華為云 GaussDB(for Redis)持續(xù)完善企業(yè)級增強(qiáng)特性，是名副其實(shí)的"Redis Plus"，其中很經(jīng)典的企業(yè)級特性是多租戶能力，支持添加只讀賬號、讀寫賬號，且具備強(qiáng)大的 DB 級鑒權(quán)能力，即可約束每個(gè)賬號可訪問的數(shù)據(jù)庫（DB）范圍，避免誤操作其他租戶數(shù)據(jù)。該特性可以幫助企業(yè)在共享 Redis 實(shí)例的情況下，保護(hù)不同租戶的數(shù)據(jù)安全，為企業(yè)的開發(fā)和管理提供便利。

哪些用戶需要使用多租戶功能？

多租戶是數(shù)據(jù)庫用戶剛需的一個(gè)功能。例如，企業(yè)中有兩個(gè)業(yè)務(wù)部門 A 和 B，他們都需要使用 Redis 來存儲自己的數(shù)據(jù)，如果不使用多租戶權(quán)限功能，那么 A 和 B 的數(shù)據(jù)就會混在一起，這樣就會存在數(shù)據(jù)泄露和誤操作的風(fēng)險(xiǎn)。一旦使用了多租戶管理功能，就可以將 A 和 B 的數(shù)據(jù)分別存儲在不同的 Redis 實(shí)例/DB 中，并且對這些實(shí)例/DB 進(jìn)行權(quán)限控制，從而保障數(shù)據(jù)的安全性和可靠性。

在數(shù)據(jù)庫領(lǐng)域，多租戶技術(shù)往往有以下一些標(biāo)準(zhǔn)屬性：比如讀寫權(quán)限控制、跨 DB 鑒權(quán)隔離等等；而 GaussDB(for Redis)就是具備完善的多租戶管理技術(shù)的一個(gè)典范，實(shí)現(xiàn)了讀寫權(quán)限控制和數(shù)據(jù)庫（DB）隔離這兩大特性的完美融合。

為什么選擇 GaussDB(for Redis)

租戶管理功能？

關(guān)于權(quán)限控制，開源 Redis 雖然在 6.0 新版本有 ACL，但只能設(shè)置為只讀、讀寫，每個(gè)賬號還是可以看到所有的 DB 的。這個(gè)設(shè)計(jì)比較雞肋，跟數(shù)據(jù)庫多租戶的原理背道而馳。舉個(gè)例子，業(yè)務(wù)開發(fā)小王應(yīng)該用 DB1，但有天忘記 SELECT，不小心清庫了小張的 DB0，導(dǎo)致生產(chǎn)事故。而 GaussDB(for Redis)的權(quán)限隔離就從根源上解決了這個(gè)問題，如小王被設(shè)置為只有 DB1 的權(quán)限而沒有 DB0 的權(quán)限，那么即使他誤操作也不會對 DB0 的數(shù)據(jù)產(chǎn)生影響。

此外，開源 Redis 的多租戶功能只有單機(jī)才可以使用，一旦業(yè)務(wù)上量需要集群，多 DB 功能反而就不可用了，只剩一個(gè) DB0；GaussDB(for Redis)基于自身天然的集群架構(gòu)做了多 DB 增強(qiáng)，支持 6w+DB，同時(shí)可創(chuàng)建 200+個(gè) ACL 子賬號，滿足多種業(yè)務(wù)場景的需要。

開源 Redis 6.0 和 GaussDB(for Redis)所具備的權(quán)限管理能力比較

功能很全面，具體怎么使用？

GaussDB(for Redis)的租戶管理功能需要用戶在控制臺的賬號管理頁面建立賬號，并為每個(gè)賬號設(shè)置 DB 的只讀/讀寫權(quán)限，操作非常直觀方便。例如，下圖創(chuàng)建了賬號 test123，具備讀寫權(quán)限，且只能訪問 DB1、DB2。

賬號建立好之后，用戶可以直接在程序中使用“user:pwd”組合字串作為密碼參數(shù)，并配置目標(biāo) DB 號，即可使用業(yè)務(wù)專屬 DB。

下面以一個(gè)形象的例子來說明如何通過多租戶管理功能來實(shí)現(xiàn)賬戶間的權(quán)限隔離。蜀國技術(shù)總監(jiān)諸葛孔明需要為蜀國的用戶和合作伙伴吳國的用戶設(shè)計(jì)不同的 DB 權(quán)限，從而達(dá)到公有信息共享和機(jī)密信息保護(hù)這兩個(gè)目的。

首先，他為劉備設(shè)置了所有 DB 的讀寫權(quán)限；為大將關(guān)羽和張飛設(shè)置了“桃園結(jié)義”DB0 和“華容道”DB1 和的讀寫權(quán)限，然后為秘書趙云設(shè)置了“長坂坡”DB2 的讀寫權(quán)限和其余 DB（除“桃園結(jié)義”DB0）的只讀權(quán)限。至于吳國的合作伙伴，周瑜和黃蓋被授予了“赤壁之戰(zhàn)”DB3 的讀寫權(quán)限，而他們的主公孫權(quán)則被設(shè)置了“赤壁之戰(zhàn)”DB3 的只讀權(quán)限。

聽上去是不是很復(fù)雜很難操作？其實(shí) GaussDB(for Redis)的賬號管理頁面設(shè)計(jì)得很靈活直觀，孔明可以通過點(diǎn)擊“授權(quán)所有數(shù)據(jù)庫”為劉備授權(quán)，又可以選擇一個(gè)或者多個(gè) DB 為關(guān)羽張飛授權(quán)，還能選擇“未授權(quán)數(shù)據(jù)庫”為趙云免除“桃園結(jié)義”DB 的只讀權(quán)限，非常方便設(shè)置和后期管理。

本文詳細(xì)介紹了 GaussDB(for Redis)全面的多租戶管理特性，并以幾個(gè)生動的例子為例，闡明了開源 Redis 賬號管理能力的不足，以及 GaussDB(for Redis)是如何解決這些不足的。在當(dāng)前的大數(shù)據(jù)時(shí)代，GaussDB(for Redis)的企業(yè)級特性完美彌補(bǔ)了開源 Redis 的短板，為企業(yè)的數(shù)據(jù)安全保駕護(hù)航。

審核編輯 黃宇