由于 PieCloudDB 实现了存算分离,用户数据被存储到对象存储服务器中。对象存储价格低廉,相比本地自建存储系统具有巨大的价格优势。
对象存储采用分布式多副本、多机房存储机制,即存储系统会自动确保多个数据副本分布在不同服务器的不同物理磁盘上,且确保多个数据副本之间的数据强一致性,将由于人为或自然原因导致的数据丢失概率降低到最低,保证单个硬件设备的故障不会影响业务。
PieCloudDB 元数据被分布式KV存储管理,具有完备的高可用方案。在PieCloudDB中,每份元数据都将以多副本的形式分散到多个服务节点,并将在不久的未来实现多数据中心,以确保避免因为用户数据的丢失而造成的损失。此外,容灾方面会通过定期备份和实时热备来做到万无一失。
未来,PieCloudDB 还将实现时间回溯(Time Travel)功能。通过时间回溯,用户只需在设置时指定保留天数,就能够从任何时间点恢复数据。正是由于这些特性,PieCloudDB 将丢失数据的概率降到零,真正做到了“Unbreakable”。
PieCloudDB 的安全技术贯穿数据库的各个方面,通过透明加密、可视化角色与权限管理、SQL标准和标准数据库接口的兼容等多种安全技术全方位保证数据安全,将数据泄露风险降至最低。
由于加密和解密的过程需要时间来完成,会对数据库的性能造成损失,因此由于历史原因,很多传统数据库的数据都以明文的形式存储,但数据明文存储会存在数据泄露风险。云数据库的数据部署在云上,需要更完备的数据加密功能来保证数据的安全。PieCloudDB 提供企业级透明数据加密,在不影响数据库性能的同时,让数据在存储时完成加密。PieCloudDB 通过实时加密(on-the-fly)、高强度算法、多级密钥、传输加密等技术保证企业的数据安全。
PieCloudDB 支持数据实时加密,即对数据文件执行实时I/O加密和解密,实现原生用户数据(包括表数据、辅助数据、磁盘缓存文件)的自动加解密,无需修改查询语句且性能损失小。
数据实时加密让数据在通过优化器、执行器的处理后,自动加密并存储到 PieCloudDB 存储层。需要进行读取时,将自动对(加密)数据进行解密,并推入数据缓冲区进行优化。整个过程做到内核原生、对用户和数据库透明无感知,无需业务改造。此外,PieCloudDB 通过原生支持现代CPU加密指令,在最小化性能损失的同时,保证了加密过程中的高安全性。
PieCloudDB 支持基于云端硬件加密特性,将加密对性能的影响降至最低。同时,PieCloudDB 计划接入云厂商/用户自带的 KMS(密钥管理系统),进一步提升数据库存储数据的安全性,满足用户对安全审计的不同要求。
PieCloudDB 采用现代主流的高级加密标准 AES-256 。高級加密标准 AES-256是加密信息的方法之一,众多银行、证券等行业机构都在使用这种近乎严苛的高级加密标准。
PieCloudDB 做到了分组密码,分组密码将数据分为多个块,AES-256 使用256位块大小,提供了更高性能的加密过程,大大加强了加密的安全性。PieCloudDB 将在后续的研发中支持国密算法,进一步提升数据安全的保障。
PieCloudDB使用三层密钥结构,第一级密钥为主密钥,用来加解密第二级密钥,第二级密钥为各个数据表的表密钥,用来加解密第三层密钥,第三级密钥为各个数据文件的密钥,用来加解密对应的数据文件。PieCloudDB 内每个租户数据完全隔离,拥有独立的密钥体系。三层密钥有效防范了数据泄露,确保了用户的数据安全。
点击此处阅读原文
↓↓↓
本文分享自微信公众号 - 开源软件联盟PostgreSQL分会(kaiyuanlianmeng)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
