摘要:往期精選社區(qū)投稿和跨分片查詢(xún)結(jié)果不一致案例分析自定義拆分算法配置解析使用指南開(kāi)源分布式中間件快速入門(mén)指南配置解析社區(qū)活動(dòng)如何獲取全國(guó)場(chǎng)主題大會(huì)免費(fèi)入場(chǎng)券
DBLE是基于開(kāi)源項(xiàng)目MyCat發(fā)展的企業(yè)級(jí)開(kāi)源分布式中間件�����,適用于高并發(fā)及TB級(jí)海量數(shù)據(jù)處理場(chǎng)景�����;江湖人送外號(hào) “MyCat Plus”��;其簡(jiǎn)單穩(wěn)定��,持續(xù)維護(hù)�����,良好的社區(qū)環(huán)境和廣大的群眾基礎(chǔ)使DBLE得到了社區(qū)的大力支持��。
DBLE項(xiàng)目介紹
DBLE 官方項(xiàng)目:
https://github.com/actiontech...
如對(duì)源碼有興趣或者需要定制的功能的可以通過(guò)源碼編譯安裝
DBLE 下載地址:
https://github.com/actiontech...
DBLE 官方社區(qū)交流群:669663113
DBLE的主要配置文件
前兩篇文章"DBLE Rule.xml 配置解析"���、"DBLE Schema.xml 配置解析" 分別介紹DBLE中Rule.xml和Schema.xml的配置����,今天繼續(xù)介紹DBLE中Server.xml文件的配置��,希望通過(guò)本篇的介紹���,能對(duì)Server.xml文件的整體結(jié)構(gòu)和內(nèi)容有較為清晰的認(rèn)識(shí)�,方便大家能快速地入門(mén)��。
DBLE的配置文件都在conf目錄里面����,常用的幾個(gè)配置文件如下:
DBLE是一個(gè)JAVA分庫(kù)分表中間件,既然是JAVA應(yīng)用肯定會(huì)有JVM相關(guān)的配置�,在DBLE中我們選擇wrapper來(lái)作為管理DBLE進(jìn)程的工具,配置文件在conf/wrapper.conf中����,關(guān)于JVM的詳細(xì)介紹在wrapp.conf。
Server.xml配置解析
Server.xml是DBLE的重要配置文件之一��, 整體配置可以分為三段,段���,段和段���,分別定義了DBLE軟件的相關(guān)配置,用戶(hù)配置和針對(duì)用戶(hù)的權(quán)限控制功能����。
關(guān)于配置文件,如果在DBLE運(yùn)行途中修改了配置����,要想配置動(dòng)態(tài)生效,只需要使用reload @@config命令�,但是需要提醒的是reload @@config對(duì)Server.mxl中的段中的內(nèi)容無(wú)法生效,即如果修改了server.xml的system的配置��,需要重新啟動(dòng)DBLE使其生效 �����,更多關(guān)于DBLE管理命令請(qǐng)參考DBLE管理端命令
同樣以思維導(dǎo)圖的方式歸納如下����,其中個(gè)別參數(shù)配置只是粗略地將最重要的參數(shù)羅列出來(lái),詳細(xì)的參數(shù)還請(qǐng)參考官方文檔��。
system配置
DBLE通過(guò)Server.xml配置文件來(lái)定義相關(guān)管理行為�,如監(jiān)聽(tīng)端口,sql統(tǒng)計(jì)和控制連接行為等功能���,DBLE除了支持分庫(kù)分表功能外��,還實(shí)現(xiàn)了類(lèi)似MySQL的慢查詢(xún)?nèi)罩竟δ?,并且支持使用pt-query-digest這樣的工具進(jìn)行慢查詢(xún)SQL分析����,極大地方便了DBA的SQL性能分析與問(wèn)題SQL定位,以下簡(jiǎn)單列出了一些最重要的也是最基礎(chǔ)的功能配置��。
用戶(hù)配置
用戶(hù)配置在段進(jìn)行配置�,因?yàn)樵赟chema.xml中允許多個(gè)schema的存在,因此業(yè)務(wù)用戶(hù)也是允許多個(gè)用戶(hù)同時(shí)存在��,并且還可以給這些用戶(hù)進(jìn)行更小粒度的權(quán)限劃分�。
以實(shí)際場(chǎng)景來(lái)舉例,比如當(dāng)前配置了兩個(gè)邏輯庫(kù)adv和motor,分別是汽車(chē)和廣告業(yè)務(wù)�,這兩個(gè)庫(kù)直接沒(méi)有任何的關(guān)聯(lián),因此需要分別配置兩個(gè)用戶(hù)來(lái)使用這兩個(gè)schema����,一個(gè)是adv_user,另一個(gè)是motor_user,這兩個(gè)用戶(hù)登錄上去DBLE能看到只有自己的schema�,其他schema不可見(jiàn)�,兩個(gè)用戶(hù)的配置如下:
adv_user
adv
false
motor_user
motor
false
但是你可能會(huì)想萬(wàn)一這兩個(gè)庫(kù)之中的表有關(guān)聯(lián)查詢(xún)呢?對(duì)應(yīng)場(chǎng)景是:我們需要有個(gè)用戶(hù)叫adv_motor_user,它對(duì)motor和adv庫(kù)都需要有權(quán)限訪問(wèn)����,別擔(dān)心,DBLE提供了對(duì)單個(gè)用戶(hù)可以訪問(wèn)多個(gè)schema的配置方式����,我們可以在schemas中指定多個(gè)schema,之間用逗號(hào)分隔�����,配置生效后使用這個(gè)用戶(hù)就能登錄看到兩個(gè)schema�。
