MyBase的誕生背景
(一)上雲的煩惱
目前資料庫主要分為三類:線下自建資料庫、雲上自建資料庫與雲資料庫。
我們通過與雲端和線下使用雲資料庫的使用者進行訪談,總結出不同類型的使用者在上雲時遇到的情況如下:
1.線下自建資料庫
- 優點
1)自主可控
相比雲資料庫,部分使用者認為線下自建資料庫安全性與可信度更高;
2)資源獨占
所有的資源都是使用者自己配置設定的,無需與其他使用者共享;
3)資料安全
使用者使用自建資料庫,一定程度上增加資料安全性;
- 缺點
1)營運複雜
使用者需自行購買硬體并上架,建設資料中心,營運成本高且異常繁瑣和複雜;
2)運維壓力大
如發生機房中心斷電、裝置故障等情況,運維中心的從業人員壓力會非常大;
3)上線周期長
所有設施需從0開始搭建,上線周期十分漫長;
4)擴充性差
存儲的擴容與計算的擴充非常差;
5)成本高昂
需要成立專門的團隊,人力物力成本非常高昂。
2.雲上自建資料庫
1)上線周期縮短
無需自行購買硬體與建構資料中心,可根據需求在雲上直接購買資源,可以快速部署業務;
2)擴充性(中)
雲上資源豐富,擴充難度低;
3)雲DC基礎設施穩定
雲廠商花費大量精力建構的資料中心,基礎設施相比自建更加穩定;
DBA需自行安裝部署資料庫、搭建HA、備份、監控;
資料庫的日常運維仍需DBA自行處理;
3)共享資源
與其他使用者共享資源池;
4)無SLA保障
3.雲資料庫
1)服務化
全托管、免維護、核心快速演進;
2)擴充性(優)
隻需簡單的操作即可完成擴充;
3)SLA保障,高可靠
4)豐富的配套工具
1)擔心資料安全
看不見、摸不着,心裡發虛。無主機權限,隻有執行個體權限。主機審計無從下手,最多隻能審計DB執行個體;
2)成本可能增加
雲上自建隻需付 ECS等基礎資源費用,雲資料庫服務可能有10%以上的價格上漲;
(二)均衡各崗位的關注點
如上圖所示,不同崗位對資料庫的關注點也不一樣。
在通常情況下,CFO隻關心成本問題,CEO會在考慮資料安全、自主可控與快速GTM問題,注重産品安全、快速上線等。
DBA則更關注自主可控,如果所有業務都使用雲服務,DBA是否面臨被替代的風險。另一方面是資源獨占,如果能夠獨占資源,則可以保證整個系統的穩定性最優,無需與其他使用者争奪資源。
開發運維人員則注重便捷性,能夠提供服務化、全托管的産品更受到他們的青睐。
MyBase的産品形态和定義
(一)MyBase的産品形态
針對以上問題,阿裡雲雲資料庫産品經理、開發人員、架構師等經過冥思苦想,提出了新的設計理念:将IDC搬到雲上,在雲上建構自主可控的IDC。全面上雲之後,依然可以自主可控,同時還可降本增效。
1.專屬資源
使用者購買自己專屬實體機,無需與其他使用者進行資源争奪。
2.開放OS權限
開放整個後端OS權限給使用者,使用者可以看見所有的系統日志與相關目錄,也可在上面裝自己的軟體。
3.可調節的資源排程
如果使用者有多種資料庫,有些是記憶體消耗型(如Redis),有些是計算消耗型,這些各種類型的資料庫均可混布到一個實體機上。目前資源排程提供自定義的排程模式,使用者可根據自己的業務自行配置。
4.阿裡雲核心
MyBase将阿裡雲整個雲服務核心開放給使用者,使用者隻需購買實體機即可獲得全套阿裡雲資料庫核心。在自主可控的前提下,能夠享受到全托管雲服務,目前MyBase支援MySQL/SQLServer/PostgreSQL/Redis/MongoDB等多種資料庫。
(二)MyBase産品定義
1.産品定義
以主機形式購買雲資料庫服務,目前包括RDS MySQL、PostgreSQL、SQL Server和Redis服務,在賦予PaaS資料庫同樣能力之外,額外具備資源超配、混合部署、資源排程、彈性政策、更開放的權限、自主運維等能力,以滿足大中型企業客戶對雲上資料庫自主管理的核心需求。
2.售賣方式
1)按月購買,兩台起配;
2)主機付費,執行個體免費;
3)支援本地SSD盤和ESSD雲盤(另付費);
4)支援神龍伺服器。
