法律声明

阿里云提醒您在阅读或使用本文档之前请仔细阅读、充分理解本法律声明各条款的内容。如果您阅读或使用本文档,您的阅读或使用行为将被视为对本声明全部内容的认可。
  • 1.您应当通过阿里云网站或阿里云提供的其他授权通道下载、获取本文档,且仅能用于自身的合法、合规的业务活动。本文档的内容视为阿里云的保密信息,您应当严格遵守保密义务。未经阿里云事先书面同意,您不得向任何第三方披露本手册内容或提供给任何第三方使用。
  • 2.未经阿里云事先书面许可,任何单位、公司或个人不得擅自摘抄、翻译、复制本文档内容的部分或全部内容,不得以任何方式或途径进行传播和宣传。
  • 3.由于产品版本升级、调整或其他原因,本文档内容有可能变更。阿里云保留在没有任何通知或者提示下对本文档的内容进行修改的权利,并保留在阿里云授权通道中不定时发布更新后的用户文档的权利。您应当实时关注用户文档的版本变更并通过阿里云授权渠道下载、获取最新版的用户文档。
  • 4.本文档仅作为用户使用阿里云产品及服务的参考性指引,阿里云以产品及服务的现状、有缺陷和当前功能的状态提供本文档。阿里云在现有技术的基础上尽最大努力提供相应的介绍及操作指引,但阿里云在此明确声明对本文档内容的准确性、完整性、适用性、可靠性等不作任何明示或暗示的保证。任何单位、公司或个人因为下载、使用或信赖本文档而发生任何差错或经济损失的,阿里云不承担任何法律责任。在任何情况下,阿里云均不对任何间接性、后果性、惩戒性、偶然性、特殊性或刑罚性的损害,包括用户使用或信赖本文档而遭受的利润损失,承担责任(即使阿里云已被告知该等损失的可能性)。
  • 5.阿里云网站上所有内容,包括但不限于著作、产品、图片、档案、资讯、资料、网站架构、网站画面的安排、网页设计,均由阿里云和/或其关联公司依法拥有其知识产权,包括但不限于商标权、专利权、著作权、商业秘密等。非经阿里云和/或其关联公司书面同意,任何人不得擅自使用、修改、复制、公开传播、改变、散布、发行或公开发表阿里云网站、产品程序或内容。此外,未经阿里云事先书面同意,任何人不得为了任何营销、广告、促销或其他目的使用、公布或复制阿里云的名称(包括但不限于单独为或以组合形式包含阿里云、Aliyun、万网等阿里云和/或其关联公司品牌,上述品牌的附属标志及图案或任何类似公司名称、商号、商标、产品或服务名称、域名、图案标示、标志、标识或通过特定描述使第三方能够识别阿里云和/或其关联公司。
  • 6.如若发现本文档存在任何错误,请与阿里云取得直接联系。

安全隔离

云数据库ClickHouse中所有计算是在受限的沙箱(多层次的应用沙箱)中运行的,从KVM级到Kernel级。系统沙箱配合鉴权管理机制,用来保证数据的安全,以避免出现内部人员恶意或粗心造成服务器故障。

网络隔离

云数据库ClickHouse只支持VPC网络,集群中所有的节点都运行在同一VPC网络内部,默认只提供VPC内网访问;用户可以手动开通外网访问链接;只有配置在访问IP白名单中的客户端才能访问云数据库ClickHouse。

鉴权认证

身份认证:云数据库ClickHouse管理员创建数据库账户和密码,通过数据库账号密码登录验证识别身份。

权限控制:云数据库ClickHouse提供集群级别的访问权限控制。

数据安全

云数据库ClickHouse集群数据存储在阿里云ESSD云盘、SSD云盘或高效云盘中,数据采用3备份方式存储,保证数据可靠性和一致性。

日志审计

云数据库ClickHouse提供用户行为日志审计功能,包括运行记录、安全信息等内容。

最佳实践

1.VPC网络

为了保障安全,建议使用VPC网络访问集群。购买一台ECS服务器作为客户端,连接ClickHouse数据库,作为写入和查询的客户端服务器。

2.访问客户端白名单

无论通过VPC网络还是外网网络访问ClickHouse数据库,都需要在控制台配置客户端IP白名单,否则会被拒绝访问。如果配置了白名单,依然连接不上,注意检查客户端IP是否正确。

为了降低数据泄露风险,建议白名单开放范围越小越好,只对特定生产网段开放,不允许设置为0.0.0.0/0。

3.访问日志导出

支持通过命令行工具,将访问日志导出,命令如下: SELECT * FROM system.query_log INTO OUTFILE access.log