从 AWS QLDB 迁移：18 个月的教训

为什么 AWS 的建议并非完全是答案

AWS 官方建议将 QLDB 工作负载迁移到 Amazon Aurora PostgreSQL，它通过扩展提供类似账本的功能（见 aws.amazon.com/qldb/faqs）。Aurora 提供详细的审计日志记录和永久日志保留。它不提供加密可验证性。这很重要——加密哈希链是许多团队最初选择 QLDB 的原因。

实际后果是基于 Aurora 的审计日志可以被特权管理员修改。历史存在；防篡改证明不存在。微软自己的 QLDB 客户迁移指南（techcommunity.microsoft.com，从 QLDB 迁移到 Azure SQL Ledger）注意到相同的差距，并将 Azure SQL Ledger 的数据库级账本定位为部分答案——但采用了 QLDB 关闭所暴露的相同单一供应商形式。

替代标准

QLDB 的教训不是云账本不好。是供应商管理的不可变性具有业务决策失败模式。在第二次重建你的完整性管道之前，任何替代品都应该根据三个标准进行评估：

• 你能在没有供应商的情况下验证吗？QLDB 的证明需要 AWS API 访问。如果供应商的服务端点消失，证明也会随之消失。Certyo 的锚点可以直接对 Polygon 进行验证，有或没有 Certyo 的合作。
• 信任锚点是否与云中立？信任根是单一云运营商的账本继承了该运营商的业务路线图。公共区块链和内容寻址存储不共享该失败模式。
• 证明工件是否可移植？如果你的审计员或对手无法在没有访问你的供应商账户的情况下独立验证证明包，那么证明是承诺，不是证据。

四个现实的替代品

实际的替代集很小。每个都有一个档案：

Aurora PostgreSQL 给你审计日志，而不是加密证明。Azure SQL Ledger 给你数据库级完整性，但继承了单一供应商风险。Azure Confidential Ledger 添加了 TEE 隔离，但仍在单一云中运行。Certyo 锚定到 Polygon，并发布无需我们即可工作的证明。四个中没有一个是完美的；其中三个是 QLDB 赌注的版本。

为什么「云原生」是最初的错误

「云原生账本」这个短语在 2019 年听起来很复杂。回想起来，它命名了这个 bug：依赖云的账本的持久性只与云供应商的路线图一样长。账本应该超越它们的运营商。当其供应商停用产品时死亡的账本不是真正的账本——它是具有保留保证的数据库。

诚实的做法是将此迁移视为使下一次迁移不必要的迁移。选择一个证明工件能在替换本身中存活下来的替代品。这很快缩小了范围。

这个教训谁受到最大打击

三个群体需要刻意做出下一个决定：

• 正在迁移中的前 QLDB 客户 — 如果你迁移到了 Aurora，你已经失去了加密可验证性。如果合规范围仍然需要它，你就在借来的时间上运行中间解决方案。
• 评估 ACL 或 Azure SQL Ledger 的团队 — 两者都是活跃的，两者都起作用。两者都继承了单一供应商风险。如果这是你组织可接受的权衡，没问题——但要使其成为一个有意识的决定，而不是默认。
• 采购和财务 — 从预算角度来看，三到五年后的第二次迁移是要防止的失败模式。供应商锁定的替代品和云中立的替代品之间每年的差值很小；迁移风险暴露的差值很大。

这次有什么不同和来源

使后 QLDB 市场不同的是，替代品现在存在了。公链锚定已经成熟。批处理经济学使每条记录成本可以忽略不计。IPFS 内容寻址已准备好用于生产。2019 年没有一个明显是生产级的；现在它们是。支持云中立替代品的诚实论点是 2025 年的迁移在未来是可以避免的。来源：InfoQ — infoq.com/news/2024/07/aws-kill-qldb、AWS FAQ — aws.amazon.com/qldb/faqs、微软迁移指南 — techcommunity.microsoft.com/blog/azuresqlblog/moving-from-amazon-quantum-ledger-database-qldb-to-ledger-in-azure-sql/4246237、DoltHub 替代品 — dolthub.com/blog/2024-08-12-qldb-deprecated-alternatives。另请参阅我们的 /zh/compare/aws-qldb 页面，了解与 Certyo 的直接比较。

当其供应商停用产品时死亡的账本不是账本。它是具有保留保证的数据库。选择能在下次关闭中存活下来的替代品。