Automatisieren Sie die Replikation von RDS Amazon-Instances auf AWS-Konten

PDF

Erstellt von Parag Nagwekar () und Arun Chandapillai () AWS AWS

Übersicht

Dieses Muster zeigt Ihnen, wie Sie den Prozess der Replikation, der Nachverfolgung und des Rollbacks Ihrer Amazon Relational Database Service (AmazonRDS) -DB-Instances auf verschiedenen Ebenen mithilfe AWS-Konten AWS Step Functions von und automatisieren können. AWS Lambda Sie können diese Automatisierung verwenden, um eine groß angelegte Replikation von RDS DB-Instances ohne Leistungseinbußen oder betrieblichen Mehraufwand durchzuführen — unabhängig von der Größe Ihres Unternehmens. Sie können dieses Muster auch verwenden, um Ihr Unternehmen bei der Einhaltung verbindlicher Datenverwaltungsstrategien oder Compliance-Anforderungen zu unterstützen, die eine Replikation und Redundanz Ihrer Daten über verschiedene Länder hinweg erfordern. AWS-Konten AWS-Regionen Die kontenübergreifende Replikation von RDS Amazon-Daten in großem Umfang ist ein ineffizienter und fehleranfälliger manueller Prozess, der kostspielig und zeitaufwändig sein kann. Die Automatisierung in diesem Muster kann Ihnen jedoch dabei helfen, die kontenübergreifende Replikation sicher, effektiv und effizient durchzuführen.

Voraussetzungen und Einschränkungen

Voraussetzungen

• Zwei AWS-Konten

• Eine RDS DB-Instance, die in der Quelle läuft AWS-Konto

• Eine Subnetzgruppe für die RDS DB-Instance im Ziel AWS-Konto

• Ein AWS Key Management Service (AWS KMS) -Schlüssel, der in der Quelle erstellt AWS-Konto und für das Zielkonto freigegeben wurde (Weitere Informationen zu Richtliniendetails finden Sie im Abschnitt Zusätzliche Informationen dieses Musters.)

• Ein AWS KMS key im Ziel AWS-Konto , um die Datenbank im Zielkonto zu verschlüsseln

Einschränkungen

• Einige AWS-Services sind nicht in allen AWS-Regionen verfügbar. Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie AWS-Services unter Nach Regionen. Informationen zu bestimmten Endpunkten finden Sie auf der Seite Dienstendpunkte und Kontingente. Wählen Sie dort den Link für den Dienst aus.

Produktversionen

• Python 3.9 (verwenden AWS Lambda)

• Postgre SQL 11.3, 13.x und 14.x

Architektur

Technologie-Stack

• Amazon Relational Database Service (AmazonRDS)

• Amazon Simple Notification Service (AmazonSNS)

• AWS Key Management Service (AWS KMS)

• AWS Lambda

• AWS Secrets Manager

• AWS Step Functions

Zielarchitektur

Das folgende Diagramm zeigt eine Architektur für die Verwendung von Step Functions zur Orchestrierung der geplanten On-Demand-Replikation von RDS DB-Instances von einem Quellkonto (Konto A) zu einem Zielkonto (Konto B).

Im Quellkonto (Konto A im Diagramm) führt die Step Functions-Zustandsmaschine Folgendes aus:

1. Erstellt einen Snapshot von der RDS DB-Instance in Konto A.

2. Kopiert und verschlüsselt den Snapshot mit einem AWS KMS key Absenderkonto A. Um die Verschlüsselung während der Übertragung sicherzustellen, wird der Snapshot verschlüsselt, unabhängig davon, ob die DB-Instance verschlüsselt ist oder nicht.

