法律聲明
阿里雲提醒您在閱讀或使用本文檔之前請仔細閱讀、充分理解本法律聲明各條款的內容。如果您閱讀或使用本文檔,您的閱讀或使用行為將被視為對本聲明全部內容的認可。
- 1.您應當通過阿里雲網站或阿里雲提供的其他授權通道下載、擷取本文檔,且僅能用於自身的合法、合規的商務活動。本文檔的內容視為阿里雲的保密資訊,您應當嚴格遵守保密義務。未經阿里雲事先書面同意,您不得向任何第三方披露本手冊內容或提供給任何第三方使用。
- 2.未經阿里雲事先書面許可,任何單位、公司或個人不得擅自摘抄、翻譯、複製本文檔內容的部分或全部內容,不得以任何方式或途徑進行傳播和宣傳。
- 3.由於產品版本升級、調整或其他原因,本文檔內容有可能變更。阿里雲保留在沒有任何通知或者提示下對本文檔的內容進行修改的權利,並保留在阿里雲授權通道中不定時發布更新後的使用者文檔的權利。您應當即時關注使用者文檔的版本變更並通過阿里雲授權渠道下載、擷取最新版的使用者文檔。
- 4.本文檔僅作為使用者使用阿里雲產品及服務的參考性指引,阿里雲以產品及服務的現狀、有缺陷和當前功能的狀態提供本文檔。阿里雲在現有技術的基礎上盡最大努力提供相應的介紹及操作指引,但阿里雲在此明確聲明對本文檔內容的準確性、完整性、適用性、可靠性等不作任何明示或暗示的保證。任何單位、公司或個人因為下載、使用或信賴本文檔而發生任何差錯或經濟損失的,阿里雲不承擔任何法律責任。在任何情況下,阿里雲均不對任何間接性、後果性、懲戒性、偶然性、特殊性或刑罰性的損害,包括使用者使用或信賴本文檔而遭受的利潤損失,承擔責任(即使阿里雲已被告知該等損失的可能性)。
- 5.阿里雲網站上所有內容,包括但不限於著作、產品、圖片、檔案、資訊、資料、網站架構、網站畫面的安排、網頁設計,均由阿里雲和/或其關係企業依法擁有其智慧財產權,包括但不限於商標權、專利權、著作權、商業秘密等。非經阿里雲和/或其關係企業書面同意,任何人不得擅自使用、修改、複製、公開傳播、改變、散布、發行或公開發表阿里雲網站、產品程式或內容。此外,未經阿里雲事先書面同意,任何人不得為了任何營銷、廣告、促銷或其他目的使用、公布或複製阿里雲的名稱(包括但不限於單獨為或以組合形式包含阿里雲、Aliyun、萬網等阿里雲和/或其關係企業品牌,上述品牌的附屬標誌及圖案或任何類似公司名稱、商號、商標、產品或服務名稱、網域名稱、圖案標示、標誌、標識或通過特定描述使第三方能夠識別阿里雲和/或其關係企業。
- 6.如若發現本文檔存在任何錯誤,請與阿里雲取得直接聯絡。
安全隔離
雲資料庫ClickHouse中所有計算是在受限的沙箱(多層次的應用沙箱)中啟動並執行,從KVM級到Kernel級。系統沙箱配合鑒權管理機制,用來保證資料的安全,以避免出現內部人員惡意或粗心造成伺服器故障。
網路隔離
雲資料庫ClickHouse只支援VPC網路,叢集中所有的節點都運行在同一VPC網路內部,預設只提供VPC內網訪問;使用者可以手動開通外網訪問連結;只有配置在訪問IP白名單中的用戶端才能訪問雲資料庫ClickHouse。
鑒權認證
身份認證:雲資料庫ClickHouse管理員建立資料庫賬戶和密碼,通過資料庫帳號密碼登入驗證識別身份。
許可權控制:雲資料庫ClickHouse提供叢集層級的存取權限控制。
資料安全
雲資料庫ClickHouse叢集資料存放區在阿里雲ESSD雲端硬碟、SSD雲端硬碟或高效雲端硬碟中,資料採用3備份方式儲存,保證資料可靠性和一致性。
日誌審計
雲資料庫ClickHouse提供使用者行為日誌審計功能,包括運行記錄、安全資訊等內容。
最佳實務
為了保障安全,建議使用VPC網路訪問叢集。購買一台ECS伺服器作為用戶端,串連ClickHouse資料庫,作為寫入和查詢的用戶端伺服器。
無論通過VPC網路還是外網網路訪問ClickHouse資料庫,都需要在控制台配置用戶端IP白名單,否則會被拒絕訪問。如果配置了白名單,依然串連不上,注意檢查用戶端IP是否正確。
為了降低資料泄露風險,建議白名單開放範圍越小越好,只對特定生產網段開放,不允許設定為0.0.0.0/0。
支援通過命令列工具,將訪問日誌匯出,命令如下: SELECT * FROM system.query_log INTO OUTFILE 'access.log'