在 Couchbase UI 中的 Server(服务器)标签页主要用于管理和监控集群中的各个节点。以下是 Server 标签页的主要内容和功能介绍:
1. 节点列表
显示集群中所有节点的列表,每个节点的详细信息包括:
- 节点地址:节点的 IP 地址或主机名。
- 节点角色:该节点在集群中的角色(如数据服务、索引服务、查询服务等)。
- 健康状态:显示节点的运行状态(绿色代表健康,红色代表异常)。
- 分配的服务:该节点运行的服务(如 Data、Index、Query、Analytics 等)。
2. 资源使用情况
针对每个节点的资源使用情况进行展示:
- CPU使用率:实时显示该节点的 CPU 使用情况。
- RAM使用量:包括总内存、已分配内存和可用内存。
- 磁盘使用量:显示磁盘空间的使用情况,包括数据存储和日志文件占用的大小。
- 网络流量:上传和下载的数据速率(如数据同步流量)。
3. 节点操作
提供针对单个节点的操作选项:
- Failover(故障转移):
手动将一个节点标记为故障,并从集群中移除。 - Rebalance(重新平衡):
当节点状态发生变化(如新增或移除节点)时,可以重新分配数据。 - Remove(移除节点):
从集群中删除某个节点。 - Add Server(添加节点):
将新节点加入到集群。
4. 节点服务分布
展示各个节点的服务分布情况,主要包括:
- Data Service:负责存储和访问数据。
- Index Service:用于索引管理和查询优化。
- Query Service:执行 N1QL 查询。
- Analytics Service:用于复杂的数据分析。
- Search Service:提供全文搜索功能。
- Eventing Service:用于触发和执行事件驱动的逻辑。
5. 集群资源概览
在页面顶部或侧边,会显示整个集群的资源汇总信息,包括:
- 总内存和使用情况。
- 总磁盘空间和使用情况。
- 当前运行的总操作数(OPS)。
- 每秒的数据读取和写入操作速率。
场景应用
- 运维人员可以在这个页面监控集群健康状态、资源使用情况,并快速响应节点故障。
- 管理员可以通过节点操作调整集群规模(如添加节点或移除节点)。
在 Couchbase UI 的 Server 标签页中,可能会看到关于 Node-to-Node Encryption (节点间加密) 的状态,比如显示为 off 或 on。以下是关于 Node-to-Node Encryption 的详细介绍:
Node-to-Node Encryption 的含义
Node-to-Node Encryption 是一种安全功能,用于加密 Couchbase 集群中各节点之间的通信。它确保数据在网络传输过程中不被拦截或篡改,从而提高集群通信的安全性。
当 Node-to-Node Encryption 设置为 off 时:
- 节点之间的通信是明文传输的,没有加密保护。
- 可能在不安全的网络环境下(如公网部署)存在数据泄露风险。
当 Node-to-Node Encryption 设置为 on 时:
- Couchbase 集群会使用 TLS(传输层安全协议)对节点之间的所有通信进行加密。
- 提供数据在网络传输过程中的机密性和完整性。
在哪些情况下需要启用 Node-to-Node Encryption
- 安全性要求高的环境:如生产环境,特别是云部署或跨数据中心通信时。
- 敏感数据保护:如果传输数据中涉及敏感信息(如用户数据或财务数据),启用加密是必要的。
- 满足合规性:某些法规(如 GDPR、HIPAA)要求对网络传输的数据进行加密。
如何启用 Node-to-Node Encryption
-
通过 Couchbase UI 配置:
- 转到 Security(安全) 页面。
- 在 Cluster Encryption 部分中,找到 Node-to-Node Encryption 设置。
- 开启加密后,系统会提示重新平衡集群(Rebalance)以应用更改。
-
通过 CLI 或 REST API 配置:
- 使用 Couchbase CLI 命令:
couchbase-cli setting-security -c <cluster-url> -u <username> -p <password> --set-node-to-node-encryption --enable - 通过 REST API 调用相应的安全配置端点。
- 使用 Couchbase CLI 命令:
-
配置 TLS 证书:
- 启用加密需要为每个节点配置 TLS 证书。可以使用 Couchbase 自签名证书或导入自定义证书。
注意事项
