Cara Melakukan Operasi O&M pada Database Menggunakan Bastionhost - Bastionhost

Aset database sangat penting bagi perusahaan. Operasi dan pemeliharaan (O&M) pada aset database harus dikendalikan untuk memastikan keamanan. Edisi Enterprise dan Edisi SM dari Bastionhost mendukung operasi O&M dan audit pada instans ApsaraDB RDS for MySQL, ApsaraDB RDS for SQL Server, dan ApsaraDB RDS for PostgreSQL, kluster PolarDB for MySQL, PolarDB for PostgreSQL, serta PolarDB for PostgreSQL (Kompatibel dengan Oracle), serta database MySQL yang dikelola sendiri, SQL Server, PostgreSQL, dan Oracle. Topik ini menggunakan contoh spesifik untuk menjelaskan cara melakukan operasi O&M pada database menggunakan Bastionhost.

Informasi latar belakang

Aset perusahaan mencakup banyak aset database selain server Windows dan server Linux. Aset database berisi sejumlah besar data sensitif. Persyaratan utama perusahaan adalah untuk memastikan keamanan O&M dan mencegah akses tidak sah serta operasi yang tidak diizinkan.

Aset database perusahaan dibagi menjadi beberapa jenis, seperti instans ApsaraDB RDS dan database yang dikelola sendiri yang menjalankan MySQL, SQL Server, PostgreSQL, dan Oracle. Aset database perusahaan besar juga tersebar di beberapa akun, virtual private cloud (VPC), pusat data, atau cloud heterogen. Bastionhost mengontrol operasi O&M pada aset dalam skenario hibrida tersebut dan memungkinkan tim keamanan O&M mengelola operasi secara terpusat.

Bastionhost Edisi Enterprise atau SM mendukung operasi O&M pada server Windows, server Linux, dan aset database. Administrator Bastionhost dapat mengontrol izin O&M pada berbagai jenis database. Operasi O&M dapat dilacak dan diaudit. Dengan cara ini, keamanan O&M database dipastikan. Selain itu, platform ini menyediakan kemampuan operasional untuk lingkungan hibrida. Dengan memanfaatkan fitur manajemen domain jaringannya, ia memungkinkan aset dari multi-akun, pusat data lokal, dan lingkungan cloud heterogen untuk diintegrasikan ke dalam platform terpadu. Ini memfasilitasi pengelolaan dan kontrol satu atap untuk tim keamanan.

Bastionhost Edisi Enterprise dan SM dibangun di atas arsitektur dual-engine yang andal. Kedua engine aktif, yang memastikan kelangsungan bisnis dan memenuhi persyaratan tinggi untuk O&M database. Untuk informasi lebih lanjut, lihat Perbandingan Fitur Antar Edisi Bastionhost.

Proses

Saat menggunakan Bastionhost untuk O&M database, administrator pertama kali mengelola aset dan menetapkan izin kepada personel O&M melalui Bastionhost. Personel O&M kemudian membentuk saluran data SSH ke Bastionhost menggunakan klien atau portal O&M, dan masuk ke aset database di bawah kendali Bastionhost untuk melakukan pemeliharaan.

Metode dan langkah-langkah O&M

O&M berbasis klien

Prasyarat

Database dan pengguna dibuat di Bastionhost, dan pengguna diberi otorisasi untuk mengakses aset dan akun aset. Untuk informasi lebih lanjut, lihat Buat Database, Kelola Pengguna, dan Otorisasi Aset dan Akun Aset.
Topik ini menggunakan MySQL dan Pengguna Lokal sebagai contoh.
Alat O&M database yang mendukung saluran data SSH diinstal pada sistem lokal. Untuk informasi lebih lanjut tentang alat klien yang direkomendasikan dan versinya, lihat Alat Koneksi Klien dan Versi yang Direkomendasikan.
Topik ini menjelaskan proses O&M menggunakan Sistem Windows + Alat Navicat Premium dan Sistem Linux + Baris Perintah.

Langkah 1: Dapatkan alamat O&M Bastionhost dan token O&M database

Masuk ke Portal O&M. Untuk informasi lebih lanjut, lihat Masuk ke Portal O&M.
Di panel navigasi di sebelah kiri, klik Databases.
Di halaman Databases, temukan database target. Di kolom Remote Connection, pilih View O&M Token dari daftar drop-down Login Method dan klik Log On.
Di kotak dialog O&M Token, klik Apply For O&M Token (Anda perlu mengajukan token O&M untuk login pertama).

