О сервисе
Сервис транзакционной СУБД (услуга 1.1) – это объектно-реляционная система управления базами данных, основанная на свободно распространяемой "Ванильной" версии PostgreSQL v11.14. Она содержит ряд доработок, позволяющих обеспечить повышенные требования к безопасности хранимых данных, доступности, надежности и производительности.
Безопасность хранимых данных обеспечивается за счет:
- прозрачного шифрования хранимой информации и шифрования параметров подключения;
- защиты от привилегированных пользователей;
- гибкого управления парольными политиками;
- расширенных возможностей аудита действий пользователя;
- двухфакторной аутентификации;
- маскирования параметров запросов;
- хранения сертификатов в формате
PKCS#12и возможности интеграции с системой хранения секретов; - возможности ротации секретов ТУЗ без недоступности.
Удобство сопровождения достигается благодаря:
- генерации отчетов для детального анализа истории активности СУБД;
- инструменту для оперативного анализа текущей активности СУБД;
- инструменту, позволяющему собирать диагностическую информацию об экземпляре с целью передачи вендору;
- возможности определить время последнего изменения структуры объекта;
- отслеживанию блокировок, возникающих в работе СУБД;
- расширенные инструменты мониторинга СУБД (
psql_diagpack); - очистке неиспользуемых файлов в табличных пространствах;
- инструментам автоматического развертывания и обновления продукта;
- графической консоли управления СУБД для облегчения процесса сопровождения и диагностики (продукт Platform V Kintsugi).
Функциональные возможности для разработчика прикладных приложений:
- функциональность корректировки, фиксации и подмены планов запросов;
- поддержка совместной работы с 1С;
- возможность выполнения кода в фоновом процессе;
- сквозная аутентификация между pgBouncer и PostgreSQL;
- поддержка подготовленных запросов транзакционного режима кластера высокой доступности с использованием пуллера подключений.
Дополнительно:
- аварийное завершение СУБД при отключении СХД;
- резервирование подключений для служебных ролей;
- соответствие 4 уровню доверия по ФСТЭК;
- зарегистрирован в РОПО.
Богатый набор утилит и расширений, включенных в состав дистрибутива:
- поддержка автономных транзакций;
- планировщик заданий;
- дефрагментация таблиц.
Ключевая функциональность сервиса транзакционной СУБД (услуга 1.1), которые отличают продукт от "Ванильной" версии PostgreSQL:
Гибкое управление парольными политиками
Позволяет группировать пользователей по ролям и назначать различные парольные политики, контролировать соответствие задаваемых паролей назначенным парольным политикам и время жизни паролей.
Шифрование данных
Предотвращает несанкционированный доступ к пользовательским данным в СУБД, не требует каких-либо доработок со стороны прикладных приложений и обеспечивает устойчивость к раскрытию, в том числе со стороны системных администраторов.
Защита от привилегированных пользователей
Позволяет предотвратить доступ к пользовательским данным, хранящимся в базах данных сервиса транзакционной СУБД, со стороны неавторизованных лиц, в том числе администраторов сопровождения.
Расширенные возможности аудита
Обеспечивает неотключаемые и расширенные функции аудита действий пользователя с различным уровнем детализации, что позволяет настроить уровень аудита, соответствующий требованиям клиента.
Инструменты анализа производительности СУБД
Предоставляет возможность администратору СУБД, администратору информационной системы или разработчику приложений возможность анализа истории активности СУБД как текущей, так и сохраненной в заданном временном диапазоне.
Диагностический отчет
В состав дистрибутива входит набор инструментов для диагностики состояния СУБД, сформированный отчет пригоден для передачи на анализ производителю СУБД и не содержит чувствительной информации.
Отслеживание блокировок
Встроенный инструмент для оперативного анализа блокировок и причин их возникновения с целью принятия решения о дальнейших действиях в рамках сопровождения.
Отслеживание времени изменения объекта
С целью повышения удобства сопровождения мы реализовали отдельный инструмент, позволяющий отслеживать время последнего изменения объекта, что могло привести к деградации скорости работы СУБД.
Управление планами запросов
Позволяет оперативно и без влияния на существующую структуру объектов:
- принудительно определять план выполнения SQL-запроса, выполняемого как самостоятельный запрос, подготовленный запрос или запрос в составе PL/pgSQL-блока;
- корректировать план выполнения запроса "на лету", на стороне сервера при его обработке без необходимости вносить изменения в текст запроса на стороне отправляющего его приложения.
Функциональность подготовленных запросов при включенном транзакционном режиме пула соединений кластера высокой доступности позволяет:
- значительно повысить производительность работы запросов;
- использовать подготовленные запросы;
- использовать такие же возможности подключения к СУБД, как и в подключении напрямую.
Дополнительно к работе через пул соединений был добавлен новый тип аутентификации пользователя - сквозная аутентификация. При подключении пользователя через пул соединений к СУБД, аутентификация выполняется только в СУБД. Пул соединений проксирует запросы/ответы аутентификации, и обеспечивает открытие соединений на основе токенов аутентификации, формируемых при аутентификации на стороне СУБД.
Секционирование таблиц
Оптимизирована скорость работы с секциями и добавлены автоматические обработчики создания новых секции по хешу и списку. Дополнительно предоставлена возможность строить (
CREATE INDEX) и перестраивать (REINDEX) индексы для секционированных таблиц, не блокируя доступ к ним для других запросов.Минимальная конфигурация Сервиса обеспечивает:
- размещение баз данных Потребителя размером до 75 Гб, что составляет 1/2 объема дискового пространства, выделенных для хранения данных Потребителя, за счет использования кластерной конфигурации, необходимой для обеспечения эксплуатационных показателей назначения;
- максимальное число одновременных подключений к серверу БД (параметр
max_connection) — 110; - максимальный размер файлов лога (параметр
max_wal_size) — 4 Гб; - размер буфера СУБД (параметр
shared_bufer) — 2 Гб.