Database Services
Mit den "Database Services" können Kunden auf Basis unterschiedlicher Datenbank-Technologien und Service-Modellen ihre Geschäftsdaten in Datenbanken speichern und verwalten.
| Service Name | Service Kurzbeschreibung |
|---|---|
| Managed xSQL-Instance | Eine durch Inventx vorkonfigurierte und gemanagte MSSQL- oder MariaDB-Instanz mit optionalem Datenbankbetrieb. |
| Managed noSQL-Instance | Eine durch Inventx vorkonfigurierte und gemanagte noSQL-Instanz. |
Managed xSQL-Instance
Der Service "Managed xSQL-Instance" basiert auf dem Service Virtual Machine. Auf der VM wird zusätzlich ein SQL-Server sowie eine SQL-Instanz nach Herstellerangaben und Best-Practice von Inventx installiert, konfiguriert und betrieben.
Optional zu diesem Service übernimmt Inventx das Datenbank-Management.
Service Architektur
Siehe Service Architektur vom Service Virtual Machine.
Service Umfang
| Leistungsmerkmal | Leistungsbeschreibung |
|---|---|
| Lizenzierung | Siehe Lizenzierung |
| Berechtigungen | Der Kunde erhält keine administrativen Rechte auf der Instance. Er wird als DBO (Database Owner) auf den einzelnen Datenbanken berechtigt. |
| Datenbank-Management | Der Kunde kann innerhalb der Datenbank-Instanz selber Datenbanken anlegen und muss diese selber betreiben. Inventx erbringt keine Wartungsleistungen für solche Datenbanken. |
| Datenbank-Backup (T-Log) | Datenbank-Backup |
| Datenbank-Restore | Datenbank-Restore |
| Datenbank-Clone | Datenbank-Clone |
| ON/OFF der VM | Für einen reibungslosen Betrieb dieses Services durch Inventx, darf der Kunde die VM nicht ein- und ausschalten. |
| Authentifizierung | MS-SQL: Die Authentifizierung erfolgt via Active Directory (NTLM oder Kerberos). Die Authentifizierung via SQL-User muss als Security Ausnahme (Security Exception) beantragt werden. PostgreSQL, Mariadb: Die Authentifizierung erfolgt via SQL-User. |
PaaS MSSQL Instanz:
aus sicherheits- und betriebsrelevanten Gründen steht der MSSQLAgent für etwaige Automatisierungen
nicht zur Verfügung.
Service Optionen
Im Rahmen des Managed xSQL-Instance Service stehen den Kunden mehrere Technologien mit spezifischen Zusatzeigenschaften wie folgt zur Verfügung:
Lizenzierung
Inventx deckt bei diesem Service auf jeden Fall die Lizenzierung des Betriebssystems des virtuellen Servers ab (siehe Virtual Machine). Bei der Lizenzierung des Database Servers gilt wie folgt:
| Lizenzverantwortung | Inventx | Kunde |
|---|---|---|
| Betriebssystem virtueller Server | ◼ | ⁃ |
| Microsoft SQL Server | ⁃ | ◼ |
| MariaDB Server | ◼ | ⁃ |
| PostgreSQL Server | ⁃ | ⁃ |
- Optional und nach Vereinbarung zwischen Kunde, Inventx und Microsoft sind "Lizenzmobilitäts-Programme" möglich. Diese müssen zwischen den Parteien individuell ausgearbeitet werden.
- Bei Verwendung von mehr als 16 CPU oder mehr als 128 GB RAM ist zwingend eine Microsoft SQL Enterprise Edition notwendig.
Hardware-Typen und Hardware-Profile
Sämtliche Hardware-Profile des Hardware-Typen "Standard" gemäss Service Virtual Machine stehen zur Auswahl bereit.
Die Hardware-Profile der Hardware-Typen "Highclock" und "GPU" stehen nicht zur Verfügung.
