ApsaraDB for MongoDB：安全白皮書

資料庫帳號

• ApsaraDB for MongoDB在登入資料庫時必須通過強制的帳號及密碼認證。

• ApsaraDB for MongoDB執行個體建立後，會預設生產初始化root帳號。您可以在建立時指定root帳號密碼，或在執行個體建立後重設root帳號密碼。密碼設定方法請參見（可選）重設密碼。

• root帳號預設擁有完整的ApsaraDB for MongoDB系統管理權限，您可以通過root帳號登入資料庫，對其他帳號進行增刪或授權操作。

IP白名單

ApsaraDB for MongoDB提供了IP白名單來實現網路安全存取控制，支援為每個ApsaraDB for MongoDB執行個體單獨設定IP白名單。

預設情況下，MongoDB執行個體被設定為不允許任何IP訪問，即127.0.0.1。您可以使用以下任意一種方法添加IP白名單。

• 通過控制台白名單設定功能添加，添加方法請參見修改白名單。

• 通過調用ModifySecurityIps介面添加，具體請參見ModifySecurityIps。

Virtual Private Cloud

ApsaraDB for MongoDB支援使用Virtual Private Cloud（Virtual Private Cloud）來擷取更高程度的網路存取控制。使用Virtual Private Cloud和IP白名單將極大程度提升ApsaraDB for MongoDB執行個體的安全性。

Virtual Private Cloud是私人網路環境，通過底層網路通訊協定為您構建出一個隔離的網路環境。您可以通過VPN或專線，將自建IDC的伺服器資源接入阿里雲，並使用Virtual Private Cloud自訂的MongoDB IP段來解決IP資源衝突的問題，實現自有伺服器和阿里雲ECS同時訪問MongoDB的目的。

部署在Virtual Private Cloud中的ApsaraDB for MongoDB執行個體預設只能被同一個Virtual Private Cloud中的ECS執行個體訪問。如果需要，您可以通過申請公網IP接受來自公網的訪問（不推薦），例如來自ECS EIP的訪問和自建IDC公網出口的訪問。

關於Virtual Private Cloud的更多資訊，請參見什麼是專用網路。

傳統網路

傳統網路中的雲端服務在網路上不進行隔離，只能依靠雲端服務自身的安全性群組或白名單策略來阻擋非法訪問。建議您選擇具有更高安全性的Virtual Private Cloud。

SSL

ApsaraDB for MongoDB支援安全通訊端協議（Secure Sockets Layer，簡稱SSL）。您可以使用ApsaraDB for MongoDB提供的伺服器端根憑證來驗證目標地址和連接埠的資料庫服務是不是ApsaraDB for MongoDB提供的，以有效避免被其他人攻擊。除此之外，ApsaraDB for MongoDB還提供了伺服器端SSL認證的啟用和更新能力，方便您按需更新SSL認證以保障安全性和有效性。SSL的設定方法請參見設定SSL加密。

TDE

ApsaraDB for MongoDB支援透明資料加密（Transparent Data Encryption，簡稱TDE）功能。TDE加密採用國際流行的AES演算法。

當ApsaraDB for MongoDB執行個體開啟TDE功能後，新建立的資料庫或集合中的資料在寫入到任何裝置（例如磁碟、SSD、PCIe卡）、服務（例如Object Storage Service）前都會進行加密，因此執行個體中對應的資料檔案和備份檔案都是以密文形式存在的。TDE的設定方法請參見設定透明資料加密TDE。

備份功能

為保證資料的完整性和可靠性，資料庫需要常規的自動備份來保障資料的可恢複性。

MongoDB提供如下備份功能：

• 快照備份：保留某一時間點磁碟的資料狀態。能夠做到在分鐘級完成資料庫的恢複。

• 物理備份：備份MongoDB執行個體中資料庫相關的物理檔案，備份速度較邏輯備份更快，且恢複速度也更快。

• 邏輯備份：通過mongodump工具將對資料庫的操作記錄儲存到邏輯備份檔案中。恢複時通過回放命令的形式還原資料。

更多關於資料備份的說明，請參見資料備份。

恢複功能

資料可恢複性是判斷資料庫營運可靠性的關鍵計量。

MongoDB提供如下恢複功能：

• 按備份點將備份資料恢複至建立執行個體：從執行個體中的某個備份點來建立新的執行個體，建立的執行個體中的資料將恢複至選擇的備份點，可用於資料恢複或資料驗證情境。

• 按時間點將備份資料恢複至建立執行個體：從執行個體啟動並執行某個時間點建立新的執行個體。建立的執行個體資料恢複至源執行個體選擇的時間點，可用作資料恢複或資料驗證等情境。

• 恢複ApsaraDB for MongoDB單個或多個資料庫：您可以選擇執行個體啟動並執行某個時間點建立執行個體，將單個或多個資料庫恢複到該時間點，適用於單個或多個資料庫快速資料恢複的業務情境。

更多關於資料恢複的說明，請參見資料恢複。

多可用性區域執行個體

阿里雲為全世界多個地區提供雲端運算服務，每個地區包含多個可用性區域。同一個地區中的不同可用性區域均為單獨的故障隔離單元，並且同一地區中的可用性區域之間網路延遲小。

ApsaraDB for MongoDB單可用性區域執行個體運行在同一個可用性區域中的兩台物理伺服器上，可用性區域內機櫃、空調、電路、網路都有冗餘。通過非同步或半同步的資料複製方式，高效的主備切換機制，ApsaraDB for MongoDB提供了高於物理伺服器極限的資料庫可用性。

為了提供比單可用性區域更高的可用性，ApsaraDB for MongoDB支援多可用性區域。多可用性區域將物理伺服器部署在不同的可用性區域，當一個可用性區域出現故障時，可在在短時間內將業務切換到另一個可用性區域。整個切換過程中應用代碼無需變更。

建立多可用性區域執行個體請參見建立多可用性區域複本集執行個體和建立多可用性區域分區叢集執行個體。

遷移可用性區域請參見遷移可用性區域。

跨地區容災執行個體

MongoDB多可用性區域執行個體的容災能力局限在同地區的不同可用性區域之間。為了提供更高的可用性，MongoDB還支援跨地區的資料容災。例如您可以將杭州地區的MongoDB執行個體A通過同步工具（例如MongoShake等）複製資料到上海地區的MongoDB執行個體B，執行個體B是一個完整獨立的MongoDB執行個體，擁有獨立的串連地址、帳號和許可權，可用於災備恢複，也可用於在所在地區讀取資料。

使用MongoShake複製MongoDB執行個體資料的方法請參見使用MongoShake實現MongoDB執行個體間的單向同步。

將執行個體A作為主執行個體，執行個體B作為容災執行個體，當執行個體A所在地區發生突發性故障（例如自然災害）時，執行個體B可以作為主執行個體。通過修改應用程式中的資料庫連接配置，將應用請求轉到執行個體B上，實現跨地區的資料容災。