adv_motor_user
motor,adv
false
你可能還會(huì)想��,這樣的權(quán)限粒度依然不夠細(xì)��,我們需要更細(xì)粒度的權(quán)限控制�����,比如需要adv_user的權(quán)限僅限于增刪改查權(quán)限��,即需要將權(quán)限細(xì)分到dml語(yǔ)句����, DBLE仍然提供這樣的配置,我們可以繼續(xù)增加privileges的配置���,如下圖示:
adv_user
adv
false
privileges的check參數(shù)作用于是否對(duì)用戶(hù)權(quán)限進(jìn)行檢查�,默認(rèn)是不檢查����,dml的權(quán)限是分別是INSERT UPDATE SELECT DELETE四種權(quán)限,用4個(gè)數(shù)字0或1的組合來(lái)表示是否開(kāi)啟����, 1表示開(kāi)啟,0表示關(guān)閉�。
在上圖中, adv_user對(duì)adv庫(kù)中所有表的默認(rèn)權(quán)限是"1110", 即只有insert���, update和select權(quán)限��, 即如果沒(méi)有像tb01那樣詳細(xì)地列出來(lái)的情況��,所有表的權(quán)限繼承權(quán)限1110����,上面例子中,ta01作為特殊指定的邏輯表的權(quán)限����,adv_user對(duì)該表的權(quán)限是1111。
我們可以看到DBLE可以將權(quán)限劃分到DML,并且是可以精確到某一邏輯表級(jí)別�,對(duì)于只需要DML權(quán)限的場(chǎng)景是足夠了,但是這種權(quán)限控制還是很粗略��,比如如果想讓adv_user除了有dml權(quán)限之外�,還需要有drop table權(quán)限,這時(shí)候在用DBLE的privileges權(quán)限控制就顯得無(wú)能為力了��,因此可行的建議是:
控制連接后端MySQL的用戶(hù)的權(quán)限�����,將DBLE側(cè)的權(quán)限完全放開(kāi)��,
換句話(huà)說(shuō)只嚴(yán)格限制schema.xml的writehost中配置的連接用戶(hù)的權(quán)限�。 使用后面要講的黑名單提供的權(quán)限控制。
黑白名單配置
針對(duì)上的權(quán)限粒度略顯粗略的限制(事實(shí)上大多數(shù)場(chǎng)景下DML的權(quán)限也已經(jīng)足夠了)��,DBLE提供黑白名單的功能,白名單就是只允許白名單的連接���,而黑名單則是詳細(xì)的針對(duì)已經(jīng)通過(guò)白名單的連接的權(quán)限控制,黑名單更類(lèi)似于SQL審計(jì)���, 黑名單配置以firewall分隔開(kāi)來(lái)�, 典型配置如下:
false
false
false
......
對(duì)于黑白名單��,需要注意:
DBLE針對(duì)來(lái)源IP和用戶(hù)名進(jìn)行限制�,放行白名單連接,對(duì)于不在白名單列之中的連接�����,統(tǒng)統(tǒng)拒絕而無(wú)法登陸��。白名單中的來(lái)源ip,只能指定固定IP, 暫不支持MySQL "%""類(lèi)似的ip通配符����。
想象一種場(chǎng)景,需要像MySQL一樣指定一個(gè)ip范圍能允許連接DBLE����,這時(shí)只能一行一行增加允許ip了�����,此處略顯笨拙���。
如果配置了黑名單,則再根據(jù)黑名單中的權(quán)限property來(lái)進(jìn)一步限制白名單中的用戶(hù)權(quán)限�,例如是否允許查詢(xún),是否允許INSERT��,是否允許UPDATE��?����?梢钥闯鯠BLE中黑名單更像是對(duì)用戶(hù)的權(quán)限審計(jì)�����,DBLE在黑名單中將上面只能粗糙地限制到DML權(quán)限的用戶(hù)配置做了較多較細(xì)的擴(kuò)展��,這樣權(quán)限粒度更小�,從實(shí)際場(chǎng)景來(lái)說(shuō),這更符合生產(chǎn)需要,由此我們可以針對(duì)性地去掉一些危險(xiǎn)的SQL�����。
總結(jié)
本文簡(jiǎn)單介紹了Server.xml中的三個(gè)重要的配置段落����,分別是DBLE的系統(tǒng)配置�,用戶(hù)配置以及黑白名單功能,針對(duì)用戶(hù)配置則介紹了實(shí)際應(yīng)用場(chǎng)景下的配置以及對(duì)應(yīng)的DML權(quán)限配置���,并詳細(xì)介紹了DBLE黑白名單配置實(shí)踐�。
往期精選
| 社區(qū)投稿
DBLE和Mycat跨分片查詢(xún)結(jié)果不一致案例分析
DBLE 自定義拆分算法
DBLE rule.xml 配置解析
| 使用指南
開(kāi)源分布式中間件 DBLE 快速入門(mén)指南
DBLE Schema.xml 配置解析
| 社區(qū)活動(dòng)
如何獲取全國(guó) 25場(chǎng) MySQL 主題大會(huì)免費(fèi)入場(chǎng)券
文章版權(quán)歸作者所有���,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/17927.html
