跳到主要内容

通过 NineData 管理 OceanBase 数据源

NineData 的数据库 DevOps 是一套云原生 SQL 开发工具,提供全面且高效的企业级功能以及高度的安全等级支持,为企业赋予更好的核心数据库管理与维护能力。本文介绍如何使用 NineData 数据库 DevOps 功能管理 OceanBase 数据源。

功能介绍

数据库 DevOps 具有数据库管理、数据查询、SQL 执行、数据编辑、数据导入导出、SQL 审批流、SQL 规范预检、审批流程、敏感数据保护等强大功能,帮助用户快速完成多种环境的数据管理任务,助力企业数字化转型。

  • SQL 编辑器:支持 AI 协作、智能 SQL、完整的语法高亮、自动补全、对象类型识别、错误提示等能力。
  • 权限管控:支持通过角色(Role)分组管理企业各级层的权限,同时也支持对单个用户配置自定义权限,使权限管理操作不受限,具备良好的灵活性。
  • 配套工具:SQL 任务、结构设计与变更、数据导入导出、SQL 审核、批量数据库查询变更、敏感数据保护等能力为数据库提供全生命周期一条龙管理,让数据库的运维管理更加高效安全。
  • SQL 开发规范:用于定义企业 SQL 编写规范,提供 200 多条规则,除了提升 SQL 质量,防止慢 SQL、保持一致的编码风格,减少潜在的错误和性能问题外。例如:
    • 针对 OceanBase for MySQL 在进行变更时可能存在的部分语法冲突问题,提供了冲突检查规则,强制用户分开执行。
    • 在对 OceanBase for MySQL 分区表进行查询或更新时,要求在 WHERE 条件中带上分区键,以快速定位分片位置,提交执行效率。
  • 审批流程:简化复杂的请求、决策与审批步骤,提供统一明确的审批流程,使审批流程标准化,在减少错误和风险的同时,提升了审批流程的整体效率。可配置的流程也满足了企业定制化需求,可适应各种差异化场景。
  • SSO 单点登录:统一企业成员的身份管理,简化用户访问方式,同时增强了数据安全性,减少密码泄露的风险。
  • 审计日志:NineData 提供了集中的用户行为记录和监控方式,企业可以轻松审计用户的活动,追踪安全事件并采取必要的措施。

前提条件

  • 已注册 NineData 平台账号。更多信息,请参见注册 NineData 账号

  • 数据库 DevOps 企业版(组织模式)下,您必须拥有目标数据源的只读、DML 或 DDL 权限。

    提示

    只读权限仅支持查看数据库以及查询数据操作。

  • 在商业化版本下(数据库 DevOps 专业版数据库 DevOps 企业版),请确保您的包年包月订阅未过期,否则将无法正常使用数据库 DevOps 服务。您可以在 NineData 控制台页面右上方快速查看剩余配额以及到期时间。check_quota

步骤一:添加 OceanBase for MySQL 数据源

  1. 登录 NineData 控制台

  2. 在左侧导航栏,单击数据源管理>数据源

  3. 单击数据源页签,并单击页面上的创建数据源,在弹出的数据源类型弹窗中,选择自建数据库 > OceanBase for MySQL,在创建数据源页面根据下表配置参数。

