随着CPU和存儲的價格持續降低、網絡資源愈加富餘,使用者行為習慣開始發生改變,資料量也急速上升,資料計算正式步入雲原生時代。充分結合雲計算、大規模并行處理技術的雲原生資料庫 PieCloudDB Database (以下簡稱PieCloudDB) 應運而生。其突破式創新的eMPP (elastic Massive Parallel Processing) 分布式技術,打破了傳統資料庫難以擴容、資料孤島、缺乏彈性等瓶頸,實作了彈性伸縮、動态擴容、跨叢集關聯、跨雲等衆多優勢,配合可視化的雲原生平台為雲時代使用者帶來更高成本效益和更便捷的使用體驗。
雲原生時代的資料安全一直是使用者最關注的話題之一。近日,國家發改委釋出的《關于數字經濟發展情況的報告》中提到要:“全面加強網絡安全和資料安全保護,築牢數字安全屏障”。資料庫系統存儲着各類重要且敏感的資料,常常成為黑客的主要攻擊目标。而資料的洩露往往會為企業的品牌聲譽、業務營運、合法性等衆多方面造成巨大的影響和損失。
作為OpenPie旗下的雲原生分析型資料庫,PieCloudDB開發團隊早在設計初期就将資料安全作為重要的設計目标。讓 PieCloudDB 通過一系列技術實作了Unbreakable(堅不可破),并做到了真正的「安全可靠」。這一系列技術秉持着三項基本原則:無懼當機、不丢資料、不洩露資料,方能為資料安全保駕護航。
資料庫伺服器故障,出現當機,會直接或者間接影響應用的可用性。如何通過設計減少系統不能正常提供服務的時間?高可用成為資料庫系統設計中必須考慮的重要因素。
資料庫内的資料分為中繼資料和使用者資料。PieCloudDB 重新打造了雲上的資料庫核心,實作了中繼資料-計算-存儲分離的三層架構。中繼資料和使用者資料被分開存儲在雲上虛拟機中。PieCloudDB 通過實作計算節點的無狀态,讓計算節點不存儲中繼資料和使用者資料,使得使用者資料可以做到跨雲的分布。
中繼資料描述了資料庫内的資料結構和建立方法。使用者在進行查詢操作時,會根據中繼資料資訊擷取表格的基本資訊,再定位使用者資料擷取所需資料,進而形成查詢結果。中繼資料作為現代資料庫的 “基石”,保證了資料庫高效、安全、穩定運作。
資料庫當機是對業務影響最大的故障之一。當機期間,資料庫将處于不可用狀态,業務将中斷。更嚴重者,會出現硬碟損壞的情況,資料庫上線後将需要進行資料重分布。硬碟損壞還常伴随中繼資料的損壞,在中繼資料同步期間将進一步拉長資料庫不可用的時間,加重使用者損失。
傳統資料庫雖為減少當機期間的停機時間進行了一定的高可用設計,例如主從架構。但損壞/故障的伺服器主機仍然需要消耗大量的運維資源。同時,對于新上線的伺服器需要進行同步操作,性能會受影響,而且面臨主從都當機,以至于有服務不可用的風險。
對于雲原生資料庫 PieCloudDB 而言,由于其計算節點是無狀态的,不存儲中繼資料資訊,計算節點啟動和停止非常容易,企業可以根據自身的需求啟動足夠的備援計算節點。PieCloudDB 提供了自動監控托管,如果發生伺服器異常,會自動重新開機重連,重建立立叢集拓撲關系,并恢複使用,保證業務無間斷。隻有像 PieCloudDB 這樣的雲上的第三代資料庫才能實作計算節點的無狀态。企業無需擔心資料庫當機,做到了真正的 “Unbreakable”(堅不可破)。
由于 PieCloudDB 實作了存算分離,使用者資料被存儲到對象存儲伺服器中。對象存儲價格低廉,相比本地自建存儲系統具有巨大的價格優勢。
對象存儲采用分布式多副本、多機房存儲機制,即存儲系統會自動確定多個資料副本分布在不同伺服器的不同實體磁盤上,且確定多個資料副本之間的資料強一緻性,将由于人為或自然原因導緻的資料丢失機率降低到最低,保證單個硬體裝置的故障不會影響業務。
PieCloudDB 中繼資料被分布式KV存儲管理,具有完備的高可用方案。在PieCloudDB中,每份中繼資料都将以多副本的形式分散到多個服務節點,并将在不久的未來實作多資料中心,以確定避免因為使用者資料的丢失而造成的損失。此外,容災方面會通過定期備份和實時熱備來做到萬無一失。
未來,PieCloudDB 還将實作時間回溯(Time Travel)功能。通過時間回溯,使用者隻需在設定時指定保留天數,就能夠從任何時間點恢複資料。正是由于這些特性,PieCloudDB 将丢失資料的機率降到零,真正做到了“Unbreakable”。
PieCloudDB 的安全技術貫穿資料庫的各個方面,通過透明加密、可視化角色與權限管理、SQL标準和标準資料庫接口的相容等多種安全技術全方位保證資料安全,将資料洩露風險降至最低。
由于加密和解密的過程需要時間來完成,會對資料庫的性能造成損失,是以由于曆史原因,很多傳統資料庫的資料都以明文的形式存儲,但資料明文存儲會存在資料洩露風險。雲資料庫的資料部署在雲上,需要更完備的資料加密功能來保證資料的安全。PieCloudDB 提供企業級透明資料加密,在不影響資料庫性能的同時,讓資料在存儲時完成加密。PieCloudDB 通過實時加密(on-the-fly)、高強度算法、多級密鑰、傳輸加密等技術保證企業的資料安全。
