如何在 RDS 上配置 PostgreSQL 数据库

配置创建方法

在 RDS 上配置新数据库的第一步是选择创建方法

虽然简易创建方法可以帮助您选择一些合理的默认值，但它无法提供您在为环境配置重要数据库时可能需要的灵活性。标准创建选项提供了额外的选项，并且仍然是一个相对较短的过程。

选择标准创建，以便您可以完全控制创建过程。

选择 PostgreSQL 引擎和版本

接下来，选择数据库引擎

对于本指南，我们将配置 PostgreSQL 数据库，因此我们将选择 PostgreSQL 选项。Amazon Aurora 是另一种与 PostgreSQL 兼容的选项，它提供了 Amazon 自己的扩展和管理功能。但是，对于本指南，我们将重点关注 PostgreSQL 本地部署。

选择您希望使用的 PostgreSQL 版本。默认选择的版本通常是安全的选择，但您也可能希望选择最新版本以获得更新的功能，或者根据与应用程序库的兼容性选择较旧的版本。

选择生产模板

接下来，系统将要求您选择模板

模板旨在提供与典型部署场景匹配的预选选项。由于我们正在配置生产数据库，请选择生产模板。

设置数据库可用性

下一节包含您需要就部署做出的第一个重大决定：数据库的可用性和持久性

本节确定您的数据库在 AWS 环境中的具体部署方式。这关系到您的设置在多大程度上能够抵抗故障和中断，包括您的特定实例以及 Amazon 基础设施中的区域中断。

让我们看一下我们拥有的各种选项、它们提供的功能以及它们适用的场景。对于本指南，我们将推荐单数据库实例，如果您对其他选项不感兴趣，可以随意跳过。

配置基本设置

下一节允许您配置部署的基本设置

首先，您可以通过设置数据库实例标识符来命名数据库实例。选择一些唯一的名称，这将帮助您了解数据库在 AWS 控制台中显示时的角色和用途。

接下来，配置数据库实例的凭证。首先设置 PostgreSQL 数据库的主用户名。默认情况下，大多数 PostgreSQL 客户端工具都假定主用户名为 postgres，因此您可以保留该用户名（如果合适）。

注意： 主用户名是 PostgreSQL 数据库实例中的主要管理帐户。您应始终在配置数据库实例后创建和配置其他具有有限权限的特定于应用程序的用户名。配置您的数据库客户端和应用程序，以便日常操作使用这些权限较低的身份。仅将主用户名用于初始配置和创建范围更小、范围更窄的访问途径。

然后，您可以选择设置和确认主用户名的密码。您可以为帐户选择一个强密码（最好是机器生成的密码），或者您可以选中自动生成密码框，让 AWS 自动为您生成安全密码。

如果您选择自己的密码，请将密码保存在安全的地方，因为您以后将无法检索它。同样，如果您自动生成密码，您将只有在创建后第一次在 AWS 控制台中访问凭证时才能访问密码。请务必安全地记录密码，因为您以后将无法再次检索它。

选择数据库实例类的一般建议

一般来说，对于大多数关系数据库工作负载，RAM 往往比 CPU 更重要。因此，您不必因为担心性能低下而完全忽略突发类。它们提供了一些最佳价值，同时仍然能够提供合理的性能。

具体来说，像 db.t3.medium 这样的实例（提供 2 个 vCPU 和 4 GiB RAM）对于许多用例来说是一个不错的基准选择，如果您刚开始使用。CPU 应该能够处理中等程度的活动，同时适应请求峰值。假设硬件性能适合您的项目，您可能遇到的第一个限制之一是 2,086 Mbps 的网络上限，因此在您做出决定时请记住这一点。

如果您想要更高的 CPU 性能来满足具有相当数量流量的标准数据库，您可能需要考虑使用具有 2-4 个 vCPU 和 8-16 GiB RAM 的标准类实例。m6g 实例的广告宣传比旧的 m5 实例具有高达 40% 的更优价格性能比，因此当查看标准实例时，它们通常是更好的选择。考虑到这一点，db.m6g.large 和 db.m6g.xlarge 实例是此类实例类型的良好起始选择。

内存优化的数据库实例主要在您知道您必须将大型数据集加载到内存中时才有用。这可能是因为您的表包含许多记录，或者因为您经常查询大量列。如果您大量使用 PostgreSQL 的 JSON 列，这可能是需要考虑的事情。话虽如此，最好从更标准的配置开始，如果发现这些资源不足，则更改实例类。

