全部产品
云市场

实例管理

更新时间:2018-11-19 14:44:51

需求背景

  • 业务使用到的各个环境的数据库需要汇总在产品内统一管理时,需要把目标实例注入到企业版内

注意事项

  • 1.针对RDS-VPC实例,仅支持VPC地址即内网地址注册使用(公网地址无法使用)
  • 2.针对DRDS实例,网络类型选择VPC网络,并填写对应VPC网络的链接地址
    • 若您的DRDS实例为VPC的网络,并且控制台未有经典网络的链接地址时,可以申请DRDS支持生成一个经典网络的链接地址
  • 3.注册实例时给予的账号权限,按照实际的管理诉求进行开放。权限不足则会导致相对应的操作无法支持,具体授权语法可参考各数据库类型对于的官网文档
    • 若需要通过企业版进行实例上所有库的管理,则授权范围需要是整个实例的所有库
    • 若只希望管理实例上的某个或某几个库,则授权范围可限定具体的库
    • 若需要通过企业版进行实例上的查询操作,账号需要开足够的查询权限
    • 若需要通过企业版进行实例上数据的增删改查,账号需要开足够的DML权限
    • 若需要通过企业版进行实例上表结构的修改,账号需要开足够的DML权限
    • 若需要通过企业版进行实例上视图、存储过程、触发器、函数等对象操作,账号需要开足够的对象操作权限
  • 4.注册实例建议独立新建账号,不与当前已被使用的任何账号共用(便于后续定位分析来源)
  • 5.本操作仅限在企业版内为DBA、管理员角色的人员可操作
  • 6.注意录入信息前后不要有空格等,避免干扰

方法1:手工录入

操作步骤

  • 1:点击页面的【添加】按钮,完善表单
输入项 输入方式 输入值 备注说明
实例类型 下拉 MySQL、Mongo、DRDS、SQLServer、PostgreSQL、ORACLE、OceanBase1.0 、Redis
实例来源 下拉 RDS、ECS自建库、公网自建库、VPC专线IDC
网络类型 下拉 经典网络、VPC
环境类型 下拉 生产、测试 生产环境在后续使用为红色小块提醒,测试环境在后续使用为绿色小块提醒
主机 手工输入 对应的ip或者dns连接串地址 若为VPC网络则只能是内网地址/VPC地址
端口 手工输入 对应数据库服务的端口
SID/数据库 手工输入 ORACLE为实例上具体SID,PostgreSQL为实例上具体数据库 其他数据库类型无此项显示
数据库用户名 手工输入 按需自定义授权访问数据库的账号
密码 手工输入 对应数据库用户名的账号的登录密码
实例名称 手工输入 便于用户区分的一个标识
实例DBA 下拉选择 在产品内配置为DBA、管理员的用户可被选中一个,默认为当前录入者本人 作为安全规则的一些默认流程节点,会负责实例上数据库一些操作的审批;若人员的账号后续出现禁用或者删除,则需要先确保DBA配置都已转至他人名下
安全规则 下拉选择 默认有高等级、低等级、中等级 可前往系统管理-安全规则进行确认或者维护、新增,制定符合这个实例所在业务线的操作审批流程
查询超时 手工输入 默认为60s,超过则会自动中断 可以按需调大或者调小,属实例级别的参数
导出超时 手工输入 默认为600s,超过则会自动中断 可以按需调大或者调小,属实例级别的参数
  • 实例录入

  • 2:内容填写完整后,点击【链接测试】

    • 链接成功,则可【保存】
    • 链接失败,则需要按需调整输入信息直至成功方可【保存】
  • 3:实例的DBA、安全规则、超时时间等相关信息发生变更时,可选中对应实例点击页面上的【编辑】按钮,或者直接双击该实例记录行

    • 编辑页面与录入页面信息显示一致,可按需调整后保存
  • 4:实例出于特殊原因需要临时禁用,可以点击该实例记录行上的【禁用】

    • 禁用后,用户不可再通过平台检索到对应实例上库、表信息进行使用,直至【启用】
    • 此操作仅限产品内的效果,不影响实际的数据库实例的其他途径使用
  • 5:实例处于禁用状态,需要恢复让员工继续使用时可点击该实例记录行上的【启用】