PieCloudDB 支援資料實時加密,即對資料檔案執行實時I/O加密和解密,實作原生使用者資料(包括表資料、輔助資料、磁盤緩存檔案)的自動加解密,無需修改查詢語句且性能損失小。
資料實時加密讓資料在通過優化器、執行器的處理後,自動加密并存儲到 PieCloudDB 存儲層。需要進行讀取時,将自動對(加密)資料進行解密,并推入資料緩沖區進行優化。整個過程做到核心原生、對使用者和資料庫透明無感覺,無需業務改造。此外,PieCloudDB 通過原生支援現代CPU加密指令,在最小化性能損失的同時,保證了加密過程中的高安全性。
PieCloudDB 支援基于雲端硬體加密特性,将加密對性能的影響降至最低。同時,PieCloudDB 計劃接入雲廠商/使用者自帶的 KMS(密鑰管理系統),進一步提升資料庫存儲資料的安全性,滿足使用者對安全審計的不同要求。
PieCloudDB 采用現代主流的進階加密标準 AES-256 。高級加密标準 AES-256是加密資訊的方法之一,衆多銀行、證券等行業機構都在使用這種近乎嚴苛的進階加密标準。
PieCloudDB 做到了分組密碼,分組密碼将資料分為多個塊,AES-256 使用256位塊大小,提供了更高性能的加密過程,大大加強了加密的安全性。PieCloudDB 将在後續的研發中支援國密算法,進一步提升資料安全的保障。
PieCloudDB使用三層密鑰結構,第一級密鑰為主密鑰,用來加解密第二級密鑰,第二級密鑰為各個資料表的表密鑰,用來加解密第三層密鑰,第三級密鑰為各個資料檔案的密鑰,用來加解密對應的資料檔案。PieCloudDB 内每個租戶資料完全隔離,擁有獨立的密鑰體系。三層密鑰有效防範了資料洩露,確定了使用者的資料安全。
在資料傳輸過程中,PieCloudDB 支援 SSL/TLS 加密,讓資料不管是在傳輸中,做到端到端的完全加密,全鍊路添加 SSL/TLS安全協定。隻需消耗極少計算資源就可以完成節點間資料傳輸通道的傳輸加密,有效消除全鍊路網絡通信的竊聽攻擊、中間人攻擊和身份僞裝攻擊帶來的安全性威脅,保證了資料在節點傳輸過程中的安全與穩定。
PieCloudDB 為使用者提供了智能可視化的雲原生平台。通過可視化的操作為使用者在角色與權限管理操作上降低了門檻,讓資料庫管理者能夠輕松管理不同角色可見的資料,讓資料庫使用體驗上了一個台階。PieCloudDB 基于 RBAC(Role-Based Access Control,基于角色的通路控制)模型設計權限,将使用者通過角色與權限進行關聯。在這種模型中,使用者與角色之間,角色與權限之間,是一種多對多的關系。
PieCloudDB 對于權限管理的目标是實作可見即可管,可視化權限管理讓資料庫管理者得以更便捷地管控不同的角色對資料的可見和操作權限。PieCloudDB提供了租戶下的角色管理子產品,支援建立角色,建立基于系統角色的基本角色架構,對不同的角色完成使用者的關聯、角色的繼承、權限的賦予等操作,通過可視化操作和圖表結構幫助使用者了解目前系統角色關系。
PieCloudDB 實作了多租戶下的使用者管理功能,支援建立使用者、查找使用者、修改使用者資訊、重置密碼、賦予使用者角色、删除使用者等操作;可視化的管理界面讓使用者管理變得更加便捷。
PieCloudDB 為使用者提供了叢集操作管理,支援将創删叢集等操作配置設定給不同角色來實作叢集權限管理,擁有授權的使用者可以按需對叢集進行擴容或縮容、啟停或删除等操作。
此外,PieCloudDB 會在即将釋出的新版本中,實作叢集精細化管理,使使用者可以按照每個叢集為最小對象進行角色授權管理。
PieCloudDB 高度相容SQL:2016标準,完全支援SQL:1992标準、大部分的SQL:1999和部分SQL:2003标準(主要支援其中的OLAP 特性),支援包括窗函數、彙總、資料立方體和各種其他表達功能。此外,PieCloudDB 完全支援和認證标準資料庫接口(PostgreSQL、 SQL、ODBC、JDBC 等) 。此外, SQL:1999中定義的RBAC(Role-Based Access Control,基于角色的通路控制)模型設計權限,成為 PieCloudDB 權限管理的設計理念,為使用者的資料安全保駕護航。
對SQL的全面支援使得 PieCloudDB 能夠無縫內建業内常見的提取/轉換/加載(ETL)和BI(商業智能)工具。企業隻需安排少量的內建工作,就可以用現有的使用标準 SQL 結構和接口的工具,讓應用在 PieCloudDB 上運作,避免企業受制于供應商。
在公有雲場景,PieCloudDB 将和雲廠商的KMS(密鑰管理系統)內建,進一步增強安全等級。同時 PieCloudDB 将做到證書、密鑰等管理白屏化,大大降低使用者的誤操作的可能性。
靈活穩定不是問題,Unbreakable(堅不可破)才是關鍵。PieCloudDB将在雲原生時代繼續保障使用者的資料安全,築造資料安全的“銅牆鐵壁”,為企業數字化轉型保駕護航!
點選連結了解更多:
PieCloudDB|在雲原生時代構築資料安全防線
— Or —
2022拓數派「OpenPie」産品釋出會 PART 4|「堅不可破的」PieCloudDB