3. Teilt den DB-Snapshot mit Konto B, indem Konto B Zugriff auf den Snapshot gewährt wird.

4. Sendet eine Benachrichtigung an das SNS Thema, und dann ruft das SNS Thema die Lambda-Funktion in Konto B auf.

Im Zielkonto (Konto B im Diagramm) führt die Lambda-Funktion die Step Functions Functions-Zustandsmaschine aus, um Folgendes zu orchestrieren:

1. Kopiert den gemeinsam genutzten Snapshot von Konto A auf Konto B, wobei zuerst das AWS KMS key Absenderkonto A verwendet wird, um die Daten zu entschlüsseln und dann die Daten mit dem Konto B zu verschlüsseln. AWS KMS key

2. Liest das Geheimnis aus Secrets Manager, um den Namen der aktuellen DB-Instance zu erfassen.

3. Stellt die DB-Instance aus dem Snapshot mit einem neuen Namen und Standard AWS KMS key für Amazon wieder herRDS.

4. Liest den Endpunkt der neuen Datenbank und aktualisiert das Geheimnis in Secrets Manager mit dem neuen Datenbank-Endpunkt und kennzeichnet dann die vorherige DB-Instance, sodass sie später gelöscht werden kann.

5. Behält die letzten N Instanzen der Datenbanken bei und löscht alle anderen Instanzen.

Tools

AWS-Services

• Amazon Relational Database Service (AmazonRDS) unterstützt Sie bei der Einrichtung, dem Betrieb und der Skalierung einer relationalen Datenbank in der. AWS Cloud

• Amazon Simple Notification Service (AmazonSNS) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen.

• AWS CloudFormationhilft Ihnen dabei, AWS Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus über AWS-Konten und zu verwalten AWS-Regionen.

• AWS Key Management Service (AWS KMS) hilft Ihnen dabei, kryptografische Schlüssel zu erstellen und zu kontrollieren, um Ihre Daten zu schützen.

• AWS Lambda ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.

• AWS SDK for Python (Boto3)ist ein Softwareentwicklungskit, mit dem Sie Ihre Python-Anwendung, -Bibliothek oder Ihr Skript integrieren können AWS-Services.

• AWS Secrets Managerhilft Ihnen dabei, hartcodierte Anmeldeinformationen in Ihrem Code, einschließlich Kennwörtern, durch einen API Aufruf von Secrets Manager zu ersetzen, um das Geheimnis programmgesteuert abzurufen.

• AWS Step Functionsist ein serverloser Orchestrierungsservice, mit dem Sie Lambda-Funktionen und andere Funktionen kombinieren können, um geschäftskritische Anwendungen AWS-Services zu erstellen.

Code-Repository

Der Code für dieses Muster ist im GitHub Crossaccount RDS Replication Repository verfügbar.

Epen

Automatisieren Sie die Replikation von RDS DB-Instances AWS-Konten mit einem einzigen Klick

