【GaussDB國(guó)慶獻(xiàn)禮】GaussDB 100 HA架構(gòu)技術(shù)建議書(1)
1????? 前言
GaussDB 100是一款對(duì)標(biāo)Oracle的OLTP數(shù)據(jù)庫(kù),支持HA和分布式架構(gòu)部署。本文是針對(duì)HA架構(gòu)的技術(shù)建議書,從使用者的角度介紹數(shù)據(jù)庫(kù)的關(guān)鍵技術(shù)點(diǎn)和使用注意事項(xiàng),幫助讀者快速了解數(shù)據(jù)庫(kù)的能力和優(yōu)化數(shù)據(jù)庫(kù)配置,從而達(dá)到最優(yōu)的應(yīng)用效果。
2????? 安裝部署和配置
2.1????? 架構(gòu)
GaussDB 100支持主備復(fù)制(包括級(jí)聯(lián)備)和冷雙機(jī)兩種HA架構(gòu)。主備復(fù)制的方式通過(guò)物理復(fù)制的方式實(shí)現(xiàn)增量同步,是推薦的架構(gòu),下面對(duì)比下兩種架構(gòu)的對(duì)比:
主備復(fù)制
冷雙機(jī)
RTO
同城AZ之間切換時(shí)間小于30s,異地小于2分鐘
3-5分鐘
RPO
同城AZ間為0,異地小于10s
0
存儲(chǔ)類型
本地磁盤或共享存儲(chǔ)
必須用共享存儲(chǔ)
數(shù)據(jù)副本
每個(gè)備機(jī)是一個(gè)副本
數(shù)據(jù)只有一個(gè)副本,存儲(chǔ)需要做RAID
讀寫分離
支持,備機(jī)支持只讀
不支持
雙機(jī)軟件
高斯提供
業(yè)務(wù)提供
浮動(dòng)IP
需要
需要
主備復(fù)制支持一主多備還支持級(jí)聯(lián)備,數(shù)據(jù)最多有9個(gè)副本。級(jí)聯(lián)備是把備機(jī)作為同步的主機(jī),可以減輕主機(jī)的壓力。級(jí)聯(lián)備增加了集群的復(fù)雜度,一般不建議使用。
下面是三種架構(gòu)的示意圖:
冷雙機(jī)
技術(shù)建議:
1.主備復(fù)制是推薦的架構(gòu),支持兩地三中心部署,支持failover檢測(cè)和切換。
2.如果使用冷雙機(jī),需要業(yè)務(wù)提供雙機(jī)監(jiān)控和切換軟件,存儲(chǔ)的高可用由RAID保證。
2.3.6??????? 歸檔模式
商用系統(tǒng)一般使用歸檔模式,主備模式必須使用歸檔模式。
?? 歸檔日志的最大空間占用
需要配置歸檔日志的最大大小,默認(rèn)是16GB,對(duì)應(yīng)系統(tǒng)參數(shù)MAX_ARCH_FILES_SIZE。歸檔日志建議放在磁盤陣列或者單獨(dú)磁盤上,支持配置多個(gè)路徑。
?? 歸檔日志的清理
默認(rèn)情況下,如果數(shù)據(jù)沒(méi)有做過(guò)備份或者沒(méi)有同步到備機(jī),即使歸檔日志空間占用達(dá)到上限后臺(tái)仍然不會(huì)自動(dòng)清理。如果希望強(qiáng)制清理,需要配置對(duì)應(yīng)參數(shù)。
ARCH_CLEAN_IGNORE_STANDBY建議配置為TRUE,否則備機(jī)故障會(huì)導(dǎo)致REDO一直無(wú)法清理;如果不會(huì)定期做物理備份,ARCH_CLEAN_IGNORE_STANDBY需要配置為TRUE,否則會(huì)導(dǎo)致REDO一直無(wú)法清理。
參數(shù)名
描述
默認(rèn)值
建議配置
動(dòng)態(tài)生效
MAX_ARCH_FILES_SIZE
數(shù)據(jù)庫(kù)產(chǎn)生的歸檔日志允許占據(jù)的最大空間。當(dāng)歸檔日志超過(guò)最大容量空間時(shí),系統(tǒng)會(huì)按時(shí)間順序?qū)@些日志進(jìn)行清除。
16G