选择存储类型

RDS 提供三种不同类型的存储，它们适用于不同的场景

• 通用型 SSD (gp2)：这是标准的固态硬盘选择。您的存储设备可用的 IOPS（每秒输入/输出操作数）与您分配的空间大小直接相关。基线 IOPS 设置为每分配 1 GiB 3 IOPS，并且能够在短时间内突发到 3,000 IOPS。
• 预置 IOPS SSD (io1)：此选项允许您将存储空间量与分配给数据库的 IOPS 解耦。
• 磁性：磁性存储使用传统的旋转磁盘而不是 SSD。

一般来说，几乎总是最好从通用型 SSD 选项开始。这允许您设置所需的空间量并在 SSD 上部署数据库。磁性选项很少是一个好的选择，因为它速度较慢且限制为 1000 IOPS。

如果您已经执行了相当强大的应用程序分析，并且对您的环境在各种工作负载下生成的 IOPS 量有很好的了解，那么预置 IOPS SSD 是一个不错的选择。由于缓存和其他可以减少实际命中驱动器的操作量的机制，这也往往是一个低于预期的数字。通常，将其视为一种高级选择，一旦您有长时间运行精确配置的经验，它可能会变得合适。

选择初始存储空间

选择存储类型后，选择要分配的存储量。这也高度依赖于您的应用程序。然而，一般来说，人们倾向于高估他们一开始需要的空间量。从低开始，并记住您可以随时向上扩展。

配置自动扩展

接下来，选择是否启用自动扩展。此选项允许您的存储空间随使用量自动扩展。这通常是一个好主意，因为它允许您以较小的初始分配量开始以获得更实惠的价格，然后在数据增加时自动增加存储空间。您可以配置最大扩展量，以确保您的扩展量不会超出您的承受能力。

一般来说，通常足以从 20 到 100 GiB 的任何位置开始作为您的初始分配（通常取决于什么为您提供足够的 IOPS），然后将您的最大存储阈值设置为您愿意支付的最大大小。

配置 VPC

当要求您选择将要部署数据库的虚拟私有云 (VPC) 时，通常最好将其部署到新的 VPC 或包含将访问它的应用程序的 VPC 中。通常不建议部署到默认 VPC，因为这意味着您的数据库将受到您对默认网络环境所做的任何调整的影响。

选择子网组

接下来，您需要选择子网组。这将定义 VPC 内可以部署数据库的 IP 范围。通常，在这里创建一个新组也是一个好主意。

决定是否允许公有访问

您必须做出的最重要的选择之一是是否允许对数据库实例进行公有访问。这很大程度上取决于您的安全要求以及您配置对数据库的特殊访问权限的能力。

最安全的方法是关闭公有访问。这将仅允许在与您的数据库相同的网络环境中部署的实例（或通过这些实例）访问您的数据库。要从外部访问您的数据库，您需要配置跳板机或互联网网关，并通过外部访问进行身份验证并将外部连接路由到您的数据库。如果您不熟悉配置基础设施或管理网络规则，这可能是一项重要的任务。

另一种方法是允许公有访问。这将使您的数据库实例可以从公共互联网访问。它的安全性较低，因为任何人都可以尝试连接到您的数据库，但它确实允许从外部连接进行更简单的访问模型。如果您选择此选项，请确保您的所有数据库密码都非常强，并经常轮换。您可能会在日志中看到外部尝试访问您的服务，因此密码强度至关重要。

是否启用公有访问的选择比最初看起来更复杂。如果您启用公有访问，您仍然可以锁定对一组特定外部 IP 地址的访问，并提供其他配置点来过滤掉非法的连接尝试。总的来说，最好选择您在长期内最有可能支持的最安全配置。

选择 VPC 安全组

VPC 安全组控制用于连接到其中部署的实例的访问规则。这些基本上是类似防火墙的访问控制策略，有助于限制可以与您的数据库实例建立的连接类型。

创建一个新的 VPC 安全组，除非您已经为生产数据库目的配置了一个。选择一个名称，当在 AWS 控制台中显示时，该名称将帮助您记住安全组的重点和角色。

选择可用区和端口

您可以选择当前区域中要将数据库实例部署到的可用区。如果您没有偏好，请随意选择“无偏好”。

如果您打开“其他配置”选项，您可以选择更改 PostgreSQL 将监听的端口。更改此端口可以帮助减轻开放实例连接日志中的一些干扰，但它不会提供任何显着的安全改进，并且可能会使连接更加繁琐。