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Stellen Sie den CloudFormation Stack im Quellkonto bereit.	Melden Sie sich AWS Management Console beim Quellkonto (Konto A) an und öffnen Sie die CloudFormation Konsole. Klicken Sie im Navigationsbereich auf Stacks. Wählen Sie Stack erstellen und dann Mit vorhandenen Ressourcen (Ressourcen importieren) aus. Wählen Sie auf der Seite Ressourcen identifizieren die Option Weiter aus. Wählen Sie auf der Seite „Vorlage angeben“ die Option Vorlage hochladen aus. Wählen Sie Datei auswählen, wählen Sie die Cloudformation-SourceAccountRDS.yaml Datei aus dem Repository für GitHub kontoübergreifende RDS Replikation aus und klicken Sie dann auf Weiter. Geben Sie unter Stackname einen Namen für Ihren Stack ein. Geben Sie im Abschnitt Parameter die Parameter an, die in der Stack-Vorlage definiert sind: Geben Sie für DestinationAccountNumberdie Kontonummer Ihrer RDS Ziel-DB-Instance ein. Geben Sie für KeyNameIhre ein AWS KMS key. Geben Sie für ScheduleExpressioneinen Cron-Ausdruck ein (die Standardeinstellung ist täglich 12:00 Uhr). Geben Sie für S ourceDBIdentifier den Namen der Quelldatenbank ein. Geben Sie für S ourceDBSnapshot Name den Namen des Snapshots ein, oder akzeptieren Sie die Standardeinstellung. Wählen Sie Weiter. Behalten Sie auf der Seite „Stack-Optionen konfigurieren“ die Standardwerte bei und wählen Sie dann Weiter. Überprüfen Sie Ihre Stack-Konfiguration und wählen Sie dann Submit aus. Wählen Sie den Tab Ressourcen für Ihren Stack und notieren Sie sich dann den Amazon-Ressourcennamen (ARN) des SNS Themas.	Cloud-Administrator, Cloud-Architekt
Stellen Sie den CloudFormation Stack im Zielkonto bereit.	Melden Sie sich AWS Management Console beim Zielkonto (Konto B) an und öffnen Sie die CloudFormation Konsole. Klicken Sie im Navigationsbereich auf Stacks. Wählen Sie Stack erstellen und dann Mit vorhandenen Ressourcen (Ressourcen importieren) aus. Wählen Sie auf der Seite Ressourcen identifizieren die Option Weiter aus. Wählen Sie auf der Seite „Vorlage angeben“ die Option Vorlage hochladen aus. Wählen Sie Datei, wählen Sie die Cloudformation-DestinationAccountRDS.yaml Datei aus dem GitHub Cross-account RDS Replication Repository aus und klicken Sie dann auf Weiter. Geben Sie unter Stackname einen Namen für Ihren Stack ein. Geben Sie im Abschnitt Parameter die Parameter an, die in der Stack-Vorlage definiert sind: Geben Sie für DatabaseNameeinen Namen für Ihre Datenbank ein. Geben Sie für Engine den Datenbank-Engine-Typ ein, der der Quelldatenbank entspricht. Geben Sie für DBInstanceClassden bevorzugten Datenbankinstanztyp ein, oder akzeptieren Sie den Standardwert. Geben Sie für Subnetzgruppen die bestehende VPC Subnetzgruppe ein. Anweisungen zum Erstellen einer Subnetzgruppe finden Sie unter Schritt 2: Erstellen einer DB-Subnetzgruppe in der RDS Amazon-Dokumentation. Geben Sie für SecretNameden Pfad und den geheimen Namen ein, oder akzeptieren Sie die Standardeinstellung. Geben Sie für SGIDdie Sicherheitsgruppen-ID Ihres Zielclusters ein. Geben Sie für KMSKeyARNden KMS Schlüssel in Ihrem Zielkonto ein. Geben Sie für NoOfOlderInstancesdie Anzahl der alten Kopien der RDS DB-Instances ein, die Sie für das Rollback behalten möchten. Wählen Sie Weiter. Behalten Sie auf der Seite „Stack-Optionen konfigurieren“ die Standardwerte bei und wählen Sie dann Weiter. Überprüfen Sie Ihre Stack-Konfiguration und wählen Sie dann Submit aus. Wählen Sie den Tab Ressourcen für Ihren Stack und notieren Sie sich dann die physische ID und ARN vonInvokeStepFunction.	Cloud-Architekt, DevOps Ingenieur, Cloud-Administrator