根據(jù)業(yè)務(wù)產(chǎn)生redo的速度和空間配置
是
ARCH_CLEAN_IGNORE_BACKUP
是否忽略歸檔日志已經(jīng)做過(guò)物理備份
FALSE
如果不做備份,歸檔日志不會(huì)清理
是
ARCH_CLEAN_IGNORE_STANDBY
在歸檔自動(dòng)清理時(shí),是否忽略備機(jī)
FALSE
如果備機(jī)宕機(jī)并且配置為FALSE會(huì)導(dǎo)致歸檔日志無(wú)法清理,建議配置為TRUE
是
技術(shù)建議:
1.推薦使用歸檔模式,有備機(jī)必須使用歸檔模式。
2.歸檔日志建議放在磁盤陣列或者單獨(dú)磁盤上。
3. ARCH_CLEAN_IGNORE_STANDBY建議配置為TRUE,否則備機(jī)故障會(huì)導(dǎo)致REDO一直無(wú)法清理;如果不會(huì)定期做物理備份,ARCH_CLEAN_IGNORE_STANDBY需要配置為TRUE,否則會(huì)導(dǎo)致REDO一直無(wú)法清理。
2.3.7??????? 兼容性配置
下面是涉及不同數(shù)據(jù)庫(kù)兼容性的系統(tǒng)級(jí)配置:
參數(shù)名
描述
默認(rèn)值
建議配置
動(dòng)態(tài)生效
UPPER_CASE_TABLE_NAMES
是否將對(duì)象名稱轉(zhuǎn)為大寫
TRUE
如果要兼容Mysql和Sybase,配置為FALSE,對(duì)象名大小寫敏感
否
EMPTY_STRING_AS_NULL
空串是否等價(jià)于NULL
TRUE
如果要兼容Mysql和Sybase,配置為FALSE,null和空串不等價(jià)
否
ZERO_DIVISOR_ACCEPTED
是否允許除數(shù)為0開關(guān),開啟后如果除數(shù)為0則計(jì)算結(jié)果為NULL,關(guān)閉時(shí)如果除數(shù)為0則直接拋出異常
FALSE
如果要兼容Mysql,配置為FALSE
否
USE_NATIVE_DATATYPE
解決不同數(shù)據(jù)庫(kù)之間的兼容性,豐富數(shù)據(jù)庫(kù)的數(shù)據(jù)類型,GaussDB 100提供參數(shù)USE_NATIVE_DATATYPE用于區(qū)分?jǐn)?shù)值類型的關(guān)鍵詞, 對(duì)一些混淆的數(shù)值類型關(guān)鍵詞進(jìn)行映射。
TRUE
建議配置為True
否
USE_NATIVE_DATATYPE配置為FALSE,類型的映射關(guān)系如下:
USE_NATIVE_DATATYPE配置為FALSE會(huì)有一些使用限制,不建議修改為FALSE。
技術(shù)建議:
1.如果從Oracle遷移,UPPER_CASE_TABLE_NAMES、EMPTY_STRING_AS_NULL建議配置為TRUE,ZERO_DIVISOR_ACCEPTED配置為FALSE,其他數(shù)據(jù)庫(kù)根據(jù)源數(shù)據(jù)庫(kù)的特性修改。
2. USE_NATIVE_DATATYPE建議配置為TRUE,使用原生類型性能好、問(wèn)題少。不過(guò)需要注意,高斯int的最大值是2^32-1,而Oracle的int是number(38),比高斯的范圍大。
2.3.8??????? 數(shù)據(jù)庫(kù)字符集
技術(shù)建議:
服務(wù)端支持UTF8和GBK,推薦使用UTF8。
2.4????? 系統(tǒng)資源配置
2.4.1??????? 內(nèi)存配置
(1)內(nèi)存池
內(nèi)存池的內(nèi)存都是預(yù)分配的,即使沒(méi)用到也需要占用,備機(jī)同樣需要,所以主備合設(shè)時(shí)配置內(nèi)存參數(shù)時(shí)一定要考慮備機(jī)對(duì)內(nèi)存的占用。
參數(shù)名
描述