Datenbank-Technologien
Dem Kunden stehen folgende Datenbank-Technologien bei diesem Service zur Verfügung:
| Datenbank-Technologie | Community | Developer | Standard | Enterprise |
|---|---|---|---|---|
| Microsoft SQL Server 2019 | ◼ | ◼ | ◼ | |
| Microsoft SQL Server 2022 | ◼ | ◼ | ◼ | |
| MariaDB 10.6 als Managed Service | ◼ | |||
| MariaDB 11.8 als Managed Service | ◼ | |||
| PostgreSQL 15.0 | ◼ | ◼ | ||
| PostgreSQL 16.0 | ◼ | ◼ | ||
| PostgreSQL 17.0 | ◼ | ◼ |
Datenbank-Backup
Mit dem Datensicherungs-Service für Datenbanken (Datenbank-Backup) speichert Inventx die Datenbanken des Kunden mit dem Ziel ab, dass die Datenbanken im Falle einer IT-Katastrophe, eines Datenverlusts oder eines Datenfehlers wiederhergestellt werden können.
MS-SQL
Die Datenbanken werden via Service Agent des Backup Service gesichert, dieser Agent Service wird mit gMSA registriert. Der gMSA wird für jede PaaS Instance dediziert generiert und hat auf der MS-SQL Instance die Notwendigen Berechtigungen laut Hersteller.
PostgreSQL, MariaDB, MongoDB
Die Datenbanken werden auf ein NFS-Share des Backup Service gesichert. Der Backup Service triggert die Backupfunktionen der Datenbank Instance Remote über SSH an. Die Sicherung erfolgt auf einem dedizierten Verzeichnis des NFS-Share.
| Datenbank-Backup | MSSQL | MariaDB | PostgreSQL |
|---|---|---|---|
| Standort | gemäss SLA | gemäss SLA | gemäss SLA |
| Intervall | |||
| täglich | täglich | täglich | |
| - | ⁃ | ⁃ | |
| alle 15min | - | - | |
| - | alle 15min | alle 15min | |
| Aufbewahrungsdauer | |||
| ◼ | ◼ | ◼ | |
| ◼ | ◼ | ◼ | |
| ◼ | ◼ | ◼ | |
| ◼ | ◼ | ◼ | |
| On-Demand Backup | ◼ | ◼ | ◼ |
Datenbank-Restore
Falls die Datenbanken gesichert werden (siehe Datenbank-Backup), können diese auf Basis der verfügbaren Sicherungskopien per "Generic Request" wie folgt wiederhergestellt werden:
| Datenbank-Restore | MSSQL | MariaDB | PostgreSQL |
|---|---|---|---|
| Datenbank Restore | Der Kunde kann einzelne Datenbanken aus dem letzten Full-Backup via "Generic Request" durch Inventx wiederherstellen lassen. | ||
| Bedingungen | Die Datenbank muss mit Transaction-Log und einer gültigen Backup-Aufbewahrungsdauer gemäss Tabelle " Leistungsmerkmale Datenbank-Backup" konfiguriert sein, damit ein Point-in-Time-Recovery umgesetzt werden kann. | ||
Datenbank-Clone
Mit einem Clone wird eine Kopie einer bestehenden Datenbank oder die Kopie von einzelnen Datenbankobjekten erstellt. Inventx stellt die folgenden Varianten zur Verfügung, wobei Clones via "Standard Service Request" kostenpflichtig bestellt werden müssen.
| Datenbank-Clone | Umfang | Beschreibung |
|---|---|---|
| Full | Vollständige DB-Kopie | 1-zu-1 Kopie einer Datenbank, wobei sämtliche Elemente der Datenbank (Schema und Daten) kopiert werden. |
| Structure | DB-Kopie ohne Inhalt | Entspricht grundsätzlich einer 1-zu-1 Kopie, allerdings nur bezogen auf das Layout einer Datenbank. Die Datenbank-Inhalte (Daten, Jobs, Prozeduren etc.) werden bei diesem Verfahren nicht kopiert, sondern nur die Tabellen. |
| Individual | Individueller Umfang | Individueller Umfang, der gemeinsam spezifiziert wird:
|
Ein Cloning bedarf zwingend zwei Datenbanken: Eine Source-DB und eine Target-DB, wobei beide unterschiedliche Namen haben können. Die Source-DB liegt auf einer bestehenden DB-Instanz und muss gesichert werden (aktiver Backup-Service). Als Target-DB kann entweder eine Datenbank auf der DB-Instanz der Source-DB definiert werden oder eine Datenbank auf einer anderen DB-Instanz, wobei diese in derselben Netzwerk-Zone wie die Source-DB betrieben werden muss. Während des Cloning-Prozesses ist die Target-DB nicht verfügbar.
