一、MyBase的誕生背景

（一）上雲的煩惱

目前資料庫主要分為三類：線下自建資料庫、雲上自建資料庫與雲資料庫。

我們透過與雲端和線下使用雲資料庫的使用者進行訪談，總結出不同型別的使用者在上雲時遇到的情況如下：

1.線下自建資料庫

優點

1）自主可控

相比雲資料庫，部分使用者認為線下自建資料庫安全性與可信度更高；

2）資源獨佔

所有的資源都是使用者自己分配的，無需與其他使用者共享；

3）資料安全

使用者使用自建資料庫，一定程度上增加資料安全性；

缺點

1）運營複雜

使用者需自行購買硬體並上架，建設資料中心，運營成本高且異常繁瑣和複雜；

2）運維壓力大

如發生機房中心斷電、裝置故障等情況，運維中心的工作人員壓力會非常大；

3）上線週期長

所有設施需從0開始搭建，上線週期十分漫長；

4）擴充套件性差

儲存的擴容與計算的擴充套件非常差；

5）成本高昂

需要成立專門的團隊，人力物力成本非常高昂。

2.雲上自建資料庫

優點

1）上線週期縮短

無需自行購買硬體與構建資料中心，可根據需求在雲上直接購買資源，可以快速部署業務；

2）擴充套件性（中）

雲上資源豐富，擴充套件難度低；

3）雲DC基礎設施穩定

雲廠商花費大量精力構建的資料中心，基礎設施相比自建更加穩定；

缺點

1）運營複雜

DBA需自行安裝部署資料庫、搭建HA、備份、監控；

2）運維壓力大

資料庫的日常運維仍需DBA自行處理；

3）共享資源

與其他使用者共享資源池；

4）無SLA保障

3.雲資料庫

優點

1）服務化

全託管、免維護、核心快速演進；

2）擴充套件性（優）

只需簡單的操作即可完成擴充套件；

3）SLA保障，高可靠

4）豐富的配套工具

缺點

1）擔心資料安全

看不見、摸不著，心裡發虛。無主機許可權，只有例項許可權。主機審計無從下手，最多隻能審計DB例項；

2）成本可能增加

雲上自建只需付 ECS等基礎資源費用，雲資料庫服務可能有10%以上的價格上漲；

3）共享資源

（二）均衡各崗位的關注點

如上圖所示，不同崗位對資料庫的關注點也不一樣。

在通常情況下，CFO只關心成本問題，CEO會在考慮資料安全、自主可控與快速GTM問題，注重產品安全、快速上線等。

DBA則更關注自主可控，如果所有業務都使用雲服務，DBA是否面臨被替代的風險。另一方面是資源獨佔，如果能夠獨佔資源，則可以保證整個系統的穩定性最優，無需與其他使用者爭奪資源。

開發運維人員則注重便捷性，能夠提供服務化、全託管的產品更受到他們的青睞。

二、MyBase的產品形態和定義

（一）MyBase的產品形態

針對以上問題，阿里云云資料庫產品經理、開發人員、架構師等經過冥思苦想，提出了新的設計理念：將IDC搬到雲上，在雲上構建自主可控的IDC。全面上雲之後，依然可以自主可控，同時還可降本增效。

1.專屬資源

使用者購買自己專屬物理機，無需與其他使用者進行資源爭奪。

2.開放OS許可權

開放整個後端OS許可權給使用者，使用者可以看見所有的系統日誌與相關目錄，也可在上面裝自己的軟體。

3.可調節的資源排程

如果使用者有多種資料庫，有些是記憶體消耗型（如Redis），有些是計算消耗型，這些各種型別的資料庫均可混布到一個物理機上。目前資源排程提供自定義的排程模式，使用者可根據自己的業務自行配置。

4.阿里雲核心

MyBase將阿里雲整個雲服務核心開放給使用者，使用者只需購買物理機即可獲得全套阿里雲資料庫核心。在自主可控的前提下，能夠享受到全託管雲服務，目前MyBase支援MySQL/SQLServer/PostgreSQL/Redis/MongoDB等多種資料庫。

（二）MyBase產品定義

1.產品定義

以主機形式購買雲資料庫服務，目前包括RDS MySQL、PostgreSQL、SQL Server和Redis服務，在賦予PaaS資料庫同樣能力之外，額外具備資源超配、混合部署、資源排程、彈性策略、更開放的許可權、自主運維等能力，以滿足大中型企業客戶對雲上資料庫自主管理的核心需求。