默認(rèn)值
建議配置
動(dòng)態(tài)生效
DATA_BUFFER_SIZE
數(shù)據(jù)BUFFER區(qū)用于緩存最近訪問(wèn)的數(shù)據(jù)
128M
可用物理內(nèi)存的40%左右
否
SHARED_POOL_SIZE
共享池大小,包括對(duì)象和SQL解析的緩沖
128M
可用物理內(nèi)存的5%左右
否
TEMP_BUFFER_SIZE
類似Oracle的PGA
32M
可用物理內(nèi)存的10%左右
否
CR_POOL_SIZE
一致性讀頁(yè)面緩存區(qū)(即CR pool )的大小,PCR時(shí)有效
32M
DATA_BUFFER_SIZE的10%,不超過(guò)2G
否
(2)會(huì)話和連接
1)每個(gè)session大概占用2M的內(nèi)存,所以session數(shù)量對(duì)內(nèi)存占用影響較大。
2)_AGENT_STACK_SIZE跟工作線程數(shù)相關(guān),當(dāng)單個(gè)SQL有較多的變量和表達(dá)式時(shí)需要配置較大的值,否則SQL執(zhí)行會(huì)報(bào)錯(cuò)。
3)MAX_ALLOWED_PACKET跟工作線程數(shù)相關(guān),默認(rèn)值為64M,建議調(diào)整為16M,該參數(shù)預(yù)計(jì)會(huì)在930版本廢棄。
參數(shù)名
描述
默認(rèn)值
建議配置
動(dòng)態(tài)生效
_AGENT_STACK_SIZE
設(shè)置線程數(shù)據(jù)棧的大小,與工作線程數(shù)相關(guān)
1M
當(dāng)單個(gè)SQL有較多的變量和表達(dá)式時(shí)需要配置較大的值,否則SQL執(zhí)行會(huì)報(bào)錯(cuò)
否
_THREAD_STACK_SIZE
設(shè)置線程棧大小,和C語(yǔ)言調(diào)用深度有關(guān),與工作線程數(shù)相關(guān)
512K
一般不用修改
否
_INIT_CURSORS
一個(gè)session上的初始游標(biāo)個(gè)數(shù)
32
如果內(nèi)存緊張,可以配置為1,可以動(dòng)態(tài)申請(qǐng)游標(biāo)
否
MAX_ALLOWED_PACKET
通信允許的最大報(bào)文大小
64M
建議配置為16M
否
技術(shù)建議:
1.內(nèi)存池要根據(jù)可用內(nèi)存配置,主備合設(shè)時(shí)備機(jī)也要占用同樣的內(nèi)存。
2.會(huì)話數(shù)和工作線程數(shù)對(duì)內(nèi)存影響較大,需要合理設(shè)置。
3. MAX_ALLOWED_PACKET默認(rèn)64M,不合理,建議修改為16M,預(yù)計(jì)930版本廢棄。
2.4.2??????? 連接配置
高斯是多線程模式,數(shù)據(jù)庫(kù)的線程池的線程數(shù)由參數(shù)OPTIMIZED_WORKER_THREADS配置,默認(rèn)值100。當(dāng)session數(shù)量小于工作線程數(shù)時(shí),線程是獨(dú)占模式;反之則進(jìn)入共享模式,后臺(tái)線程在多個(gè)session之前切換。
共享模式切換的前提不是按照時(shí)間片切換的,而是要執(zhí)行完當(dāng)前的消息請(qǐng)求,包括一次SQL/存儲(chǔ)過(guò)程執(zhí)行或者一次FETCH。
線程數(shù)和Session數(shù)的配置大小對(duì)系統(tǒng)資源尤其是內(nèi)存影響較大,需要合理配置。
參數(shù)名
描述
默認(rèn)值
建議配置
動(dòng)態(tài)生效
OPTIMIZED_WORKER_THREADS
工作線程數(shù),并發(fā)數(shù)超過(guò)該值變?yōu)楣蚕砟J?/p>
