華為云 GaussDB(for Redis)持續(xù)完善企業(yè)級(jí)增強(qiáng)特性，是名副其實(shí)的"Redis Plus"，其中很經(jīng)典的企業(yè)級(jí)特性是多租戶(hù)能力，支持添加只讀賬號(hào)、讀寫(xiě)賬號(hào)，且具備強(qiáng)大的 DB 級(jí)鑒權(quán)能力，即可約束每個(gè)賬號(hào)可訪(fǎng)問(wèn)的數(shù)據(jù)庫(kù)（DB）范圍，避免誤操作其他租戶(hù)數(shù)據(jù)。該特性可以幫助企業(yè)在共享 Redis 實(shí)例的情況下，保護(hù)不同租戶(hù)的數(shù)據(jù)安全，為企業(yè)的開(kāi)發(fā)和管理提供便利。

哪些用戶(hù)需要使用多租戶(hù)功能？

多租戶(hù)是數(shù)據(jù)庫(kù)用戶(hù)剛需的一個(gè)功能。例如，企業(yè)中有兩個(gè)業(yè)務(wù)部門(mén) A 和 B，他們都需要使用 Redis 來(lái)存儲(chǔ)自己的數(shù)據(jù)，如果不使用多租戶(hù)權(quán)限功能，那么 A 和 B 的數(shù)據(jù)就會(huì)混在一起，這樣就會(huì)存在數(shù)據(jù)泄露和誤操作的風(fēng)險(xiǎn)。一旦使用了多租戶(hù)管理功能，就可以將 A 和 B 的數(shù)據(jù)分別存儲(chǔ)在不同的 Redis 實(shí)例/DB 中，并且對(duì)這些實(shí)例/DB 進(jìn)行權(quán)限控制，從而保障數(shù)據(jù)的安全性和可靠性。

在數(shù)據(jù)庫(kù)領(lǐng)域，多租戶(hù)技術(shù)往往有以下一些標(biāo)準(zhǔn)屬性：比如讀寫(xiě)權(quán)限控制、跨 DB 鑒權(quán)隔離等等；而 GaussDB(for Redis)就是具備完善的多租戶(hù)管理技術(shù)的一個(gè)典范，實(shí)現(xiàn)了讀寫(xiě)權(quán)限控制和數(shù)據(jù)庫(kù)（DB）隔離這兩大特性的完美融合。

為什么選擇 GaussDB(for Redis)

租戶(hù)管理功能？

關(guān)于權(quán)限控制，開(kāi)源 Redis 雖然在 6.0 新版本有 ACL，但只能設(shè)置為只讀、讀寫(xiě)，每個(gè)賬號(hào)還是可以看到所有的 DB 的。這個(gè)設(shè)計(jì)比較雞肋，跟數(shù)據(jù)庫(kù)多租戶(hù)的原理背道而馳。舉個(gè)例子，業(yè)務(wù)開(kāi)發(fā)小王應(yīng)該用 DB1，但有天忘記 SELECT，不小心清庫(kù)了小張的 DB0，導(dǎo)致生產(chǎn)事故。而 GaussDB(for Redis)的權(quán)限隔離就從根源上解決了這個(gè)問(wèn)題，如小王被設(shè)置為只有 DB1 的權(quán)限而沒(méi)有 DB0 的權(quán)限，那么即使他誤操作也不會(huì)對(duì) DB0 的數(shù)據(jù)產(chǎn)生影響。

此外，開(kāi)源 Redis 的多租戶(hù)功能只有單機(jī)才可以使用，一旦業(yè)務(wù)上量需要集群，多 DB 功能反而就不可用了，只剩一個(gè) DB0；GaussDB(for Redis)基于自身天然的集群架構(gòu)做了多 DB 增強(qiáng)，支持 6w+DB，同時(shí)可創(chuàng)建 200+個(gè) ACL 子賬號(hào)，滿(mǎn)足多種業(yè)務(wù)場(chǎng)景的需要。

開(kāi)源 Redis 6.0 和 GaussDB(for Redis)所具備的權(quán)限管理能力比較

功能很全面，具體怎么使用？

GaussDB(for Redis)的租戶(hù)管理功能需要用戶(hù)在控制臺(tái)的賬號(hào)管理頁(yè)面建立賬號(hào)，并為每個(gè)賬號(hào)設(shè)置 DB 的只讀/讀寫(xiě)權(quán)限，操作非常直觀(guān)方便。例如，下圖創(chuàng)建了賬號(hào) test123，具備讀寫(xiě)權(quán)限，且只能訪(fǎng)問(wèn) DB1、DB2。

賬號(hào)建立好之后，用戶(hù)可以直接在程序中使用“user:pwd”組合字串作為密碼參數(shù)，并配置目標(biāo) DB 號(hào)，即可使用業(yè)務(wù)專(zhuān)屬 DB。

下面以一個(gè)形象的例子來(lái)說(shuō)明如何通過(guò)多租戶(hù)管理功能來(lái)實(shí)現(xiàn)賬戶(hù)間的權(quán)限隔離。蜀國(guó)技術(shù)總監(jiān)諸葛孔明需要為蜀國(guó)的用戶(hù)和合作伙伴吳國(guó)的用戶(hù)設(shè)計(jì)不同的 DB 權(quán)限，從而達(dá)到公有信息共享和機(jī)密信息保護(hù)這兩個(gè)目的。

首先，他為劉備設(shè)置了所有 DB 的讀寫(xiě)權(quán)限；為大將關(guān)羽和張飛設(shè)置了“桃園結(jié)義”DB0 和“華容道”DB1 和的讀寫(xiě)權(quán)限，然后為秘書(shū)趙云設(shè)置了“長(zhǎng)坂坡”DB2 的讀寫(xiě)權(quán)限和其余 DB（除“桃園結(jié)義”DB0）的只讀權(quán)限。至于吳國(guó)的合作伙伴，周瑜和黃蓋被授予了“赤壁之戰(zhàn)”DB3 的讀寫(xiě)權(quán)限，而他們的主公孫權(quán)則被設(shè)置了“赤壁之戰(zhàn)”DB3 的只讀權(quán)限。

聽(tīng)上去是不是很復(fù)雜很難操作？其實(shí) GaussDB(for Redis)的賬號(hào)管理頁(yè)面設(shè)計(jì)得很靈活直觀(guān)，孔明可以通過(guò)點(diǎn)擊“授權(quán)所有數(shù)據(jù)庫(kù)”為劉備授權(quán)，又可以選擇一個(gè)或者多個(gè) DB 為關(guān)羽張飛授權(quán)，還能選擇“未授權(quán)數(shù)據(jù)庫(kù)”為趙云免除“桃園結(jié)義”DB 的只讀權(quán)限，非常方便設(shè)置和后期管理。

本文詳細(xì)介紹了 GaussDB(for Redis)全面的多租戶(hù)管理特性，并以幾個(gè)生動(dòng)的例子為例，闡明了開(kāi)源 Redis 賬號(hào)管理能力的不足，以及 GaussDB(for Redis)是如何解決這些不足的。在當(dāng)前的大數(shù)據(jù)時(shí)代，GaussDB(for Redis)的企業(yè)級(jí)特性完美彌補(bǔ)了開(kāi)源 Redis 的短板，為企業(yè)的數(shù)據(jù)安全保駕護(hù)航。

審核編輯 黃宇