    • 启用后,员工在禁用之前开通的相关权限仍然有效可直接继续使用
  • 6:出于某些原因,实例不再使用或已释放,则可以点击该实例记录上的【删除】按钮

    • 删除后,企业版内的用户权限记录等所有级联配置将一起失效删除
    • 此操作仅限产品内的效果,不影响实际的数据库实例的其他途径使用

方法2:同步rds

操作步骤

  • 1:若当前登录账号为主账号,且主账号下有存在RDS实例资源,则可点击页面的【同步rds实例】操作

    • 操作仅同步本账号名下的rds实例列表
    • 子账号名下无rds实例挂载,点击无效(不会有数据显示)
  • 2:同步后显示的信息为

列名 内容 备注
实例 rds实例串 若为VPC网络则为内网地址,即VPC地址
网络类型 VPC、CLASSIC
区域 RDS所在区域
描述信息 RDS控制台上对实例的名称备注
实例类型 MySQL、SQLServer、PostgreSQL等
最后修改时间 同步信息的时间
当前状态 未使用、已同步 已同步代表已在企业版内录入了,未使用代表暂未录入
  • 3:对未使用的实例,需要录入进行管理时,可点击页面上的【未使用】或直接双击目标实例行

  • 4:同步实例到DMS的页面,重点是录入数据库用户名、密码信息;相比于手工录入其他信息会便捷的自动带入

输入项 内容 备注
实例类型 自动带入 按照接口返回的类型填充
环境类型 自动带入 默认生产,可调
主机 自动带入 按照接口返回的地址填充
端口 自动带入 按照接口返回的地址填充
SID/数据库 手工输入 在PostgreSQL、ORACLE两个数据库类型时按需录入,其他类型无此项
数据库用户名 手工输入 按需定义录入
密码 手工输入 按需定义录入
实例别名 自动带入 按照接口返回的别名填充
实例DBA 自动带入 默认为录入者本人,可按需调整
安全规则 自动带入 默认为低等级,可按需调整
查询超时 自动带入 默认60s,可按需调整
导出超时 自动带入 默认600s,可按需调整
  • 5:完善信息后点击页面的【链接测试】,测试通过即可【同步到DMS】

  • 6:编辑、禁用、启用、删除,这几个操作与手工录入一致可参考上文

RAM授权子账号

新建策略

  • 主账号登录RAM控制台,新建授权策略ram

  • 所需最细授权策略参考

    1. {
    2. "Version": "1",
    3. "Statement": [
    4. {
    5. "Action": "rds:DescribeDBInstances",
    6. "Resource": "*",
    7. "Effect": "Allow"
    8. }
    9. ]
    10. }
  • 详细操作参考RAM手册:DescribeDBInstances

系统策略

  • 控制台获得RDS的实例列表,用系统策略 AliyunRDSReadOnlyAccess (可以在RAM的控制台—》策略管理—》系统授权策略)

常见问题

  • Q1:怎么实例上有3个业务库,只同步了2个还有1个没有同步出来?

    • A1:在账号范围授权时,若只授权了2个库,则另外1个库将无法被同步;如需一起管理,则需要针对这个库再追加账号范围的授权
    • A2:在账号范围授权为实例时,若数据库刚被创建,企业版目前无法做到实时感知;如需立即管理,则可以在系统管理-实例管理找到目标实例点击[同步],触发实例上字典元数据信息的采集,此动作的时间长短取决于数据库实例上需要同步的库表数量;串行参考速率:20-25个表/s,实例下若有多个数据库则会按照库会并发
  • Q2:实例账号有读写权限后,是不是使用者可以直接写操作会导致不安全?

    • A1:不会,企业内员工在企业版内使用时,各项操作都需要经过对应的操作流程审批,并且所有操作在系统管理-操作日志中可供企业版内的管理员角色人员,随时审计
  • Q3:对于PostgreSQL、ORACLE这两个数据库类型,在企业版内录入时一个实例是”ip/dns:port:数据库” 或 “ip/dns:port:SID” ,与本身的实例怎么不一致呢?

    • A1:为了细粒度的流程灵活控制,在企业版内录入的实例是 “ip/dns:port:数据库” 或 “ip/dns:port:SID” 。可以每个实例灵活的指定负责的DBA、需要走的安全规则(审批流程)
    • A2:与此同时,实例数 作为企业版的计价因子之一。在实际计算时,对两个数据库类型的处理是按照 “ip/dns:port” 进行的。即与真实的实例定义一致,不会导致细化管理后增加成本支持。实现的是既有细化管理的支持能力,但成本不变
  • Q4:这个实例经常有一些分析场景,查询时间会比较久,这个可以放大超时时间吗?

    • A1:可以按需评估,结合实例的业务诉求,若放大超时时间不会影响到正常业务,可以由系统内的DBA、管理员角色进行该实例的超时时间修改
  • Q5:是否可以录入别人名下的资源?

    • A1:出于安全原因需要限制使用本人或者本企业员工的资源,在这种情况下有资源的这个同学的账号在企业版的用户管理列表中时(可以只是普通用户角色),管理员或者DBA可以录入该账号下的资源进行后续的管理;若未将owner加入则会有如下提示owner提示