CloudQuery认识及使用

业务挑战

A集团信息部门发展将近10年，从最初的一个MySQL数据库到现在鱼龙混杂什么数据库都有，其中仓库部门用了postgresql做数据底座，历史原因问题，生产系统却是使用Oracle。基于信创的需求，上级领导要求试点国产数据库GaussDB以及OceanBase。

简单疏理一下需求，

• mysql版本有mysql5.1 、mysql5.6、mysql5.7、mysql8.0系列。不同系列的mysql版本有将50多套。
• postgresql版本有postgresql9x、postgresql10x、postgresql11x、postgresql12x、postgresql16x等等，不同的postgresql版本有将20多套。
• Oracle统计有Oracle11G以及Oracle12C。GaussDB以及OceanBase加起来也有5、6个版本。
• 上面所有的TP数据库加起来一共100套，还没有算上AP数据库【Greeplum、Vertia】。

按照传统的管理方式，要招好几个专业的DBA管理不同的数据库，如果需要一个DBA完成，这个DBA是百中无一。数据库只是一个容器，我们希望数据库配合治理需求实现全链路的监控，支持企业安全管理的功能，例如数据加密、数据脱敏、数据审计等等 。这样的DBA是万中无一。

通过CloudQuery能够轻松解决以上问题， CloudQuery使任何一位DBA成为万中无一的高手。

解决方案

CloudQuery是一个一体化数据库管控系统，通过统一信息管理系统入口，对于数据库管理资源进行整顿审核 ，一方是公司管理者负责资源的控制管理，一方是使用者按照公司的管理流程使用数据库，使用者主要是数据库工程师、应用工程师，公司管理者是项目经理、高级数据库工程师。

下面是官方更详细的介绍。

CloudQuery提供一站式数据库开发与运维平台，实现数据库访问入口统一、管理入口统一，对数据库访问行为进行统一、安全管控
全方位管控数据使用人
从用户登录阶段的双因素认证，到事前管控权限分配、操作过程中的过滤、脱敏、高危阻断等访问限制，再到事后行为审计，以及全流程中的防导出、防下载、防复制等数据保护措施，CloudQuery的安全管控贯穿整个数据生命周期，全方位管控数据使用人

敏感数据防泄漏
针对敏感数据保护要求，CloudQuery 能主动识别数据库敏感数据资产，针对敏感资源做脱敏显示，脱敏规则丰富，同时支持自定义，无须改变生产数据库中的数据，即可依据用户级别、数据级别，对数据库返回数据进行差异化脱敏，有效防止敏感数据被导出发生泄漏

全链路管制防拖库/拖表
通过自研web客户端+SAAS化数据库操作，可限制操作人员直接接触目标数据库及获取数据库连接信息 ，同时配合防火墙收敛用户操作入口，分析引擎通过量/时间两个维度实现自动升降权以及高危动作的告警，多维度全链路管制防拖库/拖表

智能SQL编辑器
支持开发人员在同一界面、同一设计、同一操作风格中管理不同数据源；支持关键词高亮、语法提示、SQL美化、查看执行计划等功能；平台会对编写的SQL语句进行SQL解析，拦截SQL越权操作，防止无权限用户访问数据库信息

实战使用

软件安装

官网下载  https://www.cloudquery.club/download

点击离线下载后，解压，进入<cloudquery目录>直接运行一键安装脚本 ./deploy.sh install

安装过程中，会自动安装docker，执行安装各种容器，理解的状态如下

最后访问80端口，  http://ip:80
默认用户admin001 默认密码Hello123$

确证后端服务的状态，全部绿灯代表安装成功。

DEMO案例：DBA与项目经理的全新互动

公司管理员注册一个使用者【即DBA】，命名dba1

公司管理员新建一个数据库连接,这里是mysql的数据源

公司管理员授权 数据源mysql与4个用户进行绑定

公司管理员设置   资源中指定的数据库【mysql源的dba1数据库】对外激活，其它系统库不激活，没有激活使用者无法审请查找资源。   数据库管理-连接管理 -   数据源-资源管理-状态

使用者【DBA】正常登录，第一次会重置密码，访问审请->资源搜索

指定资源名称dba1， 点击加入申请单

使用者生成申请单

使用者提交申请

公司管理员处理申请的工单   ， 填上审批意见并加时间 ，我的申请->

审批可以拥有多个控制 流程

使用者现在可以正式访问数据库

公司管理者也可以在后台查看使用者的行为。

总结

回顾资源使用者与公司管理者的交互流程，两者的司职责任。

• 公司管理者创建资源使用者的名称。【建立用户、角色】

• 公司管理者定义数据源连接的名称。【建立数据资源名称】

• 公司管理者声明资源可由哪些人使用。【数据资源绑定用户】

• 公司管理者指定资源开放的权限。【数据资源粒度粗细】

• 公司管理者审批使用者发出的工单。【工单控制管理系统审批】

• 公司管理者根据数据资产设置不同的权限和流程【工单控制管理节点】

• 资源使用者通过工单审请各种资源 【与公司管理者的沟通渠道】

• 资源使用者执行日常工作【DBA、开发者的日常工作】

• 资源使用者提交数据变更【此处是对生产环境】

评价如下：

1. 通过CloudQuery作为中间层，实现资源使用者与公司管理者解耦，从上面流程来看，解耦还算比彻底，两者的边界还算清晰。
2. 从用户、权限、角色的分组分类来看，感觉CloudQuery对于综合一体业务还是非常了解的， 这个点赞加分。
3. WEB界面清晰，显然用了精心的打磨，资源稍缺丰富，但是基本的监控对象都在列表之内。
4. 美中不足的CloudQuery的硬件最少需要16G内存，笔者尝试开了10G的虚拟机，服务不能起来，直至16G才能够勉强使用起来，还是太重量级了。
5. 工单控制管理方面，这个是CloudQuery的重头戏，笔者使用过不少的OA系统，现在来看CloudQuery在这里还是有进步的提升的空间，也许以后发展成熟作为商业版功能。
6. 数据加密、数据脱敏、数据资产保护是CloudQuery做为中间件的一大亮点，未来CloudQuery应该强化资产方面的功能，这里有很多东西可以做的，例如主数据、元数据、数据质量等等。