100
如果內(nèi)存緊張,可以適當(dāng)調(diào)小
否
SESSIONS
最大會(huì)話數(shù),上限是8000
200
根據(jù)業(yè)務(wù)需要設(shè)置,過(guò)多的會(huì)話會(huì)占用較多內(nèi)存
是
技術(shù)建議:
1. SESSIONS最大支持8000,需要根據(jù)系統(tǒng)資源和業(yè)務(wù)應(yīng)用配置。
2. OPTIMIZED_WORKER_THREADS根據(jù)系統(tǒng)資源和負(fù)載情況配置,如果系統(tǒng)資源充足并且對(duì)性能要求較高,建議OPTIMIZED_WORKER_THREADS和SESSIONS配置一樣。
2.4.3??????? IO配置
?? 異步IO & directIO
高斯當(dāng)前只支持文件系統(tǒng),文件系統(tǒng)會(huì)有緩存,默認(rèn)不是direct IO。direct IO是繞過(guò)文件系統(tǒng)緩存直接讀磁盤。
默認(rèn)是同步IO,如果配置為異步IO可以提升預(yù)讀(多塊讀)和后臺(tái)寫的效率,通過(guò)合并IO減少物理IO的次數(shù)。異步IO默認(rèn)使用direct IO。
正常情況下,異步IO效果比同步IO好。
不過(guò),當(dāng)讀多(尤其是索引讀)寫少,并且IO能力很差時(shí),使用文件系統(tǒng)緩存比direct IO效果好。
如果使用異步IO,F(xiàn)ILESYSTEMIO_OPTIONS配置為ASYNCH。如果配置為NONE則為同步IO。對(duì)于同步IO并且IO能力特別差的場(chǎng)景,F(xiàn)ILESYSTEMIO_OPTIONS參數(shù)還提供了兩個(gè)優(yōu)化選項(xiàng):DSYNC和FDATASYNC,具體用法參考版本資料。
?? DBWR_PROCESSES
高斯后臺(tái)通過(guò)DBWR_PROCESSE將臟頁(yè)刷盤,如果配置異步IO,DBWR_PROCESSES建議配置為1,這樣可以最大的發(fā)揮異步IO的效果;如果是同步IO,DBWR_PROCESSES需要配置為4-8,配置太小可能導(dǎo)致臟頁(yè)無(wú)法及時(shí)刷盤。臟頁(yè)刷新情況可以通過(guò)視圖DV_BUFFER_POOL_STATS(CNUM_WRITE列)了解。
(3)CHECKPOINT_PERIOD和CHECKPOINT_PAGES
這兩個(gè)參數(shù)是對(duì)CHECKPOINT的配置,描述見下表,一般不用修改。
參數(shù)名
描述
默認(rèn)值
建議配置
動(dòng)態(tài)生效
FILESYSTEMIO_OPTIONS
在支持的平臺(tái)上,對(duì)文件系統(tǒng)開啟或關(guān)閉Direct I/O或異步I/O功能
NONE
ASYNCH:?jiǎn)⒂卯惒絀/O。該參數(shù)對(duì)IO影響較大。
否
CHECKPOINT_PERIOD
設(shè)定兩次checkpoint之間的間隔時(shí)間,當(dāng)達(dá)到預(yù)設(shè)值時(shí),則觸發(fā)一次增量checkpoint,單位:秒
300
如果希望即時(shí)讓臟頁(yè)落盤,可以改小
否
CHECKPOINT_PAGES
兩次checkpoint之間的臟頁(yè)數(shù),當(dāng)該數(shù)目達(dá)到此設(shè)定值將觸發(fā)checkpoint
100000
如果希望即時(shí)讓臟頁(yè)落盤,可以改小
否
DBWR_PROCESSES
后臺(tái)寫臟頁(yè)面線程的個(gè)數(shù)
1
如果未開啟異步IO,建議設(shè)置為8,否則設(shè)置為1
否
技術(shù)建議:
