shiran0418的博客

TDE: Transparent Data Encryption, 也就是透明传输加密。在MySQL community官网上有这样原文介绍：WithMySQLMySQLMySQLTDE因此，对于TDE功能，其实社区版MySQL5.7是不支持的，只有Enterprise版本才支持。而后到了MySQL 8.0版本，社区版也支持TDE插件了: All MySQL editions provide a那么，对于各大云厂商，对这个MySQL TDE的支持都如何呢？

当实例使用过时的时区文件版本时，可能会发生停机。有个误区，是可能此时大家会检查RDS Oracle的小版本，而后将目标端把版本升级到更高版本。但是timezone_file的版本，不一定会跟着RDS Oracle的升级而升级。正确的方式是，根据文档[1], 首先将RDS Oracle的选项组，如果是默认选项组，那么需要更改为自建选项组。这个报错是由于timezone_file的版本，源端比目标端高，于是impdp不支持。在原生Oracle上，将timezone_file的patch应用，完成升级即可解决。

AWS RDS所拥有的内存（实例类型），和数据库能够使用的内存是不同的。DBInstanceClassMemory 的75%用于 InnoDB Buffer Pool 缓冲池空间，也就是innodb_buffer_pool_size. 默认情况下，但是如果我们想降低innodb_buffer_pool_size的值，那么我们可以自建一个参数组，然后修改自定义参数组中的参数值来降低这个值[2]。

所以超出的长度无法传入 redshift 中.有些数据类型会在导入 redshift 时会被转换成 varchar，这些类型的数据在通过 zero-ETL 传入 redshift 时，如果超过 65535 时都有可能遇到报错。并且0etl处于异常状态的时候，不支持修改这个integration，也就是无法通过修改表增加主键，再把这个表reload一遍。同时根据如下文档，在创建集成后添加筛选条件，Aurora 会重新评估筛选条件，所有受影响的表都需要重新同步。下一篇会更新跨账号配置0etl步骤。

之后，选定此快照，通过复制（copy）的方式，复制一个快照的副本【3】，而copy的过程中，我们可以选定KMS加密并选定使用加密的key。在创建出新的加密RDS以后，我们可以使用Database Migration Service【5】服务，创建一个fullload + CDC，全量+持续复制任务，指定我们的未加密的RDS为源，已经加密的新的RDS为目标端。将我们的未加密的RDS中的数据，全部迁移到已经加密的新的RDS中。另一种方式是，我们创建一个新的RDS，并在创建RDS的过程中，选择加密RDS的存储。

RDS 控制台的auto backup和AWS backup的连续备份是一个概念，也是最长保留周期35天，每天备份一次，不能选择备份频率。--删除所有 Amazon RDS 备份计划，并保护该资源的持续备份。首先，其实RDS的snapshot，自动备份和手动备份，就是调用的AWS backup服务，只不过是通过RDS控制台，API等等进行控制和管理的。要在 Amazon RDS 中查看我们设置的持续备份，请在Amazon RDS 控制台，选择维护和备份，然后找到自动备份字段中返回的子位置类型。

AWS JDBC Driver 中国区和Global区域的区别是，由于中国区Aurora Endpoint与Global的后缀不同，中国区的AWS JDBC Driver其实无法识别中国区endpoint， 因为中国区的资源endpoint是以".cn" 结尾，这个endpoint不被认为是aurora的endpoint，会被认为是custom domain.其实用MySQL JDBC Driver也没啥问题的~~

因此，因为DML语句中的table所在的DB为shiran5, 不在replicate-do-db=shiran1,shiran2之列，所以这个指令完全不会被复制到从库。因为binlog_format=statement会告诉复制SQL线程,将复制限制到default database(即USE选择的shiran1)的语句，而shiran1是在replicate-do-db设置下的，所以SQL线程依旧会读取update shiran5.test5这个sql.---> 这个指令依旧会被复制到从库。

我在测试中，从Aurora Postgres数据库中测试创建超过63bytes的Role，可以看到，输入指令以后，PG返回一个：NOTICE: identifier "xxxxx" - 即将超过63 byte的字符进行了截断。而登录的Aurora PG之后，创建的用户名，其实是受identifier length 63 bytes这个限制的[1]。当创建该用户名的时候，如果不加双引号，那么该用户名会在Postgres中以小写来创建。

当我们的RDS MySQL 5.7库中有中文表名的时候，如果我们的mysqldump用5.7版本，或者通过AWS DMS 工具的Fullload，均是可以迁移成功的。

【代码】AWS 中国区：从S3导入csv到RDS PostgreSQL。

RDS创建以后，如果是PostgreSQL， MySQL这类引擎，会在控制台上有“Extended Support” 部分，或者显示为Enabled, 或者显示为Disabled.如果启用RDS扩展支持，那么控制台上，Extended Support会显示为Enabled. 在使用的版本结束支持以后，会自动注册到扩展支持中，并继续使用当前版本。如果选择不起用RDS 扩展支持，那么控制台上 Extended Support会显示为Disabled. 在使用版本结束支持以后，会自动并强制升级到新的版本。

由于default MySQL 8 参数组为lower_case_table_names为0的设置，因此在原地升级时，选择默认参数组为目标参数组，便会遇到“The parameter value for lower_case_table_names can't be changed for MySQL 8.0 DB instances.”报错。而后选择原地升级，或者蓝绿部署的方式，均可以使用新建的MySQL 8自建参数组作为升级后的参数组，这样便可以保持lower_case_table_names一致。

在完成mysqldump以后，可以启动RDS只读副本的主从复制，并通过dump建立自建MySQL从库，而后启动RDS -- 自建MySQL的主从复制。提前配置并测试本地数据库和RDS所在VPC，子网之间的网络连通性，确保我们班可以通过RDS的endpoint连接到数据库，并提前在RDS中创建我们本地从库所使用的user，赋予相应的权限（grant replication slave）。, mysql_binary_log_file_location //-- 2.2中记录的binlog位置。

此外，RDS Proxy有类似功能可以实现此需求：根据文档[2]中的RDS Proxy的IdleClientTimeout参数，您可以通过此参数指定在代理关闭客户端连接之前，客户端连接可以处于空闲状态的时长。对于RDS MySQL 5.7来说，如上功能不支持，仅能做到，一旦连续的失败登陆次数超过设定阈值，那么就会产生延迟，并且延迟随着失败次数增加而增加，上限为connection_control_max_connection_delay的设置；可能需要您在客户端方面进行设置，让客户端在超时以后主动退出。

需要注意的就是更改VPC仅支持单可用区实例（single-az instance）, 多可用区部署的实例，或者Aurora cluster，都是不支持的。建议是先在target VPC中建立安全组（Security Group），可以让目标VPC的安全组入站出站规则都和原VPC的安全组保持一致。在Modify RDS的时候，直接更改RDS的子网组即可，需要几分钟完成。期间因为网络环境的更改，会影响RDS的客户端连接。

建议可以先在非生产环境测试证书轮换以后的应用程序连接，如果应用程序受到影响，需要更新应用侧证书捆绑包，那么可以参考文档[2]将证书捆绑包导入。若我们的应用，使用SSL证书连接数据库，那么我们需要在数据库更新证书后，及时更新应用侧的数据库证书捆绑包[1].如果我们的应用程序没有使用SSL连接RDS呢, 那么证书轮换除了特定版本会造成重启以外，没有任何影响。本文章发表比较晚了，因为在本轮北京区更新完证书以后，后续的证书都是RDS自动轮换，不再需要手动轮换。