Catatan

Saat Anda mendapatkan token O&M dari Portal O&M, jika akun database saat ini tidak di-hosting di Bastionhost, Anda harus terlebih dahulu mengonfigurasi informasi dasar akun database di kotak dialog O&M Token. Untuk informasi lebih lanjut tentang cara membuat akun database, lihat Manajemen Database.
Token O&M harus digunakan dalam periode validitasnya. Administrator dapat menetapkan periode validitas di Konsol Bastionhost. Jika persetujuan O&M diaktifkan, periode validitas yang ditetapkan oleh administrator selama proses persetujuan akan digunakan.
Jika administrator mengizinkan pengguna O&M untuk memperpanjang token mereka sendiri, pengguna dapat memperpanjang token sebelum kedaluwarsa. Setelah token kedaluwarsa, pengguna harus meminta yang baru. Jika persetujuan O&M diaktifkan, pengguna tidak dapat memperpanjang token. Setelah pengaturan token diubah, Anda harus meminta token baru atau memperbarui yang ada agar pengaturan baru berlaku.
Jika token valid tetapi koneksi O&M gagal, jumlah koneksi O&M bersamaan mungkin telah mencapai batas atas. Dalam kasus ini, hubungi administrator untuk meningkatkan tipe instans Bastionhost Anda atau lepaskan koneksi idle. Alasan lain yang mungkin adalah bahwa administrator telah memblokir permintaan O&M dari alamat IP sumber Anda atau selama periode waktu saat ini. Dalam kasus ini, hubungi administrator untuk menghapus pembatasan.
Log Audit mencatat pengguna yang meminta token, bukan nama pengguna atau akun aset yang dimasukkan di klien.

Langkah 2: Bentuk saluran data SSH menggunakan alat klien atau baris perintah

Berikut ini menjelaskan cara melakukan operasi O&M pada aset database melalui Bastionhost menggunakan Navicat Premium dan alat baris perintah terminal.

Navicat Premium

Buka Navicat Premium dan buat koneksi MySQL.

Di tab SSH, pilih SSH Tunnel dan konfigurasikan informasi yang diperlukan untuk masuk ke Bastionhost (item konfigurasi saluran data SSH klien yang diperoleh di Langkah 1).

Parameter Utama	Deskripsi
Host	Alamat O&M bastion host, yaitu alamat O&M publik atau privat di bagian Client SSH Tunnel Configuration di Langkah 1.
Port	Masukkan port O&M bastion host untuk saluran data SSH. Nilai default: 60022.
User Name	Nama pengguna yang Anda gunakan untuk masuk ke bastion host Anda.
Password	Token O&M database, yang digunakan untuk mengisi token O&M di Langkah 1 Client SSH Tunnel Configuration.

Di tab General, konfigurasikan informasi database.

Parameter Utama	Deskripsi
Host	Titik akhir database.
User Name	Nama pengguna akun database.
Password	Jika administrator meng-hosting nama pengguna dan kata sandi akun database di bastion host, Anda dapat membiarkan parameter ini kosong. Jika administrator tidak meng-hosting nama pengguna dan kata sandi akun database di bastion host, Anda harus memasukkan kata sandi akun database. Catatan Kami merekomendasikan Anda untuk save the password. Jika Anda tidak menyimpan kata sandi, alat O&M database mungkin meminta Anda untuk memasukkan kata sandi. Dalam hal ini, Anda dapat memasukkan token O&M.

Di Navicat Premium, klik dua kali koneksi database yang dibuat. Setelah koneksi dibentuk, Anda dapat melakukan operasi O&M.

Baris perintah terminal

Buka CLI dan jalankan perintah berikut:

Sintaks Perintah:

ssh -N -L <localport>:<databaseAddress>:<databasePort> <bastionusername>@<bastionAddress> -p <bastionPort>

Deskripsi Parameter:

Parameter	Deskripsi
localport	Port pendengaran lokal kustom yang digunakan setelah saluran data SSH dibuat. Pastikan port pendengaran lokal tidak terpakai.
databaseAddress	Alamat database tempat Anda ingin melakukan operasi O&M.
databasePort	Port database tempat Anda ingin melakukan operasi O&M.
bastionusername	Nama pengguna bastion host Anda.
bastionAddress	Alamat O&M publik bastion host Anda.
bastionPort	Port O&M bastion host Anda untuk SSH. Nilai default: 60022.

Contoh: ssh -N -L 33061:rm-******m020h.mysql.rds.aliyuncs.com:3306 bastuser@******-public.bastionhost.aliyuncs.com -p 60022

Pada langkah otentikasi kata sandi, masukkan token O&M database dan tekan Enter untuk menunggu.
Buka baris perintah lain dan periksa apakah port lokal kustom berada dalam status mendengarkan. LISTEN menunjukkan bahwa port berada dalam status mendengarkan.
Jalankan perintah berikut. Setelah Anda terhubung ke database, Anda dapat melakukan operasi O&M.
- Sintaks
```
mysql -h 127.0.0.1 -u <accountname> -P <localport>
```
- Deskripsi Parameter
  - accountname adalah nama pengguna akun database yang ingin Anda gunakan untuk operasi O&M.
  - localport adalah port pendengaran lokal kustom yang Anda tentukan saat terhubung ke Bastionhost.