数据库选项

第一个附加部分允许您为 PostgreSQL 配置一些其他选项

如果您愿意，您可以选择让 RDS 为您的部署自动创建一个初始数据库。这通常是不必要的，因为您运行的任何迁移或其他设置脚本通常会在实例中创建必要的数据库结构。

您有时还可以为您的实例选择一个数据库参数组。此处的多个选择可能不可用，具体取决于您之前所做的选择以及您是否在创建过程之外配置了参数组。当存在时，它们允许您更改应用于此实例的 PostgreSQL 参数。

PostgreSQL 不支持选项组，因此该下拉菜单将不会处于活动状态。

备份

接下来，您可以配置与自动数据库备份相关的选项

如果您要启用自动备份，请选中启用自动备份框。这将告诉 AWS 自动为您的数据库实例拍摄每日时间点快照，您可以从中恢复。值得注意的是，虽然此页面上未提及，但备份将存储在 AWS 的简单存储服务 (S3) 中，并且您将需要为它们占用的空间付费。

默认情况下，备份设置为 7 天的保留期，这意味着您将能够恢复在过去 7 天内拍摄的数据库快照。如果您正在使用此功能，您可能需要将保留期增加到 14 天，以便有更多时间来捕获不需要的更改。但请记住，增加保留期将导致额外的存储成本增加。

如果您对何时进行备份有任何偏好，您可以选择适当的时间窗口，否则，保留“无偏好”是安全的。

保持选中“将标签复制到快照”以使其更容易在 S3 中找到合适的快照。

如果您想要额外的保护，您还可以选择备份复制以将您的更改自动复制到不同的 AWS 区域。这将允许您从不同的区域快速恢复，但会增加您的 S3 存储成本和数据传输成本。

加密

接下来，您可以为您的数据库实例配置磁盘上的加密

几乎总是建议为您的实例启用加密以获得额外的安全性。

一般来说，您可以为此使用默认的 AWS KMS 密钥，除非您有其他要求，例如加密到不同 AWS 账户使用的密钥。

性能洞察

接下来，为您的实例配置性能洞察

性能洞察是一项功能，可帮助您调试 RDS 实例中的性能问题。默认情况下，洞察数据将免费保留 7 天。或者，您可以选择 2 年的长期存储，具体费用取决于您的 CPU 实例类型，详情请参阅定价。

同样，您可以为此加密保留默认的 AWS KMS 密钥，除非您有特殊要求。

监控和日志

接下来，您可以配置数据库的监控和日志

一般来说，启用监控有助于您更好地了解数据库实例及其性能。

至于导出日志，除非您需要，否则通常可以默认禁用此功能。您的应用程序日志通常会在需要时显示特定于数据库的信息，但如果您发现 PostgreSQL 日志导出有帮助，您可以随时启用它。日志将导出到 AWS CloudWatch Logs。

维护和删除保护

维护和删除保护部分完成了其他配置

通常认为可以自动升级 PostgreSQL 的次要版本是安全的。次要版本应该没有重大更改，并且升级应该相对无缝地执行。如果您有偏好，请选择升级窗口。

始终建议为您的生产数据库启用删除保护。这可以防止您意外删除数据库实例，因为它要求您在成功处理删除之前恢复此选项。对于大多数用例，没有合理的理由选择退出此选项。

查看自动生成的密码

如果您配置 AWS 自动生成密码，您将在屏幕顶部看到如下通知

单击查看凭证详细信息以获取密码

请注意，这是您唯一一次可以访问此密码，如果您丢失了密码，则必须重新生成密码。

查看其他连接信息

对于其余连接信息，请单击实例名称。

在连接和安全性选项卡中，您可以在左侧找到数据库的端点和端口号

在此示例中，我们的端点名称（主机的 URL）是 production-db1.cddm7tgh3j5j.us-east-1.rds.amazonaws.com，我们的数据库正在 PostgreSQL 的标准端口 5432 上监听。

要查找您配置的主用户名（如果您没有修改，这将是 postgres），请访问配置选项卡，并在可用性标题下查找主用户名字段

如果您配置了初始数据库，您还可以在同一选项卡的左侧找到初始数据库的名称。

有了这些信息，您就可以连接到您的 PostgreSQL 实例。例如，要连接到此处显示的实例，您可以使用以下连接 URI

postgresql://postgres:Pa38iSJWm8qtq90LnmZ8@production-db1.cddm7tgh3j5j.us-east-1.rds.amazonaws.com:5432/postgres

您可以从我们的 PostgreSQL 连接 URI 指南中了解有关如何从连接详细信息构建连接 URI 的更多信息。