如何以极少的停机时间对适用于 MySQL 或 MariaDB 的未加密 Amazon RDS 数据库实例进行加密?

上次更新日期:2021 年 9 月 8 日

我尝试为适用于 MySQL 或 MariaDB 的未加密 Amazon Relational Database Service(Amazon RDS)实例创建加密只读副本。但是,我收到了一条错误消息。如何解决此问题?

简短描述

Amazon RDS 对加密的数据库实例有以下限制

  • 无法通过修改现有未加密的 Amazon RDS 数据库实例来加密该实例。
  • 无法在未加密实例的基础上创建加密的只读副本。

由于您无法加密现有 Amazon RDS 实例,因此必须创建新的加密实例。否则,当您为未加密的 Amazon RDS for MySQL 实例创建加密只读副本时,您会收到以下错误信息:

"You cannot create an encrypted Read Replica from an unencrypted DB
            instance. (Service: AmazonRDS; Status Code: 400; Error Code:
            InvalidParameterCombination; Request ID:)"

要以最短的停机时间加密非加密版的数据库实例,请遵循以下步骤:

1.    对您拍摄的该数据库实例的未加密只读副本的未加密快照进行加密。

2.    从加密快照还原新的数据库实例,以此部署新的加密数据库实例。

3.    使用 MySQL 复制功能将更改从源数据库实例同步到新的加密数据库实例。

4.    验证新的加密数据库实例与源数据库实例是否同步。

5.    切换连接,并将您的流量重定向到新数据库实例。

解决方法

以最短的停机时间设置复制

1.    为未加密的源 Amazon RDS 数据库实例创建临时只读副本。在此示例中,未加密的源数据库实例称为 SOURCE-EU,临时只读副本称为 TEMP-RR

2.    连接到 TEMP-RR,然后监控副本滞后情况,直到 Seconds_Behind_Master 稳定在 0 值。这表明 TEMP-RRSOURCE-EU 同步:

mysql> SHOW SLAVE STATUS \G
Seconds_Behind_Master: 0

3.    停止 TEMP-RR 的复制进程。

MySQL > call mysql.rds_stop_replication;
+---------------------------+
| Message                   |
+---------------------------+
| Slave is down or disabled |
+---------------------------+

4.    记下来自 TEMP-RRRelay_Master_Log_FileExec_Master_Log_Pos 的值:

mysql> SHOW SLAVE STATUS \G
Relay_Master_Log_File: mysql-bin-changelog.000012
Exec_Master_Log_Pos: 123

5.    在 SOURCE-EU 中,设置 binlog retention hours 参数,以便在完成操作所需的时间内保留二进制日志。在以下示例中,binlog retention hours 设置为 24 小时:

mysql> call mysql.rds_set_configuration('binlog retention hours', 24);

6.    为 TEMP-RR 拍摄快照。或者在拍摄快照后删除 TEMP-RR

7.    复制 TEMP-RR 的快照,然后将启用加密设置为

8.    从已启用加密的已复制快照还原新的数据库实例。在此示例中,新的加密数据库实例称为 NEW-RR-EN

9.    修改 SOURCE-EU 的安全组中的入站规则,以允许来自 NEW-RR-EN 的流量。如果两个数据库实例使用的安全组相同,您可以使用与 SOURCE-EU 相同的安全组 ID 参考。

注意:请确保允许从 NEW-RR-ENSOURCE-EU 的出站流量。

10.    登录 SOURCE-EU,设置复制用户,然后向该用户授予必要的权限:

mysql> create user 'repl_user'@'%' identified by 'password123';
mysql> grant replication slave, replication client on *.* to 'repl_user'@'%';
mysql> show grants for 'repl_user'@'%';

注意:repl_userpassword123 分别替换成您自己的复制用户名和密码。

11.    连接 NEW-RR-EN,然后建立到 SOURCE-EU 的复制连接:

mysql> CALL mysql.rds_set_external_master ( 'rds-endpoint' , 3306 , 'repl_user' , 'password123' , 'mysql-bin.000012' , 123 , 0 );

rds-endpointSOURCE-EU数据库实例端点

用户名(repl_user)和密码(password123)与您在步骤 10 中创建的用户名和密码相同。使用在步骤 4 获得的 Relay_Master_Log_FileExec_Master_Log_Pos 的值,来使用 mysql.rds_set_external_master procedure 设置复制。

注意:如果 SOURCE-EU可公开访问NEW-RR-EN(新加密数据库实例)设置为“私有”,请使用(SOURCE-EU)的私有 IP 地址而不是 rds-endpoint

12.    在 NEW-RR-EN 中,开始复制:

mysql > CALL mysql.rds_start_replication;

13.    在 NEW-RR-EN 中,确认 SOURCE-EUNEW-RR-EN 之间的复制成功保持同步。

mysql> SHOW SLAVE STATUS \G

如果源数据库实例和只读副本之间的连接成功,则输出如下所示:

Slave_IO_State: Waiting for master to send event
Seconds Behind master: 0

14.    当 Seconds_Behind_Master 稳定在 0 值后,停止流量并关闭 SOURCE-EU 上的连接。停机随后开始。

注意:停止连接到 SOURCE-EU 的所有应用程序服务器和客户端,以验证未对 SOURCE-EU 进行任何新的更改。您还可以临时锁定 SOURCE-EU 使用的安全组。这可以阻止来自任何任何应用程序或客户端(NEW-RR-EN 以及用户执行这些操作时所使用的主机除外)的入站流量。

15.    以数据库主用户身份连接到 NEW-RR-EN,然后停止复制:

MySQL > call mysql.rds_stop_replication;

重要提示:运行此命令后,NEW-RR-EN 将不再从 SOURCE-EU 复制数据。

16.    停止 SOURCE-EUNEW-RR-EN 之间的复制关系,以将 NEW-RR-EN 提升为独立服务器:

MySQL > call mysql.rds_reset_external_master;

17.    在所有连接字符串中指定 NEW-RR-EN 的 DNS 终端节点,以将所有应用程序、客户端和数据库连接指向 NEW-RR-EN。或者,重命名 SOURCE-EU,然后修改 NEW-RR-EN,以使用与 SOURCE-EU 所用相同的名称。

18.    确认 NEW-RR-EN 上的安全组规则允许来自相应应用程序和客户端的入站流量。

19.    将应用程序和客户端均指向 NEW-RR-EN 并测试了环境后,便可以删除 SOURCE-EU

提示:最佳实践是在测试实例上测试此项操作,然后再在生产环境中应用此项操作。