2.售賣方式

1）按月購買，兩臺起配；

2）主機付費，例項免費；

3）支援本地SSD盤和ESSD雲盤（另付費）；

4）支援神龍伺服器。

3.產品原理

產品原理主要包含以下五個部分：

1）自定義資源超配

使用者在虛擬化的時候，可根據實際需求超配資源，如200%的資源或300%的資源。

2）自定義混合部署

可將多個型別的資料庫混合部署到一起。

3）自助選擇資源排程

4）可整合DBaaS

5）許可權開放

（三）雲資料庫服務形態變化

原先許多雲資料庫使用者都是與其他使用者共享雲上資源池，有了MyBase這個產品形態之後，透過最純粹的物理隔離，使得使用者可以獨佔資源池，自主可控操作自己的資源，更加方便與安全。

（四）OS許可權

MyBase開放OS許可權，實現對使用者最純粹的許可權交底，打消使用者上雲的疑慮。保留原來所有的運維工作模式，可充分發揮DBA的價值，可及時解決資料庫問題，同時使用者還可部署原有自研管理系統（如監控等），更多優點如下所示：

三、MyBase的特點

（一）MyBase開放OS登陸

如上圖所示，開放OS後，使用者可以實現以下操作：

1）登陸到購買的專享主機上，擁有普通使用者的許可權；

2）掛載獨立雲盤，提供給使用者可寫(免費送100G雲盤)；

3）例項日誌等資訊提供給使用者可讀；

4）部署和執行自己的程序、工具。

（二）MyBase豐富的許可權開放

如上圖所示，目前MyBase開放了豐富的許可權，作業系統目錄許可權包含：

1）資料庫例項空間目錄(r-x)：

錯誤日誌、慢日誌、審計日誌等常用日誌檢視。

2）作業系統目錄(r-x)：

主機日誌、核心配置等常用目錄和檔案檢視。

同時，我們已經將DBA常用的OS工具內建到MyBase中，包含：

1）yum

2）make；cmake

3）pt工具命令

4）tcpdump(抓包)

5）lrzsz(上傳下載)

6）gzip(壓縮)

7）wget

8）mysql;psql(客戶端)

9）kill

10）其他DBA常用命令

目前MyBase已有相當完善的OS工具，後續我們也會根據使用者反饋與需求持續完善，方便使用者使用。

（三）MyBase系統預裝軟體

如上圖所示，目前MyBase預裝了許多使用者常用的軟體，包含登入、編譯、壓縮、解壓縮等功能軟體，為使用者打造一站式服務。

（四）MyBase聯動堡壘機，做最安全的資料庫

我們開放OS許可權後，為了防止少數使用者隨意操作，設定了堡壘機機制，使用者登入後無法直接登入到後臺。同時，我們設定了三個安全措施：操作審計、職權管控和安全認證。

1.操作審計

多面記錄運維人員的操作行為，作為追溯的保障和事故分析的依據，包含以下幾個方面：

1）運維操作記錄

操作失誤、惡意操作、越權操作詳細記錄；

2）Linux命令審計

可提取命令字元審計、命令定點回放；

3）Windows操作錄影

全程錄影遠端桌面的操作，包括鍵盤操作、滑鼠操作、視窗開啟等；

4）檔案傳輸審計

支援遠端桌面檔案傳輸、SFTP的原檔案審計。

2.職權管控

進行賬號管控和許可權組管理，分職權進行人員和資產管理，包含以下幾個方面：

1）賬號管控

運維賬號唯一性，解決共享賬號、臨時賬號、濫用許可權等問題；

2）權組管理

按照人員、伺服器、伺服器組，建立人員職責與資源分配的授權管理

3.安全認證

引入雙因子認證機制，防止運維人員身份冒用和複用。

支援多種雙因子認證機制，透過簡訊認證、RAM子賬號MFA等技術，控制賬號密碼洩露風險。

四、總結

MyBase的設計初衷在於解決使用者們在上雲中遇到的各種痛點，同時滿足了公司各個角色對資料庫的不同需求，主要從四個方面進行實現：

1.雲服務

MyBase為使用者提供阿里云云服務技術，使用者只需購買物理機即可免費使用所有例項，且支援現有RDS的功能，具備強大的擴充套件能力。

2.安全隔離

使用者可獨享主機，整合堡壘機管理保證使用者在享受OS許可權的同時，無需擔心安全問題。

3.自主可控

開放OS許可權，保留使用者在原先作業系統的運維習慣，可在MyBase部署自己的常用工具，DBA可充分發揮自身優勢，不必擔心喪失運維許可權。

4.高性價比

讓使用者降本增效，提供自定義超配功能，使用者可根據業務實際需求超配資源，有效降低成本。

#阿里雲# #資料庫#