3.産品原理
産品原理主要包含以下五個部分:
1)自定義資源超配
使用者在虛拟化的時候,可根據實際需求超配資源,如200%的資源或300%的資源。
2)自定義混合部署
可将多個類型的資料庫混合部署到一起。
3)自助選擇資源排程
4)可內建DBaaS
5)權限開放
(三)雲資料庫服務形态變化
原先許多雲資料庫使用者都是與其他使用者共享雲上資源池,有了MyBase這個産品形态之後,通過最純粹的實體隔離,使得使用者可以獨占資源池,自主可控操作自己的資源,更加友善與安全。
(四)OS權限
MyBase開放OS權限,實作對使用者最純粹的權限交底,打消使用者上雲的疑慮。保留原來所有的運維工作模式,可充分發揮DBA的價值,可及時解決資料庫問題,同時使用者還可部署原有自研管理系統(如監控等),更多優點如下所示:
MyBase的特點
(一)MyBase開放OS登陸
如上圖所示,開放OS後,使用者可以實作以下操作:
1)登陸到購買的專享主機上,擁有普通使用者的權限;
2)挂載獨立雲盤,提供給使用者可寫(免費送100G雲盤);
3)執行個體日志等資訊提供給使用者可讀;
4)部署和運作自己的程序、工具。
(二)MyBase豐富的權限開放
如上圖所示,目前MyBase開放了豐富的權限,作業系統目錄權限包含:
1)資料庫執行個體空間目錄(r-x):
錯誤日志、慢日志、審計日志等常用日志檢視。
2)作業系統目錄(r-x):
主機日志、核心配置等常用目錄和檔案檢視。
同時,我們已經将DBA常用的OS工具内置到MyBase中,包含:
1)yum
2)make;cmake
3)pt工具指令
4)tcpdump(抓包)
5)lrzsz(上傳下載下傳)
6)gzip(壓縮)
7)wget
8)mysql;psql(用戶端)
9)kill
10)其他DBA常用指令
目前MyBase已有相當完善的OS工具,後續我們也會根據使用者回報與需求持續完善,友善使用者使用。
(三)MyBase系統預裝軟體
如上圖所示,目前MyBase預裝了許多使用者常用的軟體,包含登入、編譯、壓縮、解壓縮等功能軟體,為使用者打造一站式服務。
(四)MyBase關聯堡壘機,做最安全的資料庫
我們開放OS權限後,為了防止少數使用者随意操作,設定了堡壘機機制,使用者登入後無法直接登入到背景。同時,我們設定了三個安全措施:操作審計、職權管控和安全認證。
1.操作審計
多面記錄運維人員的操作行為,作為追溯的保障和事故分析的依據,包含以下幾個方面:
1)運維操作記錄
操作失誤、惡意操作、越權操作詳細記錄;
2)Linux指令審計
可提取指令字元審計、指令定點回放;
3)Windows操作錄像
全程錄像遠端桌面的操作,包括鍵盤操作、滑鼠操作、視窗打開等;
4)檔案傳輸審計
支援遠端桌面檔案傳輸、SFTP的原檔案審計。
2.職權管控
進行賬号管控和權限組管理,分職權進行人員和資産管理,包含以下幾個方面:
1)賬号管控
運維賬号唯一性,解決共享賬号、臨時賬号、濫用權限等問題;
2)權組管理
按照人員、伺服器、伺服器組,建立人員職責與資源配置設定的授權管理
3.安全認證
引入雙因子認證機制,防止運維人員身份冒用和複用。
支援多種雙因子認證機制,通過短信認證、RAM子賬号MFA等技術,控制賬号密碼洩露風險。
總結
MyBase的設計初衷在于解決使用者們在上雲中遇到的各種痛點,同時滿足了公司各個角色對資料庫的不同需求,主要從四個方面進行實作:
1.雲服務
MyBase為使用者提供阿裡雲雲服務技術,使用者隻需購買實體機即可免費使用所有執行個體,且支援現有RDS的功能,具備強大的擴充能力。
2.安全隔離
使用者可獨享主機,內建堡壘機管理保證使用者在享受OS權限的同時,無需擔心安全問題。
3.自主可控
開放OS權限,保留使用者在原先作業系統的運維習慣,可在MyBase部署自己的常用工具,DBA可充分發揮自身優勢,不必擔心喪失運維權限。
4.高成本效益
讓使用者降本增效,提供自定義超配功能,使用者可根據業務實際需求超配資源,有效降低成本。