Überprüfen Sie die Erstellung der RDS DB-Instance im Zielkonto.	Melden Sie sich bei der an AWS Management Console und öffnen Sie die RDSAmazon-Konsole. Wählen Sie im Navigationsbereich Datenbanken aus und überprüfen Sie dann, ob die neue RDS DB-Instance unter dem neuen Cluster angezeigt wird.	Cloud-Administrator, Cloud-Architekt, DevOps Ingenieur
Abonnieren Sie die Lambda-Funktion für das SNS Thema.	Sie müssen die folgenden Befehle AWS Command Line Interface (AWS CLI) ausführen, um die Lambda-Funktion im Zielkonto (Konto B) für das SNS Thema im Quellkonto (Konto A) zu abonnieren. Führen Sie in Konto A den folgenden Befehl aus: aws sns add-permission \ --label lambda-access --aws-account-id <DestinationAccount> \ --topic-arn <Arn of SNSTopic > \ --action-name Subscribe ListSubscriptionsByTopic Führen Sie in Konto B den folgenden Befehl aus: aws lambda add-permission \ --function-name <Name of InvokeStepFunction> \ --source-arn <Arn of SNSTopic > \ --statement-id function-with-sns \ --action lambda:InvokeFunction \ --principal sns.amazonaws.com Führen Sie in Konto B den folgenden Befehl aus: aws sns subscribe \ --protocol "lambda" \ --topic-arn <Arn of SNSTopic> \ --notification-endpoint <Arn of InvokeStepFunction>	Cloud-Administrator, Cloud-Architekt, DBA
Synchronisieren Sie die RDS DB-Instance aus dem Quellkonto mit dem Zielkonto.	Initiieren Sie die On-Demand-Datenbankreplikation, indem Sie die Step Functions-Zustandsmaschine im Quellkonto starten. Öffnen Sie die Step Functions Functions-Konsole. Wählen Sie im Navigationsbereich State Machines aus. Wählen Sie Ihren Zustandsmaschine aus. Wählen Sie auf der Registerkarte Ausführungen Ihre Funktion aus und klicken Sie dann auf Ausführung starten, um den Workflow zu starten. Anmerkung Es gibt einen Scheduler, mit dem Sie die Replikation automatisch und planmäßig ausführen können. Der Scheduler ist jedoch standardmäßig ausgeschaltet. Den Namen der CloudWatch Amazon-Regel für den Scheduler finden Sie auf der Registerkarte Ressourcen des CloudFormation Stacks im Zielkonto. Anweisungen zum Ändern der CloudWatch Ereignisregel finden Sie in der Dokumentation unter Löschen oder Deaktivieren einer CloudWatch Ereignisregel. CloudWatch	Cloud-Architekt, DevOps Ingenieur, Cloud-Administrator
Führen Sie bei Bedarf ein Rollback Ihrer Datenbank auf eine der vorherigen Kopien durch.	Öffnen Sie die Secrets Manager-Konsole. Wählen Sie aus der Liste der Geheimnisse das Geheimnis aus, das Sie zuvor mithilfe der CloudFormation Vorlage erstellt haben. Ihre Anwendung verwendet den geheimen Schlüssel, um auf die Datenbank im Zielcluster zuzugreifen. Um den geheimen Wert auf der Detailseite zu aktualisieren, wählen Sie im Abschnitt Geheimer Wert die Option Geheimen Wert abrufen und dann Bearbeiten aus. Geben Sie die Details des Datenbank-Endpunkts ein.	Cloud-AdministratorDBA, DevOps Ingenieur

