概览
Amazon Elastic Compute Cloud (Amazon EC2) 是一项 Web 服务,可以在云中为数据库提供安全且大小可调的计算容量。在 Amazon EC2 上托管数据库使您可以对数据库及其环境进行高度自定义和控制。它保持了手动数据库管理的长期传统,包括管理复制、故障转移、监控、通知和备份等。Amazon Relational Database Service (Amazon RDS) 等 AWS 托管数据库解决方案可以为所有这些任务提供全自动化解决方案。
借助 Amazon RDS,您只需单击几下即可配置同步复制。如果出现故障,Amazon RDS 会在 60 至 120 秒内自动将故障转移到辅助服务器。使用 DNS 终端节点可防止任何复杂的路由、IP 重新分配或 DNS 传播延迟。了解自动故障转移对应用程序的影响对于成功实施这项服务来说至关重要。在本实验中,您将复制故障转移事件并了解应用程序的响应方式。
使用数据库服务时,管理用户访问是另一个关键考虑因素。定期更改密码对于确保数据库的持续安全至关重要。但是,在每个需要根级密码的位置更新根级密码的复杂性通常都很高。您可以使用 AWS Secrets Manager 安全地管理和存储这些称为密钥的密码。
Secrets Manager 让您能够配置数据库服务及许多其他 AWS 服务,以便在运行时获取密钥,确保能够提供正确且最新的密钥。这使您能够为所有系统设置高复杂性密码。本实验将向您介绍如何配置 Secrets Manager 以及如何添加 AWS Lambda 函数,以便按设定的频率自动轮换数据库用户的密码。
Amazon RDS:Amazon RDS 让用户能够在云中轻松设置、操作和扩展关系数据库。该服务在自动执行耗时管理任务(如硬件预置、数据库设置、修补和备份)的同时,提供经济高效的可调容量。
AWS Secrets Manager:Secrets Manager 可帮助您保护访问应用程序、服务和 IT 资源所需的密钥。该服务使您能够轻松地在整个生命周期内轮换、管理和检索数据库凭证、API 密钥和其他密钥。用户和应用程序通过调用 Secrets Manager API 来检索密钥,而无需以纯文本方式对敏感信息进行硬编码。Secrets Manager 通过与 Amazon RDS 的内置集成来实现密钥轮换。
目标
在完成本实验后,您将能够:
- 设置和配置具有多可用区故障转移和加密功能的 Amazon RDS 实例
- 通过 Secrets Manager 创建和存储密钥
- 通过 Secrets Manager 启用自动轮换密钥的功能
- 通过 SSL 设置传输中加密
- 测试多可用区故障转移和数据同步
先决条件
要完成本实验,您需要:
- 配有运行 Microsoft Windows、macOS X 或 Linux(Ubuntu、SuSE 或 Red Hat)且可以连接 Wi-Fi 的笔记本电脑。
- 注意:您可以使用 iPad 或平板电脑在实验控制台中查看这些说明。
- 互联网浏览器,例如 Chrome、Firefox 或 IE9+。
- 注意:不支持早期版本的 Internet Explorer。
- 一个 SSH 客户端,例如 PuTTY。
技术性知识先决条件
要想成功完成本实验,您应该熟悉:
- AWS 管理控制台的基本导航操作。
- 了解数据库概念、MySQL 和数据库可用性。
- 了解在与其他服务和应用程序集成时,密钥充当的功能角色。
时长
完成本实验需要 60 分钟。
实验环境
已预置 Amazon EC2 实例,以供在本实验中使用。此实例将充当公有子网中的 CommandHost。EC2 实例被配置为通过端口 3306 与位于私有子网中的数据库实例进行通信。该实例已添加到 Secrets Manager 角色中,并且该角色已配置为自动轮换密钥。Amazon RDS 实例的初始化可能需要一段时间。因此,我们已经创建了预配置的 Amazon RDS 实例,该实例将镜像您将在实验中配置的实例。这样一来,您无需等待即可继续进行实验。