Erweiterte Funktionen
Die folgenden technologiebedingten Zusatzfunktionen stehen dem Kunden optional zur Verfügung.
| Datenbank-AddOns Managed ServiceDatenbank-AddOns Managed Service | MSSQL | MariaDB | PostgreSQL |
|---|---|---|---|
| Always On / DB Clusterung | ◻ | ⁃ | ◻ |
| Security Audit | ◻ | ⁃ | ◻ |
Datenbank-Management
Als optionalen Managed Service übernimmt Inventx auf Basis des hier beschriebenen Service das Datenbank-Management. Dabei gilt folgende Leistungsvereinbarung:
| Leistungsmerkmal | Leistungsbeschreibung |
|---|---|
| Order Management | Neue Datenbanken müssen via "Standard Service Request" bestellt werden. |
| Berechtigung | Übernimmt Inventx die Betriebsverantwortung für die Datenbanken, so entzieht Inventx dem Kunden die Berechtigungen auf der xSQL-Instanz. |
| Datenbank-Deplyoment | Es erfolgt vor dem Deployment einer neuen Datenbank eine Prüfung von Inventx, ob diese auf der bestehenden Datenbank-Instanz betrieben werden kann oder ob eine neue Datenbank-Instanz erstellt werden soll. |
| Datenbank-Betrieb |
Inventx stellt im Rahmen der ordentlichen Betriebsverantwortung folgende Leistungen sicher, wobei teils Leistungen separat kostenpflichtig sind (Change oder Service Request):
|
| Erweitere Leistungserbringung | Zusätzliche Arbeiten zur Leistung Datenbank-Betrieb (z.B. Performance-Analysen) können durch Inventx erbracht werden. Diese muss der Kunde jedoch einzeln via Change Request beauftragen und werden in Regie (Time & Material) abgerechnet. |
PostgreSQL HA Managed Service
Mit dem PostgreSQL HA Cluster steht eine PostgeSQL Hochverfügbarkeitslösung als Managed Service zur Verfügung.
Der PostgreSQL HA Cluster wird als 2 Nodes (active,passive read only) PostgreSQL Managed Service mit virtueller IP auf Basis eines lizenzpflichtigen Failover Managers bereitgestellt.
Die Cluster Nodes werden auf Basis des PostgreSQL Managed Service bereitgestellt und betrieben.
Der Cluster muss via Change Request bestellt werden.
Service Architektur
Service Umfang
| PostgreSQL HA Cluster Node | Beschreibung |
|---|---|
| Primary | Aktive Node für Schreibvorgänge und Lesevorgänge. Virtuelle IP ist dieser Node zugeordnet. |
| Standby | Standby für den Failover Fall. Passive Node für Lesevorgänge |
Managed noSQL-Instance
Der Service "Managed noSQL-Instance" basiert auf dem Service Virtual Machine. Auf der VM werden die Server Binaries sowie die Instanz nach Herstellerangaben und Best-Practice der Inventx installiert, konfiguriert und betrieben.
Mit zunehmenden Datenwachstum und dem Anspruch Daten flexibel und skalierbar handhaben zu können sind parallel zu den herkömmlichen Relationale-Datenbank-Management-Systemen (RDBMS) noch weitere Datenbank Management Systeme (DBMS) herangewachsen die sich grundlegend von den RDBMS-Systemen unterscheiden. NoSQL DBMS zeichnen sich durch ihre horizontal und vertikale Skalierbarkeit aus, in der Regel sind noSQL Systeme Schemafrei, weswegen Sie sich im Big Data Umfeld und dem Aufbau von Geo-Redundanten Hochverfügbaren – DBMS Clustern eigenen. NoSQL System können i.d.R. nicht nur mit SQL-Syntax umgehen, sie sind oft auch in der Lage eine Vielzahl Unterschiedlicher und Anwendungsspezifische Syntax zu verwenden.