Automatisieren Sie die Replikation von RDS DB-Instances AWS-Konten mit einem einzigen Klick

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Stellen Sie den CloudFormation Stack im Quellkonto bereit.	Melden Sie sich AWS Management Console beim Quellkonto (Konto A) an und öffnen Sie die CloudFormation Konsole. Klicken Sie im Navigationsbereich auf Stacks. Wählen Sie Stack erstellen und dann Mit vorhandenen Ressourcen (Ressourcen importieren) aus. Wählen Sie auf der Seite Ressourcen identifizieren die Option Weiter aus. Wählen Sie auf der Seite „Vorlage angeben“ die Option Vorlage hochladen aus. Wählen Sie Datei auswählen, wählen Sie die Cloudformation-SourceAccountRDS.yaml Datei aus dem Repository für GitHub kontoübergreifende RDS Replikation aus und klicken Sie dann auf Weiter. Geben Sie unter Stackname einen Namen für Ihren Stack ein. Geben Sie im Abschnitt Parameter die Parameter an, die in der Stack-Vorlage definiert sind: Geben Sie für DestinationAccountNumberdie Kontonummer Ihrer RDS Ziel-DB-Instance ein. Geben Sie für KeyNameIhre ein AWS KMS key. Geben Sie für ScheduleExpressioneinen Cron-Ausdruck ein (die Standardeinstellung ist täglich 12:00 Uhr). Geben Sie für S ourceDBIdentifier den Namen der Quelldatenbank ein. Geben Sie für S ourceDBSnapshot Name den Namen des Snapshots ein, oder akzeptieren Sie die Standardeinstellung. Wählen Sie Weiter. Behalten Sie auf der Seite „Stack-Optionen konfigurieren“ die Standardwerte bei und wählen Sie dann Weiter. Überprüfen Sie Ihre Stack-Konfiguration und wählen Sie dann Submit aus. Wählen Sie den Tab Ressourcen für Ihren Stack und notieren Sie sich dann den Amazon-Ressourcennamen (ARN) des SNS Themas.	Cloud-Administrator, Cloud-Architekt
Stellen Sie den CloudFormation Stack im Zielkonto bereit.	Melden Sie sich AWS Management Console beim Zielkonto (Konto B) an und öffnen Sie die CloudFormation Konsole. Klicken Sie im Navigationsbereich auf Stacks. Wählen Sie Stack erstellen und dann Mit vorhandenen Ressourcen (Ressourcen importieren) aus. Wählen Sie auf der Seite Ressourcen identifizieren die Option Weiter aus. Wählen Sie auf der Seite „Vorlage angeben“ die Option Vorlage hochladen aus. Wählen Sie Datei, wählen Sie die Cloudformation-DestinationAccountRDS.yaml Datei aus dem GitHub Cross-account RDS Replication Repository aus und klicken Sie dann auf Weiter. Geben Sie unter Stackname einen Namen für Ihren Stack ein. Geben Sie im Abschnitt Parameter die Parameter an, die in der Stack-Vorlage definiert sind: Geben Sie für DatabaseNameeinen Namen für Ihre Datenbank ein. Geben Sie für Engine den Datenbank-Engine-Typ ein, der der Quelldatenbank entspricht. Geben Sie für DBInstanceClassden bevorzugten Datenbankinstanztyp ein, oder akzeptieren Sie den Standardwert. Geben Sie für Subnetzgruppen die bestehende VPC Subnetzgruppe ein. Anweisungen zum Erstellen einer Subnetzgruppe finden Sie unter Schritt 2: Erstellen einer DB-Subnetzgruppe in der RDS Amazon-Dokumentation. Geben Sie für SecretNameden Pfad und den geheimen Namen ein, oder akzeptieren Sie die Standardeinstellung. Geben Sie für SGIDdie Sicherheitsgruppen-ID Ihres Zielclusters ein. Geben Sie für KMSKeyARNden KMS Schlüssel in Ihrem Zielkonto ein. Geben Sie für NoOfOlderInstancesdie Anzahl der alten Kopien der RDS DB-Instances ein, die Sie für das Rollback behalten möchten. Wählen Sie Weiter. Behalten Sie auf der Seite „Stack-Optionen konfigurieren“ die Standardwerte bei und wählen Sie dann Weiter. Überprüfen Sie Ihre Stack-Konfiguration und wählen Sie dann Submit aus. Wählen Sie den Tab Ressourcen für Ihren Stack und notieren Sie sich dann die physische ID und ARN vonInvokeStepFunction.	Cloud-Architekt, DevOps Ingenieur, Cloud-Administrator
Überprüfen Sie die Erstellung der RDS DB-Instance im Zielkonto.	Melden Sie sich bei der an AWS Management Console und öffnen Sie die RDSAmazon-Konsole. Wählen Sie im Navigationsbereich Datenbanken aus und überprüfen Sie dann, ob die neue RDS DB-Instance unter dem neuen Cluster angezeigt wird.	Cloud-Administrator, Cloud-Architekt, DevOps Ingenieur
