Přeskočit na hlavní obsah

Přístupy do databází

Pokud nám poskytujete přístup do svých databází, je možné využít následující způsoby.

Uživatelské účty

Nejčastěji nám poskytujete přístup do svých databází pomocí uživatelských účtů. Tyto účty by měly mít omezená oprávnění, aby minimalizovaly riziko neoprávněného přístupu. Doporučujeme vytvořit pro nás samostatný účet s oprávněními pouze pro čtení, pokud je to možné. Pokud potřebujeme provádět změny ve vaší databázi (např. vytvoření on-premise datového skladu), obvykle to řešíme samostatným účtem s vyššími oprávněními ale pouze pro konkrétní instace/databáze či schémata. Pokud jsme vás nepožádali o něco jiného, vytvořte pro nás účet s oprávněními pouze pro čtení.

Produkční databáze vs repliky

Pokud je to možné, doporučujeme nám poskytnout přístup do repliky vaší produkční databáze namísto přímého přístupu do produkční databáze. Tímto způsobem můžeme minimalizovat riziko ovlivnění výkonu vaší produkce a zároveň nám umožní pracovat s téměř aktuálními daty.

Zabezpeční přístupu

Tailscale VPN

Tailscale VPN je bezpečný a jednoduchý způsob, jak nám poskytnout přístup do vaší databáze. Tailscale vytváří zabezpečenou síť mezi našimi zařízeními a vašimi systémy, což nám umožňuje připojit se k vaší databázi, aniž bychom museli otevírat přímý přístup z internetu. Na požádání vám poskytneme kód pro připojení do naší Tailscale sítě.

SSH tunel

Další bezpečný způsob, jak nám poskytnout přístup do vaší databáze, je pomocí SSH tunelu. Tento způsob nám umožňuje připojit se k vaší databázi přes zabezpečený kanál, aniž bychom museli otevírat přímý přístup k databázi z internetu. Pokud nám poskytnete SSH tunel, doporučujeme nastavit ho tak, aby přesměroval pouze na konkrétní port, který používá vaše databáze, a omezit přístup pouze na vybrané IP adresy.

Jiná VPN řešení

Pokud již používáte jiné VPN řešení (OpenVPN, WireGuard, Fortinet, ...), které umožňuje bezpečný přístup do vaší databáze, můžeme ho pravděpodobně využít. Důležité je, aby přístup byl zabezpečený a umožňoval nám připojit se k vaší databázi z různých systémů.

Jiné způsoby (přímý přístup z internetu, SQL dump, ...)

Jiné způsoby přístupu nejsou ideální - buď nejsou pro běžnou činnost dostatečně pružné nebo nejsou dostatečně bezpečné. V takovém případě řešíme přístup individuálně.

Další nastavení

Pokud máte v databázi nastaveno CDC (Change Data Capture) nebo podobný mechanismus pro sledování změn, doporučujeme nám poskytnout přístup i k těmto funkcím. To nám umožní efektivněji pracovat s vašimi daty a přenášet pouze změny namísto celé databáze.

Pokud CDC nemáte, zpracováváme data z vaší databáze obvykle pomocí kombinace pravidelných plných načítání a sledování změn pomocí last updated nebo row hash sloupců.

Pozor: V PostgreSQL nejsou funkce pro hashování řádků standardně dostupné a je potřeba je doinstalovat pomocí rozšíření pgcrypto. Požádejte svého správce databáze o instalaci tohoto rozšíření, pokud ho ještě nemáte.

Společně s předáním přístupů nám prosím poskytněte i časová okna, kdy není vhodné k vaší databázi přistupovat (např. kvůli údržbě, zálohování, ...). Pokud nám poskytnete přístup do repliky vaší produkční databáze, obvykle nám stačí vědět, kdy se replika aktualizuje, abychom mohli plánovat načítání dat.