Amazon Redshift
管理指南 (API Version 2012-12-01)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

Amazon Redshift 管理概览

Amazon Redshift 服务管理数据仓库的所有设置、操作和扩展工作。这些任务包括:预配容量,监控和备份群集,以及向 Amazon Redshift 引擎应用修补程序和升级。

群集管理

Amazon Redshift 群集是一组节点,其中包含一个头节点以及一个或多个计算节点。所需计算节点的类型和数量取决于数据的大小、将执行的查询数以及所需的查询执行性能。

创建和管理群集

根据数据仓库需要,开始时您可以使用一个小的单节点群集,然后随着您的需求变化轻松地扩展为更大的多节点群集。您可以在群集中添加或删除计算节点,而不会出现任何服务中断。有关更多信息,请参阅 Amazon Redshift 群集

保留计算节点

如果您打算让群集保持运行一年或更长时间,则可以将计算节点保留一年或三年的时间,从而节省成本。与您按需预置计算节点时支付的小时费率相比,保留计算节点可大大地节省成本。有关更多信息,请参阅 购买 Amazon Redshift 预留节点

创建群集快照

快照是群集的时间点备份。存在两种类型的快照:自动和手动。Amazon Redshift 通过使用加密的安全套接字层 (SSL) 连接,在 Amazon Simple Storage Service (Amazon S3) 内部存储这些快照。如果您需要从快照还原,Amazon Redshift 会创建一个新群集并从您指定的快照导入数据。有关快照的更多信息,请参阅 Amazon Redshift 快照

群集访问和安全

Amazon Redshift 中有几项与群集访问和安全相关的功能。这些功能可帮助您控制对群集的访问,定义连接规则,以及对数据和连接进行加密。这些功能是除 Amazon Redshift 中与数据库访问和安全相关的功能之外的功能。有关数据库安全的更多信息,请参阅 Amazon Redshift Database Developer Guide 中的管理数据库安全

AWS 账户和 IAM 凭证

默认情况下,只有创建 Amazon Redshift 群集的 AWS 账户才能访问该群集。该群集被锁定,这样其他任何人都不能访问它。在 AWS 账户内,您可以使用 AWS Identity and Access Management (IAM) 服务创建用户账户和管理这些账户的权限以控制群集操作。有关更多信息,请参阅 安全性

安全组

默认情况下,所有人都不能访问您创建的任何群集。IAM 凭证仅控制对以下与 Amazon Redshift API 相关的资源的访问:Amazon Redshift console、命令行界面 (CLI)、API 和 SDK。要能够通过 JDBC 或 ODBC 从 SQL 客户端工具访问群集,您可以使用安全组:

  • 如果您使用 EC2-Classic 平台访问 Amazon Redshift 群集,则必须使用 Amazon Redshift 安全组。

  • 如果您使用 EC2-VPC 平台访问 Amazon Redshift 群集,则必须使用 VPC 安全组。

在上述任一情况下,您可以向安全组中添加规则,以授予对特定 CIDR/IP 地址范围或 Amazon Elastic Compute Cloud (Amazon EC2) 安全组(如果 SQL 客户端运行在 Amazon EC2 实例上)的显式入站访问权限。有关更多信息,请参阅 Amazon Redshift 群集安全组

除入站访问规则之外,您还可以创建数据库用户以提供凭证向群集自身内的数据库进行身份验证。有关更多信息,请参阅本主题中的数据库

加密

当您预置群集时,可以选择对群集进行加密以提高安全性。启用加密时,Amazon Redshift 会将所有数据以加密格式存储在用户创建的表中。您可以使用 AWS Key Management Service (AWS KMS) 或硬件安全模块 (HSM) 来管理您的 Amazon Redshift 加密密钥。

加密是群集的不可变属性。从加密群集切换到非加密群集的唯一方式是:卸载数据并将其重新加载到新群集。加密会应用于群集和所有备份。从加密快照还原群集时,新群集也会加密。

有关加密、密钥和硬件安全模块的更多信息,请参阅 Amazon Redshift 数据库加密

SSL 连接

您可以使用安全套接字层 (SSL) 加密对 SQL 客户端和群集之间的连接进行加密。有关更多信息,请参阅 配置连接的安全选项

监控群集

Amazon Redshift 中有几项与监控相关的功能。您可以使用数据库审计日志记录来生成活动日志,配置事件和通知订阅来跟踪感兴趣的信息,以及使用 Amazon Redshift 和 Amazon CloudWatch 中的指标来了解群集和数据库的运行状况和性能。

数据库审计日志记录

您可以使用数据库审计日志记录功能来跟踪有关身份验证尝试次数、连接数、断开连接数、数据库用户定义更改以及数据库中运行的查询的信息。这些信息对 Amazon Redshift 中的安全和故障排除非常有用。日志存储在 Amazon S3 存储桶中。有关更多信息,请参阅 数据库审计日志记录

事件和通知

Amazon Redshift 跟踪事件并在您的 AWS 账户中将事件的相关信息保留几周。对于每个事件,Amazon Redshift 会报告事件发生日期、说明、事件源(例如,群集、参数组或快照)和源 ID 等信息。您可以创建 Amazon Redshift 事件通知订阅以指定一组事件筛选器。当发生与筛选条件匹配的事件时,Amazon Redshift 将使用 Amazon Simple Notification Service 主动通知您发生了该事件。有关事件和通知的更多信息,请参阅 Amazon Redshift 事件

性能

Amazon Redshift 提供性能指标和数据,以便您可以跟踪群集和数据库的运行状况及性能。Amazon Redshift 使用 Amazon CloudWatch 指标监控群集的物理方面,例如 CPU 利用率、延迟及吞吐量。Amazon Redshift 还提供查询和加载性能数据以帮助您监控群集中的数据库活动。有关性能指标和监控的更多信息,请参阅监控 Amazon Redshift 群集性能

数据库

Amazon Redshift,当您配置群集时,创建数据库。这是您用于加载数据并对数据运行查询的数据库。您可以根据需要通过运行 SQL 命令来创建其他数据库。有关创建其他数据库的更多信息,请转到 Amazon Redshift Database Developer Guide 中的步骤 1:创建数据库

当您预置群集时,可以指定一个主用户,此主用户可以访问在该群集内创建的所有数据库。此主用户是最初唯一可以访问数据库的超级用户,此用户也可以创建其他超级用户和用户。有关更多信息,请转到 Amazon Redshift Database Developer Guide 中的超级用户用户

Amazon Redshift 使用参数组定义群集中所有数据库的行为,例如,日期表示样式和浮点精度。如果您在预置群集时未指定参数组,则 Amazon Redshift 会将一个默认参数组与群集相关联。有关更多信息,请参阅 Amazon Redshift 参数组

有关 Amazon Redshift 中的数据库的更多信息,请转至 Amazon Redshift Database Developer Guide