高斯数据库设计
GaussDB权限
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
GaussDB部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问GaussDB时,需要先切换至授权区域。
根据授权精细程度分为角色和策略。
角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对GaussDB服务,管理员能够控制IAM用户仅能对某一类数据库资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分 。
如表1所示,包括了GaussDB的所有系统权限。
|
策略名称
|
描述
|
类别
|
|---|---|---|
GaussDB FullAccess |
云数据库GaussDB服务的所有执行权限。 |
系统策略 |
GaussDB ReadOnlyAccess |
云数据库GaussDB服务的只读访问权限。 |
系统策略 |
表2列出了GaussDB常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。
表2 常用操作与系统权限的关系
|
操作
|
GaussDB FullAccess
|
GaussDB ReadOnlyAccess
|
|---|---|---|
创建GaussDB实例 |
√ |
x |
删除GaussDB实例 |
√ |
x |
查询GaussDB实例列表 |
√ |
√ |
数据保护技术
GaussDB通过多种数据保护手段和特性,保障存储在GaussDB中的数据安全可靠。
表3 多种数据保护手段
|
数据保护手段
|
简要说明
|
详细介绍
|
|---|---|---|
传输加密(HTTPS) |
支持HTTP和HTTPS两种传输协议,为保证数据传输的安全性,推荐您使用更加安全的HTTPS协议。 |
构造请求 |
数据备份 |
支持设置数据库的备份和恢复,来保障数据的可靠性。 |
数据备份 |
敏感操作保护 |
控制台支持敏感操作保护,开启后执行删实例等敏感操作时,系统会进行身份验证,进一步保证GaussDB配置和数据的安全性。 |
|
SSL数据加密 |
可以使用SSL来加密数据库GaussDB和客户端的连接。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。 |
SSL连接数据库 |
GaussDb数据库设计
总体调优思路
GaussDB的总体性能调优思路为性能瓶颈点分析、关键参数调整以及SQL调优。在调优过程中,通过系统资源、吞吐量、负载等因素来帮助定位和分析性能问题,使系统性能达到可接受的范围。
GaussDB性能调优过程需要综合考虑多方面因素,因此,调优人员应对系统软件架构、软硬件配置、数据库配置参数、并发控制、查询处理和数据库应用有广泛而深刻的理解。
须知:
性能调优过程有时候需要重启集群,可能会中断当前业务。因此,业务上线后,当性能调优操作需要重启集群时,操作窗口时间需向管理部门提出申请,经批准后方可执行。
查询最耗性能的SQL
系统中有些SQL语句运行了很长时间还没有结束,这些语句会消耗很多的系统性能,请根据本章内容查询长时间运行的SQL语句。
分析作业是否被阻塞
数据库系统运行时,在某些业务场景下查询语句会被阻塞,导致语句运行时间过长,可以强制结束有问题的会话。
参数调优建议
数据库参数是数据库系统运行的关键配置信息,设置不合适的参数值可能会影响业务。本文列举了一些重要参数说明,更多参数详细说明,请参考导出参数,将参数导出后查看。
通过控制台界面修改参数值。