    提示

    如果您操作失误,可以单击创建数据源页面上方的arrow_down图标重新选择。

    单击展开表格详情
    参数
    		说明
    数据源名称输入数据源的名称,为了方便后续查找和管理,请尽量使用有意义的名称。
    连接方式选择数据源的接入方式。支持通过公网地址网关SSH Tunnel 三种方式接入。
    • 公网地址:通过公网地址接入数据源。
    • 网关:NineData 提供的安全快捷的内网访问方式,需先将数据源所在主机接入,接入方式请参见添加网关
    • SSH Tunnel:通过 SSH 隧道接入数据源。
    连接方式选择公网地址的配置项连接地址:数据源的公网连接地址和端口。
    连接方式选择网关的配置项
    • 网关:选择数据源所在主机中安装的 NineData 网关。
    • 连接地址:可以写成 localhost(数据源在本机)或者数据源所在主机的内网 IP。
    连接方式选择 SSH Tunnel 的配置项
    • SSH 主机:输入目标数据源所在服务器的公网 IP 或者域名,以及对应的端口号(SSH 服务的默认端口号为 22)。
    • SSH 认证方式:选择 SSH 的认证方式。
      • 密码认证:通过 SSH 用户名(即服务器的登录名)和密码(即服务器的登录密码)进行连接。
        • SSH 用户名:输入目标数据源所在服务器的登录用户名。
        • 密码:输入目标数据源所在服务器的登录密码。
      • 密钥认证(推荐):通过 SSH 用户名密钥文件进行连接。
        • SSH 用户名:输入目标数据源所在服务器的登录用户名。
        • 密钥文件:单击上传文件上传私钥文件,即无后缀名的密钥文件。如果您还未创建,请参见生成 SSH Tunnel 密钥文件
        • 口令:输入生成密钥文件时设置的密码。如果您在密钥生成过程中未设置密码,此处请留空。
      • 说明:SSH 配置完成后,您需要单击右侧的连接测试,可能出现如下两种结果:
      • 提示连接成功:表示 SSH Tunnel 已打通。
      • 提示错误信息:表示连接失败,您需要根据提错误示排查故障原因并重试。
    • 连接地址:可以写成 localhost(数据源在本机)或者数据源所在主机的内网 IP。
    数据库账号数据源的用户名。
    数据库密码数据源的密码。
    接入地域选择离您数据源所在地最近的地域,可有效降低网络延迟。
    环境根据该数据源的实际业务用途进行选择,作为数据源的环境标识。默认提供生产开发环境,同时支持您创建自定义环境
    说明:在组织模式下,数据库环境还可应用于权限策略管理,例如,默认情况下的生产环境管理员角色仅支持访问生产环境下的数据源,无法访问其他环境的数据源。更多信息,请参见管理角色
    加密传输是否使用 SSL 加密方式访问数据源(默认开)。数据源如果强制 SSL 加密连接,则必须开启本开关,否则连接失败。
    单击右侧的开关可开启或关闭加密传输。单击加密传输左侧的>可以展开详细配置。
    • 加密选项:支持如下两种方式。
      • 尽量使用加密传输:自动检测服务端的 SSL 状态,如果服务端开启了 SSL,则优先通过 SSL 连接,如果服务端未开启 SSL,则使用非 SSL 的方式连接。
      • 强制使用加密传输:无论如何都使用 SSL 方式连接数据源,如果服务端不支持该方式或由于其他原因无法建立 SSL 连接,则会连接失败。
    • 指定加密密钥(SSL Cipher):指定 SSL-Cipher 加密算法。
    • 验证服务端证书(SSL CA):如果 OceanBase 服务器使用的是自签名 CA 颁发的证书,则需要在此上传该 CA 的根证书。
    • 验证服务端身份 (SSL Identify):勾选用于验证服务器的名称和 IP 地址等,以确保连接到的是真正的 OceanBase 服务器,避免中间人攻击(Man-in-the-MiddleAttack)。
    • 验证客户端:如果 OceanBase 服务器需要客户端提供证书,则需要在此上传客户端的证书和密钥,OceanBase 服务器将验证您上传的信息,以确保连接的安全性。
    说明:通常情况下,如果 OceanBase 服务端支持使用 SSL 加密连接,您仅需要选中强制使用加密传输即可,无需配置其他选项,系统会自动为您生成密钥进行连接。

  4. 全部配置完成后,单击创建数据源右侧的连接测试可以测试该数据源是否可以正常访问,提示连接成功即可单击创建数据源,完成数据源的添加。否则请重新检查连接设置,直到连接测试成功为止。

步骤二:配置 SQL 开发规范

  1. 登录 NineData 控制台

  2. 在左侧导航栏,单击数据库 DevOps>规范与流程

  3. 规范与流程页面,单击 SQL 开发规范页签,并单击右上角的创建规范

  4. 在弹出的创建规范对话框中,配置下列参数并单击确定

    • 复制规范:选择基于哪个规范创建新规范。

    • 规范名称:输入新规范的名称,支持 1 ~ 32 个字符。为了方便后续查找和管理,请尽量使用有意义的名称。

    • 描述(可选):输入针对新规范的描述,支持 1 ~ 64 个字符。

  5. 控制台自动跳转到SQL 开发规范详情页面,您可以在该页面编辑、开关目标规则。

    提示

    SQL 开发规则根据各大模块分类,您可以单击类别页签进行切换。

  6. 回到规范与流程页面,单击数据源配置页签,找到目标数据源名称,并单击其右侧操作列的编辑

  7. 在弹出的编辑数据源配置窗口中,将 SQL 开发规范继承环境配置左侧的勾去掉,然后选择刚刚配置完成的规范,单击确定

至此开发规范已配置完成,后续用户在 NineData 对该数据源执行的所有操作,都将基于该 SQL 开发规范进行管控。

后续步骤