1. 一般建議使用異步IO,可以減少物理IO次數(shù),需要操作系統(tǒng)支持。
2. 當(dāng)讀多(尤其是索引讀)寫少,并且IO能力很差時(shí),使用文件系統(tǒng)緩存比同步IO(direct IO)效果更好。
3. 異步IO的 DBWR_PROCESSES配置為1;同步IO的DBWR_PROCESSES要配置大些。
2.5????? 系統(tǒng)空間配置
高斯的表空間默認(rèn)是bigfile,單個(gè)文件支持到8T。
2.5.1??????? SYSTEM表空間
在930版本前,System表空間保存數(shù)據(jù)字典、統(tǒng)計(jì)信息、鎖、WSR快照等信息,至少需要規(guī)劃15G的表空間;930版本把統(tǒng)計(jì)信息和WSR快照轉(zhuǎn)移到了單獨(dú)的表空間SYSAUX中,至少需要規(guī)劃5G。
2.5.2??????? SYSAUX表空間
WSR快照默認(rèn)保留2天,SYSAUX表空間至少需要預(yù)留10G,如果增加WSR快照的保留時(shí)間,需要相應(yīng)增大SYSAUX表空間。
2.5.3??????? Undo和Undo2表空間
UNDO表空間要根據(jù)UNDO_RETENTION_TIME配置,建議不要配置過(guò)大, UNDO的大小一般要小于DATA_BUFFER_SIZE/2。UNDO一般不使用自動(dòng)擴(kuò)展,如果使用的話必須設(shè)置合理的上限。
如果DB_ISOLEVEL=CC,UNDO_RETENTION_TIME和UNDO表空間都可以配置為較小的值。
UNDO對(duì)應(yīng)非NOLOGGING表,類似ORACLE的UNDO表空間,UNDO2對(duì)應(yīng)NOLOGGING表;如果沒(méi)有大量使用NOLOGGING表,UNDO2表空間可以配置為較小的值。
UNDO_RETENTION_TIME類似ORACLE的UNDO_RETENTION,如果需要對(duì)長(zhǎng)SQL執(zhí)行一致讀或者閃回,需要配置為一個(gè)較大的值。。
參數(shù)名
描述
默認(rèn)值
建議配置
動(dòng)態(tài)生效
UNDO_RETENTION_TIME
回滾段commit后保留時(shí)間,單位:秒
100
如果DB_ISOLEVEL=CC模式,建議調(diào)整為32以下,減少undo占用data buffer
是
2.5.4??????? Temp和Temp2表空間
一般不使用自動(dòng)擴(kuò)展,如果使用的話必須設(shè)置合理的上限。
Temp類似Oracle的Temp表空間;Temp2對(duì)應(yīng)nologging表,如果沒(méi)有大量使用nologging表,Temp2表空間可以配置為較小的值。
技術(shù)建議:
1.系統(tǒng)相關(guān)表空間要設(shè)置一個(gè)合理的值。
2. UNDO和TEMP不能無(wú)限擴(kuò)展。
3. UNDO_RETENTION_TIME需要根據(jù)業(yè)務(wù)情況配置,UNDO的大小一般要小于DATA_BUFFER_SIZE/2。
2.5.5??????? REDO
REDO的配置對(duì)DML語(yǔ)句的性能有較大影響。如果業(yè)務(wù)有大批量的DML操作,建議REDO配置大小,避免出現(xiàn)Redo切換的等待事件log file switch (checkpoint incomplete)。
技術(shù)建議:
REDO的總大小:根據(jù)業(yè)務(wù)負(fù)載,中等負(fù)載建議配置為10-20G。
單個(gè)REDO文件的大小:?jiǎn)蝹€(gè)REDO文件建議為0.5-2G;每個(gè)REDO文件最好配置一樣的大小。
2.6????? 安全配置
2.6.1??????? 訪問(wèn)控制
?? IP白名單和IP**
