AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post

다운타임을 최소화하면서 암호화되지 않은 MySQL 또는 MariaDB용 Amazon RDS DB 인스턴스를 암호화하려면 어떻게 해야 하나요?

5분 분량
0

암호화되지 않은 MySQL 또는 MariaDB용 Amazon Relational Database Service(RDS) 인스턴스의 암호화된 읽기 복제본을 만들려고 했습니다. 하지만 오류가 발생했습니다.

간단한 설명

Amazon RDS에는 다음과 같이 암호화된 DB 인스턴스에 대한 제한이 있습니다.

  • 암호화되지 않은 기존 Amazon RDS DB 인스턴스를 수정하여 인스턴스를 암호화할 수 없습니다.
  • 암호화되지 않은 인스턴스에서 암호화된 읽기 복제본을 만들 수 없습니다.

기존 Amazon RDS 인스턴스는 암호화할 수 없으므로 암호화된 인스턴스를 새로 만들어야 합니다. 그렇지 않으면 암호화되지 않은 Amazon RDS for MySQL 인스턴스의 암호화된 읽기 복제본을 만들 때 다음 오류가 발생합니다.
"You cannot create an encrypted Read Replica from an unencrypted DB instance. (Service: AmazonRDS; Status Code: 400; Error Code: InvalidParameterCombination; Request ID:)"

다운타임을 최소화하면서 암호화되지 않은 DB 인스턴스를 암호화하려면 다음 단계를 완료하세요.

  1. DB 인스턴스의 암호화되지 않은 읽기 복제본에서 가져온 암호화되지 않은 스냅샷을 암호화합니다.
  2. 암호화된 스냅샷에서 새 DB 인스턴스를 복원하여 암호화된 새 DB 인스턴스를 배포합니다.
  3. MySQL 복제를 사용하여 소스에서 새 암호화된 DB 인스턴스로 변경 사항을 동기화합니다.
  4. 암호화된 새 DB 인스턴스가 소스 DB 인스턴스와 동기화되었는지 확인합니다.
  5. 연결을 전환한 다음 트래픽을 새 DB 인스턴스로 리디렉션합니다.

해결 방법

암호화되지 않은 스냅샷 암호화

암호화되지 않은 읽기 복제본에서 가져온 암호화되지 않은 스냅샷을 암호화하려면 다음 단계를 완료하세요.

  1. 암호화되지 않은 원본 Amazon RDS DB 인스턴스에 대한 임시 읽기 복제본을 만듭니다. 이 예시에서는 소스 비암호화 DB 인스턴스를 SOURCE-EU라고 하고 임시 읽기 복제본을 TEMP-RR라고 합니다.

  2. TEMP-RR에 연결하고 Seconds_Behind_Master0 값이 안정될 때까지 복제본 지연을 모니터링합니다. 안정된 값은 TEMP-RRSOURCE-EU와 동기화되었음을 나타냅니다.

    mysql> SHOW SLAVE STATUS \G
Seconds_Behind_Master: 0

  3. TEMP-RR에서 복제 프로세스를 중지합니다.

    MySQL > call mysql.rds_stop_replication;
+---------------------------+
| Message                   |
+---------------------------+
| Slave is down or disabled |
+---------------------------+

  4. TEMP-RR에서 Relay_Master_Log_FileExec_Master_Log_Pos의 값을 확인합니다.

    mysql> SHOW SLAVE STATUS \G
Relay_Master_Log_File: mysql-bin-changelog.000012
Exec_Master_Log_Pos: 123

  5. SOURCE-EU에서 binlog 보존 시간 매개 변수를 설정하여 작업을 완료하는 데 필요한 시간 동안 바이너리 로그를 보존합니다. 다음 예제에서는 바이너리 로그 보존 시간이 24시간으로 설정되어 있습니다.

    mysql> call mysql.rds_set_configuration('binlog retention hours', 24);

  6. TEMP-RR의 스냅샷을 만듭니다. 선택 사항으로 스냅샷을 만든 후 TEMP-RR를 삭제합니다.

  7. TEMP-RR스냅샷을 복사한 다음 암호화 사용로 설정합니다.

암호화된 스냅샷에서 새 DB 인스턴스 복원

암호화된 스냅샷에서 새 DB 인스턴스를 복원하려면 다음 단계를 완료합니다.

  1. 암호화가 설정된 복사된 스냅샷에서 새 DB 인스턴스를 복원합니다. 이 예시에서는 암호화된 새 DB 인스턴스를 NEW-RR-EN라고 합니다.
  2. SOURCE-EU 보안 그룹에서 NEW-RR-EN의 트래픽을 허용하도록 인바운드 규칙을 수정합니다. 두 DB 인스턴스에서 동일한 보안 그룹을 사용하는 경우 SOURCE-EU와 동일한 보안 그룹 ID 참조를 사용할 수 있습니다.
    참고: NEW-RR-EN에서 SOURCE-EU로 아웃바운드 트래픽을 허용합니다.

소스 인스턴스에서 새 암호화된 인스턴스로 변경 사항 동기화

MySQL 복제를 사용하여 소스에서 새 암호화된 DB 인스턴스로 변경 사항을 동기화하려면 다음 단계를 완료하세요.

