在GaussDB中购买磁盘加密功能后,备份文件默认不会自动加密。以下是关键细节和解决方案:
- 磁盘加密与备份加密的关系 磁盘加密:仅对实例的数据磁盘进行加密(即运行时数据),但不覆盖备份文件。备份文件存储在对象存储服务(OBS)上时,除非单独启用备份加密,否则数据仍为明文存储。 备份加密需单独开启:若需加密备份文件,必须额外开启备份加密功能。开启后,新增的备份文件会通过数据加密服务(DEW)自动加密,但开启前的历史备份不受影响。
- 关键限制与注意事项 加密不可逆: 磁盘加密状态在实例创建后无法修改或关闭,密钥也不可更换。 备份加密开启后,若关闭则后续备份不再加密,但已加密备份不会解密。 密钥管理要求: 加密使用的密钥(支持SM4/AES_256算法)不可被禁用、删除或冻结,否则会导致加密备份无法恢复。 密钥需通过华为云数据加密服务(DEW)管理,且仅支持选择与企业项目绑定的密钥。 功能互斥: 备份加密与跨区域备份互斥,二者不能同时启用。
- 如何启用备份加密 进入GaussDB控制台,选择目标实例的“备份恢复”页面。 点击“备份加密”开关,选择或输入DEW中的密钥ID。 开启后,所有新增备份将自动加密(全量/增量备份均支持)。
- 备份恢复的注意事项 恢复操作无需手动解密:通过控制台恢复备份时,系统自动解密后执行恢复。 恢复目标限制:加密备份仅支持恢复到新实例或原实例,不可恢复到其他已有实例。 总结建议 敏感数据场景:务必同时开启磁盘加密 + 备份加密,确保数据全生命周期安全。 密钥备份:妥善保管加密密钥,避免因密钥失效导致数据不可用。 功能规划:若需跨区域容灾,需在备份加密和跨区域备份间权衡选择。 参考依据:以上结论综合自华为云官方文档对GaussDB磁盘加密、备份加密的详细说明及限制条款。