GaussDB 100 支持配置IP白名單和IP**,對(duì)遠(yuǎn)程客戶端進(jìn)行訪問(wèn)控制。
IP白名單:配置TCP_INVITED_NODES參數(shù),限制只能從指定IP訪問(wèn)數(shù)據(jù)庫(kù)。
IP**:配置TCP_EXCLUDED_NODES參數(shù),限制不能從指定IP訪問(wèn)數(shù)據(jù)庫(kù)。
IP檢測(cè)開關(guān):配置TCP_VALID_NODE_CHECKING參數(shù),開啟或關(guān)閉IP檢測(cè)功能。
?? 用戶白名單
GaussDB 100 也支持配置用戶白名單,建立用戶和IP映射關(guān)系,對(duì)遠(yuǎn)程客戶端進(jìn)行訪問(wèn)控制。用戶白名單:可通過(guò)添加zhba.conf有效條目,以限制指定用戶只能從限定的IP訪問(wèn)數(shù)據(jù)庫(kù)。
2.6.2??????? SSL連接
GaussDB 100 支持通過(guò)SSL加密客戶端和服務(wù)器之間、主機(jī)和備機(jī)之間的通訊,為敏感數(shù)據(jù)在Internet上的傳輸提供了一種安全保障手段。需要從CA認(rèn)證中心申請(qǐng)到正式的服務(wù)器、客戶端的證書和密鑰。
SSL開銷主要在建立連接上,需要使用連接池避免頻繁建立連接。
2.6.3??????? 用戶管理
數(shù)據(jù)庫(kù)用戶(USER) 主要用途是連接數(shù)據(jù)庫(kù)、訪問(wèn)數(shù)據(jù)庫(kù)對(duì)象和執(zhí)行SQL語(yǔ)句。
角色(ROLE)是一組權(quán)限(系統(tǒng)權(quán)限和對(duì)象權(quán)限)的集合,不具有登錄數(shù)據(jù)庫(kù)并執(zhí)行SQL語(yǔ)句的能力。
可以使用角色(ROLE)進(jìn)行權(quán)限組織及劃分,角色賦予用戶,則用戶具有了此角色的所有權(quán)限。
系統(tǒng)默認(rèn)用戶
描述
SYS
數(shù)據(jù)庫(kù)初始超級(jí)管理員用戶,具有數(shù)據(jù)庫(kù)的最高權(quán)限,并且具有所有的系統(tǒng)權(quán)限和對(duì)象權(quán)限,建議數(shù)據(jù)庫(kù)安裝后及時(shí)修改SYS初始密碼。
PUBLIC
系統(tǒng)預(yù)置的公共用戶(無(wú)法登錄數(shù)據(jù)庫(kù)),它表示所有數(shù)據(jù)庫(kù)用戶的集合。如果某個(gè)權(quán)限賦于了PUBLIC,那么所有數(shù)據(jù)庫(kù)的用戶都可以有這個(gè)權(quán)限。為了保障數(shù)據(jù)庫(kù)的數(shù)據(jù)安全,請(qǐng)勿向PUBLIC用戶授予對(duì)象權(quán)限。
系統(tǒng)默認(rèn)角色
描述
DBA
系統(tǒng)管理員角色,擁有系統(tǒng)所有權(quán)限。建議用戶限制賦予其他用戶DBA角色。
RESOURCE
創(chuàng)建基礎(chǔ)對(duì)象的角色,擁有CREATE PROCEDURE、CREATE SEQUENCE、CREATE TABLE和CREATE TRIGGER共4種權(quán)限。
CONNECT
連接角色,擁有CREATE ? ? ?SESSION權(quán)限。
STATISTICS
具有創(chuàng)建、刪除、查看WSR快照、生成WSR報(bào)告的權(quán)限。
2.6.4??????? 賬戶安全策略
create profile為用戶創(chuàng)建安全策略。
alter profile為用戶修改安全策略。
drop profile為用戶刪除安全策略。
支持的安全策略如下:
參數(shù)名
描述
取值
FAILED_LOGIN_ATTEMPTS
帳戶被鎖定之前所允許嘗試登錄的最大次數(shù)。