Service Architektur
Siehe Service Architektur vom Service Virtual Machine.
Service Bereitstellung
Die Host Instanz muss als «Managed OS» Instanz im IX-Portal bestellt werden.
Die Bestellung der MongoDB Community ist mittels «Standard ServiceRequest» zu beauftragen.
Service Umfang
| Leistungsmerkmal | Leistungsbeschreibung |
|---|---|
| Lizenzierung | Siehe Lizenzierung |
| Berechtigungen | Der Kunde erhält keine administrativen Rechte auf der Instance. Er wird als DBO (Database Owner) auf den einzelnen Datenbanken berechtigt |
| Datenbank-Management | Der Kunde kann innerhalb der Datenbank-Instanz selber Datenbanken anlegen und muss diese selber betreiben. Inventx erbringt keine Wartungsleistungen für solche Datenbanken. |
| Datenbank-Backup | Siehe Datenbank-Backup |
| Datenbank-Restore | Siehe Datenbank-Restore |
| Datenbank-Clone | Siehe Datenbank-Clone |
| ON/OFF der VM | Für einen reibungslosen Betrieb dieses Services durch Inventx, darf der Kunde die VM nicht ein- und ausschalten. |
| Authentifizierung | Die Authentifizierung erfolgt via SQL-User. |
Service Optionen
Im Rahmen des Managed noSQL-Instance Service stehen die folgenden Optionen zur Verfügung.
Lizenzierung
Inventx deckt bei diesem Service auf jeden Fall die Lizenzierung des Betriebssystems des virtuellen Servers ab (siehe Virtual Machine). Bei der Lizenzierung des Database Servers gilt wie folgt:
| Lizenzverantwortung | Inventx | Kunde |
|---|---|---|
| Betriebssystem virtueller Server | ◼ | ⁃ |
| MongoDB 7 als Managed Service | ⁃ | ⁃ |
| MongoDB 8.0 als Managed Service | ◼ | ◼ |
| MongoDB 8.2 als Managed Service | ◼ | ◼ |
Hardware-Typen und Hardware-Profile
Sämtliche Hardware-Profile des Hardware-Typen "Standard" gemäss Service Virtual Machine stehen zur Auswahl bereit.
Die Hardware-Profile der Hardware-Typen "Highclock" und "GPU" stehen nicht zur Verfügung.
Datenbank-Technologien
Dem Kunden stehen folgende Datenbank-Technologien bei diesem Service zur Verfügung:
| Datenbank-Technologie | Community | Enterprise |
|---|---|---|
| MongoDB 7 als Managed Service | ◼ | - |
| MongoDB 8.0 als Managed Service | ◼ | ◼ |
| MongoDB 8.2 als Managed Service | ◼ | ◼ |
Für externe Endkunden steht ausschliesslich die Enterprise Edition (EE) zur Verfügung. Aufgrund einer Lizenzänderung des Herstellers (SSPL) ist es uns nicht mehr möglich, die Community Edition (CE) externen Kunden bereitzustellen.
mongo/LICENSE-Community.txt at master · mongodb/mongo · GitHub
Datenbank-Backup
Mit dem Datensicherungs-Service für Datenbanken (Datenbank-Backup) speichert Inventx die Datenbanken des Kunden mit dem Ziel ab, dass die Datenbanken im Falle einer IT-Katastrophe, eines Datenverlusts oder einer Fehlmanipulation wiederhergestellt werden können.
