“远端标识”与隧道对端配置的“本端标识”需一致。
   	DH 分组	支持的算法：Group2、Group5、Group14、Group24（推荐使用）、disabled（表示不使用 DH 密钥交换算法），选择第一阶段协商的 Diffie-Hellman 密钥交换算法。
   	SA 生存周期（秒）	设置第一阶段协商出的 SA 的生存周期。默认值为 28800 秒。
   高级配置：IPsec 配置	加密算法	选择第二阶段协商的加密算法。支持 aes、aes192、aes256 和 3des，其中 3des 安全性较低，不推荐使用。
   	认证算法	选择第二阶段协商的认证算法。支持 sha1（安全性较低，不推荐使用）、md5（安全性较低，不推荐使用）、sha2_256、sha2_384 和 sha2_512。
   	DH 分组	支持的算法：Group2、Group5、Group14、Group24（推荐使用）、disabled（表示不使用DH密钥交换算法），选择第二阶段协商的 Diffie-Hellman 密钥交换算法。
   	SA 生存周期（秒）	设置第二阶段协商出的 SA 的生存周期。默认值为 28800 秒。

   说明：同一个 VPN 网关中只能有一种通信模式。即：如第一个隧道使用的通信模式为“目的路由模式”，则后续在同一个网关中新建隧道只能选择“目的路由模式”；如第一个隧道使用的通信模式为“感兴趣流模式”，则后续在同一个网关中新建隧道只能选择“感兴趣流模式”。

创建用户网关

用户端网关（对端网关）是指用户机房的 IPsec VPN 服务网关，对端网关需与百度智能云 IPsec VPN 网关配合使用，配置时参见 VPN 隧道高级配置。

说明： 本地IDC的VPN网关设备应开启NAT穿越。

VPN配置路由表

VPN 连接成功后，您需要在 VPN 隧道两端分别配置路由表，实现云环境和用户侧网络的流量互通。在百度智能云中配置路由表的步骤如下：

1. 导航栏选择 路由表，点击路由表名称进入详情页，点击 添加路由。

2. 输入与访问用户侧网络所关联的路由表。

   • 源网段
   • 输入目标网段
   • 路由类型，选择 VPN 网关
   • 下一跳实例，选择已创建的 VPN 网关
3. 点击 确定，完成路由表配置，关联此路由表子网内的 BCC 访问用户侧网络时流量将指向该 VPN 网关。

VPN网关网络地址转换（NAT）配置

网络地址转换(NAT)是混合云场景 IP 地址冲突问题的一种解决方案。VPN 网关支持云端静态 NAT、IDC 端静态 NAT、IDC 端 DNAT 和云端 DNAT 四种转换规则，可解决 VPN 网关的 IP 地址冲突问题，隐藏 IP 地址实现安全要求。

以下示意图中的本端指的是云上私有网络，对端指的是用户 IDC 端。

说明： 仅 IPsec VPN 网关支持 NAT 功能，SSL VPN 网关与GRE VPN 网关均不支持 NAT。

云端静态NAT

• 云端（本端）IP 转换：指私有网络内原 IP 映射为新 IP，并以新 IP 身份与 VPN 对端互访。
• 云端（本端）IP 转换不限制网络请求的方向，可以是私有网络主动访问 VPN 对端，也可以是 VPN 对端主动访问私有网络。

IDC端静态NAT

• IDC端（对端）静态 NAT 指用户 IDC 内原 IP 映射为新 IP，并以新 IP 身份与私有网络内 IP 互访。
• IDC端（对端）静态 NAT 的转换不限制网络请求的方向，可以是私有网络主动访问 VPN 对端，也支持 VPN 对端主动访问私有网络。

IDC端DNAT

IDC 端 DNAT 即本端目的 IP 端口转换是 IDC 侧主动访问私有网络的一种方法，将私有网络内指定 IP 的指定端口映射为新的 IP 和端口，IDC 侧则只可以通过访问映射后 IP 端口来与私有网络内指定 IP 端口通信，其他 IP 端口则不对 IDC 端暴露。

云端DNAT

云端 DNAT 将 IDC 内（对端）指定 IP 端口映射为新 IP 端口，VPC 侧只可以通过访问映射后 IP 端口来与IDC内指定 IP 端口通信。

DTS任务配置

1. 购买 DTS 任务，详情参见 购买流程。其中 VPC接入端 基本信息配置如下：

   • 源端/目标端位置：选择自建数据存储
   • 源端/目标端接入类型：选择 VPC 接入
   • 源端/目标端地域：选择离物理数据源地域最近的地域
2. 放通 DTS 服务 IP，详情参见 添加 DTS 服务 IP 白名单

3. 在配置任务页面，配置源库及目标库信息，以下以 MySQL 间迁移为例。

   类别	配置	说明
   任务基本属性	任务名称	DTS 会自动生成一个任务名称，建议配置具有业务意义的名称（无唯一性要求），便于后续识别。
   源端连接设置	VPC 接入所在网络	选择要接入的实例所在 VPC。
   	连接地址类型	选择连接地址的类型，支持IP、域名，此处以域名为例。
   	连接地址	根据连接地址选择的类型，填入对应源端数据库的连接地址。
   	端口	填入源端数据库的服务端口。
   	账号	填入源端数据库的账号。
   	密码	填入该数据库账号对应的密码。
   	自建 DNS 信息	当连接地址类型为域名时，需填入该私网域名对应的 DNS 地址。
   目标端连接设置	实例 ID	选择目标 RDS MySQL 实例 ID。

4. 其他配置任务操作，详情参见 配置迁移任务