技法一:实例容灾
A/ 三节点企业版(原金融版)实例
为进一步满足业务场景中高可靠性和数据安全需求,RDS提供三节点企业版实例,采用一主两备的三节点架构,通过多副本同步复制,确保数据的强一致性,提供金融级的可靠性。您可以在创建实例时选择三节点企业版。
B/ 多可用区
RDS每个地域都包含多个可用区。同一个地域中的可用区都被设计为相互之间网络延迟很小(3ms以内)以及故障隔离的单元。多可用区实例将物理服务器部署在不同的可用区,当可用区A出现故障时流量可以在短时间内切换到另一个可用区B。整个切换过程对用户透明,应用代码无需变更。您可以在创建实例时选择多可用区。
C/ 跨地域灾备实例
RDS通过数据传输服务DTS(Data Transmission Service)实现主实例和异地灾备实例之间的实时同步。主实例和灾备实例均搭建主备高可用架构,当主实例发生突发性自然灾害等状况,主节点(Master)和备节点(Slave)均无法连接时,您可以将异地灾备实例切换为主实例,在应用端修改数据库连接地址后,即可快速恢复应用的业务访问。
D/ 跨地域备份
RDS提供跨地域备份功能,可以自动将本地备份文件复制到另一个地域的OSS上,跨地域的数据备份可以用于监管和容灾恢复。跨地域备份独立于实例,实例释放后仍会按照您设置的保留时间进行保留。
技法二:权限控制
A/ RAM用户授权
使用访问控制RAM(Resource Access Management),您可以创建、管理子账号,控制子账号对您名下资源的操作权限。当您的企业存在多用户协同操作资源时,使用RAM可以按需为用户分配最小权限,避免与其他用户共享云账号密钥,降低企业的信息安全风险。
B/ 数据库账号授权
RDS可以根据生产环境的业务需求,授权数据库账号管理数据库。您可以直接在控制台创建账号并授权管理某些数据库。如果您只需要账号管理数据库中的某个表,可以通过SQL命令进行授权。
技法三:网络隔离
A/ 专有网络
RDS支持多种网络类型,推荐使用专有网络。专有网络是一种隔离的网络环境,安全性和性能均高于传统的经典网络。专有网络需要事先创建。
B/ IP白名单
RDS实例创建完成后,默认的IP白名单内地址为127.0.0.1(表示任何设备均无法访问该RDS实例),您必须手动添加IP地址后才可以连接RDS实例。
不知这三板斧,挥舞的如何。
云管家安全团队,经验已有十年沉淀。
厉兵秣马,随时听候您的调遣。