- 启用 Node-to-Node Encryption 可能会增加节点间通信的开销(加密和解密过程),但在大多数情况下性能影响有限。
- 如果集群已经运行,启用加密需要重新平衡(Rebalance),可能会短暂影响服务。
- 确保所有节点运行相同的 Couchbase 版本并支持加密功能。
如果您的 Couchbase 集群目前显示 Node-to-Node Encryption: off,且部署在不安全网络中或传输敏感数据,建议尽快开启加密以确保数据安全。
在 Couchbase 中开启节点间的加密 (Inter-Node Encryption) 不会直接影响已有的历史数据传输,因为加密主要作用于 节点之间的新通信数据,并不改变已经存储在磁盘上的数据。然而,在开启节点间加密时,需要注意以下几点以及可能的调整:
影响与注意事项
-
历史数据无需迁移或修改:
- 历史数据存储在 Couchbase 的磁盘文件中,与节点间的加密无关。启用加密不会触及或改变这些数据。
-
性能开销:
- 开启节点间加密会引入一定的 CPU 和网络性能开销,尤其是在高流量的数据集群中。需要监控性能指标以评估是否需要调整资源配置(如增加节点或提升硬件性能)。
-
集群重启或服务中断:
- 启用节点间加密可能需要重新配置集群,有可能需要重启服务。在生产环境中执行时,应提前规划好维护窗口以避免中断业务。
-
客户端与服务器通信:
- 如果客户端也需要与 Couchbase 进行加密通信(如 SDK 连接),需要确认客户端的配置是否启用了 TLS,并将其与服务器端加密策略保持一致。
启用节点间加密需要的改动
-
更新配置文件:
- 在每个 Couchbase 节点上,通过修改
couchbase-server的配置文件或使用 Couchbase CLI 来开启加密。
示例:
couchbase-cli setting-security --cluster <cluster-name> \ --username <admin> --password <password> \ --node-to-node-encryption on - 在每个 Couchbase 节点上,通过修改
-
证书管理:
- 如果使用的是 自签名证书 或 内部 CA,需要在所有节点上安装和信任相关的证书链。证书管理可以通过 Couchbase 自带工具完成:
couchbase-cli ssl-manage \ --upload-cluster-ca \ --cluster <cluster-name> --username <admin> --password <password> \ --cert-path <path-to-ca-cert> -
验证加密状态:
- 启用加密后,可以通过 Couchbase Web UI 或 CLI 查看加密是否已生效。加密启用后,节点间的通信(如数据复制、索引更新等)将使用 TLS。
-
性能监控与资源调整:
- 随着加密的启用,可能需要调整集群的 RAM 配置或增加节点以应对加密引入的性能损耗。
通过 Couchbase 自带的性能监控工具,观察指标如 CPU 使用率、延迟、数据传输速率等。
- 随着加密的启用,可能需要调整集群的 RAM 配置或增加节点以应对加密引入的性能损耗。
总结
- 开启节点间加密不会影响历史数据的传输,也不需要对历史数据进行任何改动。
- 需要完成配置文件修改、证书安装和性能监控。
- 在生产环境启用前,建议先在测试环境中验证性能和加密配置的有效性。
Couchbase RAM 配额设置解析:
-
Data Quotas: 14.6 GiB
- 用于存储数据的内存分配。适用于普通数据操作的 bucket,例如存储原始和加工后的业务数据。
-
Index Quotas: 4.29 GiB
- 为索引节点分配的内存,支持快速查询。这部分需要根据查询频率和复杂性调整,确保性能稳定。
-
Search Quotas: 4 GiB
- 用于 Full-Text Search 的内存分配。如果有搜索功能,例如用户输入模糊查询或全文搜索,可以依赖这部分内存。
-
Analytics Quotas: 1 GiB
- 用于分析服务的内存分配,支持复杂的 OLAP 分析查询,例如多维度的报表和聚合任务。
-
Eventing Quotas: 256 MiB
- 用于事件处理的内存分配,适合触发函数或实时计算需求,例如触发异步任务或实时数据转化逻辑。
如果是用于数仓的应用场景,这个配置需要进一步结合实际工作负载优化。比如:
- 如果查询较为频繁,可以增加 Index Quotas 或 Search Quotas 的内存配比。
- 如果对实时事件处理依赖较高,适当提高 Eventing Quotas。
