如何以极少的停机时间对未加密的 Amazon RDS MySQL 或 MariaDB 数据库实例进行加密？

上次更新时间：2020 年 8 月 19 日

我尝试为未加密的 Amazon Relational Database Service (Amazon RDS) MySQL 或 MariaDB 实例创建加密只读副本。但是我收到了以下错误：

“您无法从未加密的数据库实例创建加密只读副本。(服务：AmazonRDS；状态代码：400；错误代码：InvalidParameterCombination；请求 ID：”

如何以极少的停机时间对未加密的数据库实例进行加密？

简短描述

Amazon RDS 对加密的数据库实例有以下限制：

无法通过修改现有未加密的 Amazon RDS 数据库实例来加密该实例。

无法在未加密实例的基础上创建加密的只读副本。

执行以下操作：

1.    对您拍摄的该实例的未加密只读副本的未加密快照进行加密。

2.    从加密快照还原新的 RDS 数据库实例，以此部署新的加密数据库实例。

3.    使用 MySQL 复制功能将更改从源数据库实例同步到新的加密数据库实例。

4.    验证新的加密数据库实例与源数据库实例是否同步。

5.    切换连接，并将您的流量重定向到新数据库实例。

此过程可实现最短的停机时间。

解决方法

1.    为未加密的源 Amazon RDS 数据库实例创建临时只读副本。在此示例中，未加密的源数据库实例称为 SOURCE-UE，临时只读副本称为 TEMP-RR。

2.    连接到 TEMP-RR，然后监控副本滞后情况，直到 Seconds_Behind_Master 稳定在 0 值。这表明 TEMP-RR 与 SOURCE-EU 同步：

mysql> SHOW SLAVE STATUS \G

Seconds_Behind_Master: 0

MySQL > call mysql.rds_stop_replication;

+---------------------------+

| Message |

+---------------------------+

| Slave is down or disabled |

+---------------------------+

4.    记下来自 TEMP-RR 的 Relay_Master_Log_File 和 Exec_Master_Log_Pos 的值：

mysql> SHOW SLAVE STATUS \G

Relay_Master_Log_File: mysql-bin-changelog.000012

Exec_Master_Log_Pos: 123

5.    在

SOURCE-EU 中，设置

binlog retention hours 参数，以便在完成操作所需的时间内保留二进制日志。在以下示例中，

binlog retention hours 设置为 24 小时：

mysql> call mysql.rds_set_configuration('binlog retention hours', 24);

6.    为 TEMP-RR 拍摄快照。您也可以选择在拍摄快照后删除 TEMP-RR。

7.    复制 TEMP-RR 的快照，然后将启用加密设置为是。

8.    从已启用加密的已复制快照还原新的数据库实例。在此示例中，新的加密数据库实例称为 NEW-RR-EN。

9.    修改 SOURCE-EU 的安全组中的入站规则，以允许来自 NEW-RR-EN 的流量。如果两个数据库实例使用的安全组相同，则您可以使用与 SOURCE-EU 相同的安全组 ID 参考。从 Amazon RDS 控制台中选择数据库。选择数据库实例，然后选择连接与安全选项卡。选择安全组，然后选择入站选项卡。选择编辑，输入您的安全组 ID，然后选择保存。

注意：请确保允许从 NEW-RR-EN 到SOURCE-EU 的出站流量。

10.    登录 SOURCE-EU，设置复制用户，然后向该用户授予必要的权限：

mysql> create user repl_user@'%' identified by ‘password123’;

mysql> grant replication slave, replication client on *.* to repl_user@'%';

mysql> show grants for repl_user@'%';

注意：将 repl_user 和 password123 分别替换成您自己的复制用户名和密码。

11.    连接 NEW-RR-EN，然后建立到 SOURCE-EU 的复制连接：

mysql> CALL mysql.rds_set_external_master ( 'rds-endpoint' , 3306 , 'repl_user' , 'password123’ , 'mysql-bin.000012' , 123 , 0 );

注意：rds-endpoint 是 SOURCE-EU 的终端节点。如果未加密的源数据库实例 (SOURCE-UE) 可公开访问(数据库实例的可公开访问属性设置为是)，则需要提供一个私有 IP 地址而不是 rds-endpoint。

用户名 (repl_user) 和密码 (password123) 与您在第 10 步中创建的用户名和密码相同。使用在第 4 步获得的 Relay_Master_Log_File 和 Exec_Master_Log_Pos 的值，来使用 mysql.rds_set_external_master procedure 设置复制。

12.    在 NEW-RR-EN 中，开始复制：

mysql > CALL mysql.rds_start_replication;

13.    在 NEW-RR-EN 中，确认 SOURCE-EU和 NEW-RR-EN 之间的复制保持同步。

mysql> SHOW SLAVE STATUS \G

Seconds Behind master: 0

14.    当 Seconds_Behind_Master 稳定在 0 值后，停止流量并关闭 SOURCE-EU 上的连接。停机随后开始。

注意：必须停止连接到 SOURCE-EU 的所有应用程序服务器和客户端，以确保未对 SOURCE-EU 作出任何新的更改。您还可以临时锁定 SOURCE-EU 使用的安全组。这可以阻止来自任何任何应用程序或客户端(NEW-RR-EN 以及用户执行这些操作时所使用的主机除外)的入站流量。

15.    以数据库主用户身份连接到 NEW-RR-EN并停止复制：

MySQL > call mysql.rds_stop_replication;

重要提示：运行此命令后，NEW-RR-EN 将不会从 SOURCE-EU 复制数据。

16.    停止 SOURCE-EU 和 NEW-RR-EN 之间的复制关系，以将 NEW-RR-EN 提升为独立服务器：

MySQL > call mysql.rds_reset_external_master;

17.    在所有连接字符串中指定 NEW-RR-EN 的 DNS 终端节点，以将所有应用程序、客户端和数据库连接指向 NEW-RR-EN。或者，您可以重命名 SOURCE-EU，然后修改 NEW-RR-EN，以使用与 SOURCE-EU 所用相同的名称。

18.    确认 NEW-RR-EN 上的安全组规则允许来自相应应用程序和客户端的入站流量。

19.    将应用程序和客户端均指向 NEW-RR-EN 并测试了环境后，便可以删除 SOURCE-EU。

提示：最佳实践是先在还原后的实例上测试此项操作，然后再在生产环境中应用此项操作。