  1. SOURCE-EU에 로그인합니다.
  2. 복제 사용자를 설정한 다음 해당 사용자에게 필요한 권한을 부여합니다. 
    mysql> create user 'repl_user'@'%' identified by 'password123';
mysql> grant replication slave, replication client on *.* to 'repl_user'@'%';
mysql> show grants for 'repl_user'@'%';
    참고: repl_user을 복제 사용자 이름으로 바꾸고 password123을 비밀번호로 바꿉니다.
  3. NEW-RR-EN에 연결하고 SOURCE-EU에 복제 연결을 설정합니다. 
    mysql> CALL mysql.rds_set_external_master ( 'rds-endpoint' , 3306 , 'repl_user' , 'password123' , 'mysql-bin.000012' , 123 , 0 );
    참고: rds-endpointDB 인스턴스 엔드포인트SOURCE-EU에 대한 엔드포인트로 바꿉니다. repl_userpassword123을 생성한 사용자 이름 및 비밀번호로 바꿉니다. Relay_Master_Log_FileExec_Master_Log_Pos 값을 사용하여 mysql.rds_set_external_master 절차로 복제를 설정합니다. SOURCE-EUpublicly accessible이고 NEW-RR-EN이 "private"으로 설정된 경우 rds-endpoint 대신 SOURCE-EU의 개인 IP 주소를 사용합니다.
  4. NEW-RR-EN에서 복제를 시작합니다. 
    mysql > CALL mysql.rds_start_replication;

암호화된 인스턴스가 소스 인스턴스와 동기화되었는지 확인합니다.

암호화된 새 DB 인스턴스가 소스 DB 인스턴스와 동기화되었는지 확인하려면 다음 단계를 완료합니다.

  1. NEW-RR-EN에서 복제가 성공했으며 SOURCE-EUNEW-RR-EN 간에 동기화되었는지 확인합니다.

    mysql> SHOW SLAVE STATUS \G

    소스 DB 인스턴스와 읽기 복제본 간의 연결이 성공하면 출력은 다음과 유사하게 표시됩니다.

    Slave_IO_State: Waiting for master to send eventSeconds Behind master: 0

  2. Seconds_Behind_Master0 값으로 안정된 후 트래픽을 중지하고 SOURCE-EU에서 연결을 닫습니다.
    참고: SOURCE-EU에 연결하는 모든 응용 프로그램 서버 및 클라이언트를 중지하여 SOURCE-EU에 새로운 변경 사항이 없는지 확인합니다. 선택 사항으로 SOURCE-EU가 사용하는 보안 그룹을 일시적으로 잠글 수 있습니다. NEW-RR-EN 및 사용자가 이러한 작업을 수행하는 호스트를 제외한 모든 애플리케이션 또는 클라이언트로부터의 인바운드 트래픽을 차단해야 합니다.

연결을 전환하고 트래픽을 새 DB 인스턴스로 리디렉션

연결을 전환하고 트래픽을 새 DB 인스턴스로 리디렉션하려면 다음 단계를 완료하세요.

  1. 데이터베이스 리더 사용자로서 NEW-RR-EN에 연결한 다음 복제를 중지합니다.

    MySQL > call mysql.rds_stop_replication;

    중요: 이 명령을 실행하면 NEW-RR-EN이 더 이상 SOURCE-EU의 데이터를 복제하지 않습니다.

  2. NEW-RR-EN를 독립 실행형 서버로 승격하려면 SOURCE-EUNEW-RR-EN 간의 복제 관계를 중지합니다.

    MySQL > call mysql.rds_reset_external_master;

  3. 모든 애플리케이션, 클라이언트 및 데이터베이스 연결을 NEW-RR-EN로 가리키려면 NEW-RR-EN를 지정합니다. DNS 엔드포인트를 모든 연결 문자열에 지정합니다. 또는 SOURCE-EU의 이름을 바꾼 다음 NEW-RR-ENSOURCE-EU이 사용하는 것과 동일한 이름을 사용하도록 수정합니다.

  4. NEW-RR-EN의 보안 그룹 규칙이 적절한 응용 프로그램 및 클라이언트의 인바운드 트래픽을 허용하는지 확인합니다.

  5. SOURCE-EU를 삭제합니다.
    참고: 프로덕션 환경에서 이 작업을 적용하기 전에 테스트 인스턴스에서 이 작업을 테스트하는 것이 가장 좋습니다.

관련 정보

DB 인스턴스 읽기 전용 복제본 작업

KMS 키를 사용하여 Amazon RDS 스냅샷을 암호화하려면 어떻게 해야 하나요?

MySQL 웹 사이트에서 복제 문제 해결

외부 소스 인스턴스로 바이너리 로그 파일 위치 복제 구성

주제
마이그레이션 및 현대화분석데이터베이스
태그
Amazon Relational Database ServiceMariaDBMySQL
언어
한국어
AWS 공식
AWS 공식업데이트됨 일 년 전
댓글 없음

관련 콘텐츠