O&M berbasis web

Bastionhost memungkinkan Anda melakukan operasi O&M pada database melalui Portal O&M atau Konsol Web. Bagian berikut menggunakan Portal O&M sebagai contoh untuk menjelaskan proses O&M data.

Prasyarat

Database dan pengguna dibuat di Bastionhost, dan pengguna diberi otorisasi untuk mengakses aset dan akun aset. Untuk informasi lebih lanjut, lihat Buat Database, Kelola Pengguna, dan Otorisasi Aset dan Akun Aset.

Topik ini menggunakan MySQL dan Pengguna Lokal sebagai contoh.

Prosedur

Masuk ke Portal O&M Bastionhost. Untuk informasi lebih lanjut, lihat Masuk ke Portal O&M.
Di panel navigasi di sebelah kiri, klik Databases.
Temukan database target. Di kolom Remote Connection, pilih Web Remote Connection sebagai metode masuk dan klik Log On.

O&M via Single sign-on (SSO)

Insinyur O&M dapat menggunakan peluncur single sign-on di halaman web untuk secara otomatis memanggil klien lokal untuk membentuk sesi. Ini menghilangkan kebutuhan untuk mengonfigurasi klien secara terpisah. Bagian berikut menggunakan Portal O&M Bastionhost sebagai contoh untuk menjelaskan cara menggunakan SSO untuk melakukan operasi O&M pada database MySQL.

Prasyarat

Database dan pengguna dibuat di Bastionhost, dan pengguna diberi otorisasi untuk mengakses aset dan akun aset. Untuk informasi lebih lanjut, lihat Buat Database, Kelola Pengguna, dan Otorisasi Aset dan Akun Aset.
Topik ini menggunakan MySQL dan Pengguna Lokal sebagai contoh.
Klien yang didukung oleh peluncur single sign-on diinstal pada sistem lokal. Untuk informasi lebih lanjut tentang klien yang didukung, lihat Klien yang Didukung oleh Peluncur Single Sign-On.
Topik ini menggunakan Sistem Windows dan Dbeaver 23 sebagai contoh.

Langkah 1: Dapatkan alamat portal O&M

Masuk ke Konsol Bastionhost. Di bilah navigasi atas, pilih wilayah tempat instans Bastionhost Anda berada.
Dalam daftar instans Bastionhost, temukan instans target dan klik Manage.
Di panel navigasi di sebelah kiri, klik Overview untuk mendapatkan alamat Portal O&M.

Langkah 2: Instal peluncur single sign-on di sistem lokal

Di bilah alamat browser Anda, masukkan alamat Portal O&M.
Di halaman masuk Alibaba Cloud Bastionhost, masukkan nama pengguna dan kata sandi Bastionhost Anda dan klik Log On.
Di halaman Portal O&M, klik Download Single Sign-on Launcher.
Dalam contoh ini, peluncur single sign-on untuk Windows diunduh.
Setelah unduhan selesai, instal launcher Single Sign-On (SSO) (Anda tidak perlu membukanya setelah instalasi).

Langkah 3: Konfigurasikan terminal O&M

Di panel navigasi kiri Portal O&M, klik Device Settings.
Di tab MySQL, pilih klien Dbeaver dan klik Save.
Di kotak dialog usmsso.exe yang muncul, klik Open dan ikuti petunjuk di halaman untuk mengonfigurasi klien untuk O&M database.

Langkah 4: Lakukan operasi O&M pada database

Di panel navigasi kiri Portal O&M, klik Databases.
Temukan database target. Di kolom Remote Connection, klik daftar drop-down, atur metode masuk ke Local Client Logon, dan klik Log On.

Audit O&M Database

Setelah insinyur O&M menggunakan Bastionhost untuk melakukan operasi O&M pada aset database, rekaman sesi dan log operasi akan dihasilkan. Auditor dapat melihat rekaman sesi dan log operasi untuk melacak operasi O&M. Auditor juga dapat memantau sesi secara real-time untuk memeriksa apakah operasi tidak sah dilakukan.

Masuk ke Konsol Bastionhost. Di bilah navigasi atas, pilih wilayah tempat instans Bastionhost Anda berada.
Dalam daftar instans Bastionhost, temukan instans target dan klik Manage.
Di panel navigasi di sebelah kiri, pilih O&M Audit > Session Audit.
Di halaman Session Audit, lihat rekaman sesi.