| Datenbank-Backup | MongoDB |
|---|---|
| Standort | gemäss SLA |
| Intervall | |
| täglich | |
| ⁃ | |
| ⁃ | |
| ⁃ | |
| Aufbewahrungsdauer | |
| ◼ | |
| ◼ | |
| ◼ | |
| ◼ | |
| On-Demand Backup | ⁃ |
Datenbank-Restore
Falls die Datenbanken gesichert werden (siehe Datenbank-Backup), können diese auf Basis der verfügbaren Sicherungskopien per "Generic Request" wie folgt wiederhergestellt werden:
| Datenbank-Restore | MongoDB |
|---|---|
| Datenbank Restore | Der Kunde kann einzelne Datenbanken aus dem letzten Full-Backup via "Generic Request" durch Inventx wiederherstellen lassen. |
Datenbank-Clone
Mit einem Clone wird eine Kopie einer bestehenden Datenbank oder die Kopie von einzelnen Datenbankobjekten erstellt. Inventx stellt die folgenden Varianten zur Verfügung, wobei Clones via "Standard Service Request" kostenpflichtig bestellt werden müssen.
| Datenbank-Clone | Umfang | Beschreibung |
|---|---|---|
| Full | Vollständige DB-Kopie | 1-zu-1 Kopie einer Datenbank, wobei sämtliche Elemente der Datenbank (Schema und Daten) kopiert werden. |
Ein Cloning bedarf zwingend zwei Datenbanken: Eine Source-DB und eine Target-DB, wobei beide unterschiedliche Namen haben können. Die Source-DB liegt auf einer bestehenden DB-Instanz und muss gesichert werden (aktiver Backup-Service). Als Target-DB kann entweder eine Datenbank auf der DB-Instanz der Source-DB definiert werden oder eine Datenbank auf einer anderen DB-Instanz, wobei diese in derselben Netzwerk-Zone wie die Source-DB betrieben werden muss. Während des Cloning-Prozesses ist die Target-DB nicht verfügbar.
Managed Service Database Security Audit
Die Audits werden durch SQL interne Funktionen erzeugt und auf dem Filesystem abgelegt. Diese Audits werden an einen Splunk Loadbalancer im Tennant des Kunden weitergeleitet.
Service Architektur
Service Umfang
Obligatorisches Database Security Audit
| Security Audit | Beschreibung |
|---|---|
| Audit Logins |
- Alle User Succsess/Faild Logins - Logout |
Das obligatorische Security Audit wird per Default auf jeder Instanz installiert und kann nicht deaktiviert werden.
Optionales Database Security Audit
| Security Audit | Beschreibung |
|---|---|
| Audit Privileges |
- Alle Create/Delete/Grant/Revoke System Privileges - Alle Create/Delete/Grant/Revoke Database Privileges |
| Audit Systemsettings |
- Alle Audit Policies Änderungen - Alle Instance Anpassungen |
| Audit Activity high Privileged User |
- Alle DDL-Aktionen von User mit hohen Rechten inkl. Datenbankadministratoren Das Audit erfolgt Top Level nur auf Meta Daten der Query - Alle DML-Aktionen von User mit hohen Rechten inkl. Datenbankadministratoren Das Audit erfolgt Top Level nur auf Meta Daten der Query |
Das optionale Security Audit wird per Default auf jeder Instanz installiert und bei bedarf deaktiviert werden. Dies wird im Audit bei Deaktivierung erfasst und in der Konfiguration des Managed Service in Portal dokumentiert.
IT Grundschutz Database Service
Patch Management
- Die Patches werden alle 4 Wochen in 3 Waves deployed
- Systeme, die nicht automatisch gepatcht werden können, werden monatlich manuell gepatcht. Der Patch-Vorgang und alle relevanten Informationen werden im Confluence dokumentiert.
- Beim Emergency Patching wird eine identifizierte kritische Schwachstelle umgehend gepatcht.
Logging
- Die Systeme werden durch unser Monitoring protokolliert, einschliesslich Event-Logs, Login's und Aufzeichnungen von Administratorenkonten.
- Die Logs werden 90 Tage online gespeichert, Statistiken werden 360 Tage vorgehalten.
- Eine Überwachung stellt sicher, dass die Log's fortlaufend aufgezeichnet werden. Im Fehlerfalle wird automatisch eine Ticket an den Betrieb gesendet.
Malware Schutz
- Der Malware Schutz wird mit dem Schutz über das Operating System sichergestellten.