Abonnieren Sie die Lambda-Funktion für das SNS Thema.	Sie müssen die folgenden Befehle AWS Command Line Interface (AWS CLI) ausführen, um die Lambda-Funktion im Zielkonto (Konto B) für das SNS Thema im Quellkonto (Konto A) zu abonnieren. Führen Sie in Konto A den folgenden Befehl aus: aws sns add-permission \ --label lambda-access --aws-account-id <DestinationAccount> \ --topic-arn <Arn of SNSTopic > \ --action-name Subscribe ListSubscriptionsByTopic Führen Sie in Konto B den folgenden Befehl aus: aws lambda add-permission \ --function-name <Name of InvokeStepFunction> \ --source-arn <Arn of SNSTopic > \ --statement-id function-with-sns \ --action lambda:InvokeFunction \ --principal sns.amazonaws.com Führen Sie in Konto B den folgenden Befehl aus: aws sns subscribe \ --protocol "lambda" \ --topic-arn <Arn of SNSTopic> \ --notification-endpoint <Arn of InvokeStepFunction>	Cloud-Administrator, Cloud-Architekt, DBA
Synchronisieren Sie die RDS DB-Instance aus dem Quellkonto mit dem Zielkonto.	Initiieren Sie die On-Demand-Datenbankreplikation, indem Sie die Step Functions-Zustandsmaschine im Quellkonto starten. Öffnen Sie die Step Functions Functions-Konsole. Wählen Sie im Navigationsbereich State Machines aus. Wählen Sie Ihren Zustandsmaschine aus. Wählen Sie auf der Registerkarte Ausführungen Ihre Funktion aus und klicken Sie dann auf Ausführung starten, um den Workflow zu starten. Anmerkung Es gibt einen Scheduler, mit dem Sie die Replikation automatisch und planmäßig ausführen können. Der Scheduler ist jedoch standardmäßig ausgeschaltet. Den Namen der CloudWatch Amazon-Regel für den Scheduler finden Sie auf der Registerkarte Ressourcen des CloudFormation Stacks im Zielkonto. Anweisungen zum Ändern der CloudWatch Ereignisregel finden Sie in der Dokumentation unter Löschen oder Deaktivieren einer CloudWatch Ereignisregel. CloudWatch	Cloud-Architekt, DevOps Ingenieur, Cloud-Administrator
Führen Sie bei Bedarf ein Rollback Ihrer Datenbank auf eine der vorherigen Kopien durch.	Öffnen Sie die Secrets Manager-Konsole. Wählen Sie aus der Liste der Geheimnisse das Geheimnis aus, das Sie zuvor mithilfe der CloudFormation Vorlage erstellt haben. Ihre Anwendung verwendet den geheimen Schlüssel, um auf die Datenbank im Zielcluster zuzugreifen. Um den geheimen Wert auf der Detailseite zu aktualisieren, wählen Sie im Abschnitt Geheimer Wert die Option Geheimen Wert abrufen und dann Bearbeiten aus. Geben Sie die Details des Datenbank-Endpunkts ein.	Cloud-AdministratorDBA, DevOps Ingenieur

Zugehörige Ressourcen

• Regionsübergreifende Read Replicas (RDSAmazon-Dokumentation)

• Blaue/grüne Bereitstellungen (RDSAmazon-Dokumentation)

Zusätzliche Informationen

Sie können die folgende Beispielrichtlinie verwenden, um Ihre AWS KMS key Across gemeinsam zu nutzen. AWS-Konten

{
    "Version": "2012-10-17",
    "Id": "cross-account-rds-kms-key",
    "Statement": [
        {
            "Sid": "Enable user permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<SourceAccount>:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow administration of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<DestinationAccount>:root"
            },
            "Action": [
                "kms:Create*",
                "kms:Describe*",
                "kms:Enable*",
                "kms:List*",
                "kms:Put*",
                "kms:Update*",
                "kms:Revoke*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Delete*",
                "kms:ScheduleKeyDeletion",
                "kms:CancelKeyDeletion"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::<DestinationAccount>:root",
                    "arn:aws:iam::<SourceAccount>:root"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey",
                "kms:CreateGrant"
            ],
            "Resource": "*"
        }
    ]
}