所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.1 用户指南 (Region Type II) 10

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置受保护的数据库

配置受保护的数据库

背景信息

该任务指导用户创建和编辑受保护的数据库。

创建受保护的数据库之后,用户就可以通过在HexaTier控制台进行相关配置,启用敏感数据发现、数据库防火墙、数据库活动监控和动态数据脱敏等功能。

创建受保护的数据库之后,用户需要更改应用连接的数据库IP地址和端口为HexaTier代理的IP地址和端口。

前提条件

  • 确保数据库服务器上的SQL服务正在运行。
  • 确保数据库服务器正常联网。

操作步骤

  1. 在HexaTier主菜单上,单击“资源”
  2. 在导航树上,选择受保护数据库,如图29-39所示。

    图29-39 选择受保护数据库

  3. 执行下列操作之一:

    • 创建新的受保护数据库
      在命令栏上,单击“新建”,选择以下数据库类型:
      • MS-SQL
      • MySQL
      • PostgreSQL
      • librA/DWS
      说明:
      • 对于使用MS-SQL的受保护数据库的Kerberos支持,用户必须首先配置活动目录。
      • 使用MS-SQL的受保护数据库仅在实例级别区分大小写。
    • 编辑已有受保护数据库

      找到要编辑的受保护数据库,然后单击该行末尾的(编辑)。

  4. 根据需要设置参数,如图29-40所示,相关参数说明如表29-15所示。

    图29-40 设置数据库参数
    表29-15 数据库参数

    参数名称

    说明

    数据库服务器地址

    数据库实例的主机名或IP地址。

    端口/实例名称

    “数据库类型”选择“MS-SQL”时显示该参数。

    用户数据库的连接端口或实例名称,用于连接到数据库,例如,用户创建的RDS SQL Server的端口为“8433”

    端口

    “数据库类型”选择“MySQL”“PostgreSQL”或“librA/DWS”时显示该参数。

    端口为数据库的连接端口,例如,MySQL默认为“3306”端口,或者用户创建RDS MySQL数据库时,系统分配的端口(“8635”),用户可以根据情况自己配置。

    名称

    连接的数据库实例的别名,HexaTier会自动生成名称,用户可以自定义该名称。

    默认数据库

    HexaTier将自动连接到数据库实例中的默认数据库,用户也可以更改默认数据库。

    • MS-SQL默认数据库为“master”
    • MySQL默认数据库为“mysql”
    • PostgreSQL默认数据库为“postgres”
    • librA/DWS默认数据库为“postgres”

    鉴权方式

    通过登录帐户连接数据库,选择:

    • SQL鉴权:通过SQL帐户连接。
    • Windows鉴权:通过Windows鉴权连接。
    说明:

    需要配置域集成之后,才会显示“Windows鉴权”选项,否则默认为“SQL鉴权”。配置域集成,请参见配置域集成模式

    用户名

    用于登录到数据库的用户名。

    密码

    用于登录到数据库的密码。

  5. (可选)设置代理,并配置其SSL安全。

    说明:
    • 创建受保护数据库时,HexaTier会自动创建默认代理,用户也可以对其进行修改。
    • 代理可以被设置为旁路模式(不检查进出数据库的流量):

      - 手动设置旁路模式:更改代理的状态为“旁路”模式,参见表29-16

      - 系统自动切换旁路模式:当HexaTier服务因为故障而不可用时,会自动切换为旁路模式。当故障修复后,需重启HexaTier服务,代理状态才会更改为“激活”

    1. 单击“高级代理配置”,设置参数,如图29-41所示,相关参数说明如表29-16所示。
      图29-41 设置参数
    表29-16 高级代理配置参数

    参数名称

    说明

    代理标签

    代理的逻辑名称。用户可以自定义该名称。

    监听地址

    指定代理监听的IP地址。

    用户可以使用0.0.0.0来监听所有IP。

    端口

    端口为HexaTier的连接端口,建议与数据库端口相同,若相同端口已占用,用户可以配置除0~1023、5000和其他已占用端口之外的任一可用端口。

    状态

    选择下列选项之一:

    • 激活:激活代理。
    • 禁用:禁用代理。
    • 旁路:流量将不经过检查直接转发给数据库(不安全)。

    鉴权代理

    “鉴权代理”仅在配置了域集成时显示并可用。

    此功能使HexaTier能够使用活动目录鉴别客户端的凭证,并使用不同的凭证连接到数据库,包括下列选项:

    • 同上:使用上述配置的Windows鉴权相同的用户名和密码。
    • SQL鉴权:允许用户指定自己的用户名和密码。
    说明:
    • 配置域集成,请参见配置域集成模式
    • 鉴权代理功能可用于所有支持的数据库。
    • 提供的用户名和密码将决定派生代理权限。

    SSL证书

    在列表中,选择证书。

    说明:
    • 用户可以导入其他证书,更多信息,请参见管理入方向证书
    • 如果客户端中尚未提供所需的SSL证书,请单击,向客户端导入证书。

    阻止未加密的连接

    建议用户选中该复选框,要求所有通信都加密,并阻止未加密的连接。

    若不选择,则该代理的所有通信均不加密,通信存在安全隐患。

    说明:
    • 如果要添加多个代理,请单击“添加代理”
    • 用户可以修改入方向的最低SSL安全设置。有关更多信息,请参见设置入方向SSL安全加密

  6. (可选)单击“测试”,测试连接。

    说明:

    使用测试连接是可选的,因为保存时会自动测试用户的连接和安全设置。

  7. 单击“保存”

    保存功能会测试SSL设置,如果设置有效,则会验证用户凭证,并显示测试结果,结果说明如表29-17所示。
    表29-17 测试结果

    测试结果

    说明

    应对选项1

    应对选项2

    应对选项3

    成功

    成功连接到受保护的数据库。

    -

    -

    -

    受保护数据库服务器不支持SSL

    根据提供的参数无法建立SSL连接。

    单击“仍然继续”使用未加密的通信。

    单击“取消”,对数据库SSL设置进行故障处理,然后重试。

    -

    证书验证失败

    无法验证服务器身份,其安全证书不受HexaTier信任。

    上传新CA证书,然后重试。上传出方向证书的更多信息,请参见管理出方向证书

    单击“仍然继续”将实例添加到例外表,通信将被加密。

    -

    服务器不符合最低加密级别要求

    服务器不符合管理员设置的最低加密级别要求。

    单击“取消”,升级数据库上的SSL版本,然后重试。

    单击“仍然继续”将实例服务器添加到例外表。通信将被加密,但安全设置较低。

    单击“取消”,降低出方向的SSL安全设置,然后重试。有关出方向安全设置的更多信息,请参见管理出方向证书

    说明:

    修改出方向SSL安全设置可能会影响修改后创建的受保护数据库。

翻译
下载文档
更新时间:2019-08-15

文档编号:EDOC1100043091

浏览量:44519

下载量:307

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页