Operaciones habituales
| Componente | Qué sale de su VPC |
|---|---|
| Exportador de estado | Estado del servicio (salud y estado) a una cola SQS propiedad de ClickHouse Cloud. |
| Scraper de facturación | Métricas de CPU y memoria a un bucket de S3 propiedad de ClickHouse Cloud. |
| AlertManager | Alertas sobre la salud del clúster a ClickHouse Cloud. |
Acceso para solucionar problemas
Lo que los ingenieros pueden ver
system.query_log— texto de la consulta y metadatos de ejecución de las consultas realizadas en su serviciosystem.tables,system.columnsy tablas del sistema similares — esquema y metadatos- Otras tablas
system.*utilizadas para diagnósticos (p. ej., partes, mutaciones, réplicas)
Lo que los ingenieros no pueden ver
Cómo se controla el acceso
- Aprobación obligatoria: cada solicitud de acceso pasa por un sistema interno de aprobación con aprobadores asignados. Los ingenieros no pueden concederse acceso a sí mismos.
- Certificados con tiempo limitado: se genera un certificado temporal para cada sesión aprobada. El acceso expira automáticamente.
- Autenticación basada en certificados: los certificados sustituyen el acceso basado en contraseña para cualquier acceso humano a instancias de BYOC.
- Solo lectura en las tablas del sistema: la identidad del certificado solo permite leer tablas del sistema.
- No se exportan datos: los logs y los resultados de consultas de las sesiones de solución de problemas nunca se exportan a la infraestructura de ClickHouse.
Auditoría
- Visible para el cliente: cada consulta que ejecuta un ingeniero de ClickHouse en su instancia aparece en su propio
system.query_log, incluido el texto de la consulta y la identidad del certificado. Puede auditarlo directamente desde su servicio de ClickHouse. - Del lado de ClickHouse: el equipo de seguridad de ClickHouse registra y audita internamente todas las solicitudes de acceso, aprobaciones y conexiones de Tailscale.
Controles futuros
- Seguridad de red de BYOC — cómo funcionan Tailscale y los límites de la red
- Privilegios de BYOC — roles de IAM creados durante la configuración de BYOC