默認(rèn)值:10次
PASSWORD_LIFE_TIME
指用戶密碼所允許使用的天數(shù)
默認(rèn)值:180天
可以設(shè)置分?jǐn)?shù),例如1分鐘 =(1/1440)天,(1秒鐘=1/86400)天。
PASSWORD_LOCK_TIME
指定登錄嘗試失敗次數(shù)到達(dá)后帳戶的鎖定時(shí)間
默認(rèn)值:1天,可設(shè)置分?jǐn)?shù)
PASSWORD_GRACE_TIME
指定寬限天數(shù),數(shù)據(jù)庫(kù)發(fā)出警告到登錄失效前的天數(shù)。
默認(rèn)值:7天,可設(shè)置分?jǐn)?shù)
PASSWORD_REUSE_TIME
指定密碼在多少天內(nèi)不能重復(fù)使用。
默認(rèn)值: ? ? ? UNLIMITED沒(méi)有限制
,可設(shè)置分?jǐn)?shù)
PASSWORD_REUSE_MAX
指密碼經(jīng)過(guò)多少次變更之后才可以重用
默認(rèn)值: ? ? ? UNLIMITED沒(méi)有限制
SESSIONS_PER_USER
用戶會(huì)話最大連接數(shù)
默認(rèn)值: ? ? ? UNLIMITED沒(méi)有限制
2.6.5??????? 權(quán)限管理
?? 系統(tǒng)中的權(quán)限
系統(tǒng)權(quán)限:是指用戶進(jìn)行創(chuàng)建、刪除、更改、查詢對(duì)象和其他如登錄、授權(quán)等操作的能力。
對(duì)象權(quán)限:是指對(duì)數(shù)據(jù)庫(kù)對(duì)象執(zhí)行各種操作的權(quán)限,對(duì)象權(quán)限包括SELECT、INSERT、UPDATE、DELETE等。
?? 通過(guò)角色繼承權(quán)限:
當(dāng)給一組權(quán)限相同的用戶授權(quán)時(shí),不需對(duì)這些用戶逐一授權(quán);
通過(guò)將角色賦給一個(gè)用戶可使得該用戶擁有這個(gè)角色中的所有權(quán)限;
一個(gè)用戶可以屬于不同的角色,擁有不同角色的權(quán)限;
2.6.6??????? 安全審計(jì)
GaussDB 100支持將用戶對(duì)數(shù)據(jù)庫(kù)的所有操作寫入審計(jì)日志。
數(shù)據(jù)庫(kù)管理員可以利用這些日志信息,重現(xiàn)導(dǎo)致數(shù)據(jù)庫(kù)現(xiàn)狀的一系列事件,找出非法操作的用戶、時(shí)間和內(nèi)容等。
各審計(jì)項(xiàng)的參數(shù)支持動(dòng)態(tài)加載,在數(shù)據(jù)庫(kù)運(yùn)行期間修改審計(jì)開關(guān)的值,不需要重啟數(shù)據(jù)庫(kù)便可生效。
配置項(xiàng)
描述
AUDIT_LEVEL
審計(jì)開關(guān),設(shè)置審計(jì)日志的級(jí)別,默認(rèn)值為3,表示DDL及DCL審計(jì)打開。
_AUDIT_MAX_FILE_SIZE
單個(gè)日志文件大小,默認(rèn)單位為字節(jié),默認(rèn)值為10M。
_AUDIT_BACKUP_FILE_COUNT
備份日志文件的最大個(gè)數(shù),默認(rèn)值為10,最大值不能超過(guò)128。
_LOG_FILE_PERMISSIONS
日志文件權(quán)限,默認(rèn)值為600。備份日志文件權(quán)限會(huì)自動(dòng)去除寫權(quán)限(擁有者、群組、其他)。
_LOG_PATH_PERMISSIONS
日志目錄權(quán)限,默認(rèn)值為700。可影響run日志、debug日志和audit日志本層及上層目錄,alarm日志本層目錄的權(quán)限。
通過(guò)設(shè)置AUDIT_LEVEL參數(shù),開啟審計(jì)功能,默認(rèn)值為3,表示審計(jì)DDL和DCL級(jí)別。
日志類型
審計(jì)范圍
十進(jìn)制取值
二進(jìn)制取值
DDL
數(shù)據(jù)庫(kù)對(duì)象的創(chuàng)建、修改、刪除,包括:表、索引、視圖、同名詞、數(shù)據(jù)庫(kù)、序列、用戶、角色、表空間、profile、會(huì)話等
1
00000001
DCL
設(shè)置或更改數(shù)據(jù)庫(kù)事務(wù)、用戶權(quán)限、鎖表等
2
00000010
DML
對(duì)數(shù)據(jù)庫(kù)表中的數(shù)據(jù)進(jìn)行操作,如插入、更新、刪除,也包括查詢審計(jì)
4
00000100
PL
對(duì)存儲(chǔ)過(guò)程的解析與執(zhí)行進(jìn)行審計(jì),如EXECUTE(可簡(jiǎn)寫為EXEC)與CALL等操作的調(diào)用。
8
00001000
ALL
審計(jì)所有項(xiàng)
255
11111111
技術(shù)建議:
1.根據(jù)業(yè)務(wù)需要選擇安全配置。
2. SSL要用連接池,對(duì)傳輸性能會(huì)有10%左右的性能損失。
2.7????? 內(nèi)核其他配置
2.7.1??????? 回收站和閃回
如果開啟了回收站,truncate和drop表會(huì)把數(shù)據(jù)保留到回收站中,支持?jǐn)?shù)據(jù)flashback。如果希望徹底刪除可以在truncate和drop命令上使用purge或者直接用purge命令清空回收站。
?? 基于時(shí)間點(diǎn)的閃回
基于時(shí)間點(diǎn)的閃回依賴回滾段保留時(shí)間和回滾段的大小,如果回滾段的數(shù)據(jù)已經(jīng)被覆蓋了,那么閃回會(huì)報(bào)錯(cuò)。
技術(shù)建議:
1.要特別注意,回收站對(duì)truncate也生效。
2.如果開啟回收站,注意定期清理回收站。表空間滿了會(huì)覆蓋回收站中最老的內(nèi)容。
3.基于時(shí)間點(diǎn)的閃回依賴回滾表空間保留時(shí)間和回滾表空間的大小。
2.7.2??????? WSR任務(wù)
WSR定時(shí)主任務(wù)默認(rèn)每30分鐘收集一次快照,收集系統(tǒng)、SQL、Segement、LongSQL等數(shù)據(jù);準(zhǔn)實(shí)時(shí)任務(wù)默認(rèn)每30秒收集一次快照,收集session、事務(wù)、鎖等數(shù)據(jù)。
默認(rèn)保留兩天的快照,每天凌晨刪除過(guò)期快照,實(shí)際最多保留三天的數(shù)據(jù),平均每個(gè)快照大約50M。
WSR提供了系統(tǒng)級(jí)、SQL級(jí)、會(huì)話級(jí)和Segment級(jí)的性能統(tǒng)計(jì)數(shù)據(jù),還提供了每30秒的關(guān)鍵資源的快照信息,可以分析出絕大部分性能問(wèn)題。
技術(shù)建議:
1.根據(jù)需要修改WSR的配置,需要預(yù)留足夠的空間保留快照數(shù)據(jù)。
2.WSR報(bào)告是性能問(wèn)題分析的重要工具,建議開啟該功能。
GaussDB
版權(quán)聲明:本文內(nèi)容由網(wǎng)絡(luò)用戶投稿,版權(quán)歸原作者所有,本站不擁有其著作權(quán),亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容,請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理,核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。
相關(guān)文章