Bastionhost支援對MySQL、SQL Server、PostgreSQL類型的RDS和MySQL、PostgreSQL、PostgreSQL(相容Oracle)的PolarDB以及MySQL、SQL Server、PostgreSQL、Oracle類型的自建資料庫進行營運和審計,同時營運人員可開啟SSH隧道,使用營運令牌進行營運審計。本文介紹在Window系統上如何營運資料庫。
前提條件
已在本地主機安裝支援SSH隧道的資料庫營運工具,例如DBeaver、DbVisualizer、Navicat Premium、Navicat For MySQL等。
已擷取Bastionhost營運地址。您可以在Bastionhost概覽頁面的Bastionhost執行個體資訊地區擷取營運地址。具體操作,請參見Bastionhost頁面概覽。
說明Bastionhost提供固定的網域名稱模式營運地址,同時使用動態IP以確保安全不易被攻擊。營運位址解析出的IP可能會發生變化,請您使用Bastionhost分配的網域名稱地址進行營運,避免因IP變化而無法營運。
通過用戶端工具進行SSH隧道營運
本文以Navicat Premium工具為例,介紹不同類型的資料庫在Windows系統的營運登入流程。
登入Bastionhost控制台或營運門戶,擷取營運令牌。具體操作,請參見擷取營運令牌。
說明登入營運門戶擷取營運令牌時,如果當前資料庫賬戶未在Bastionhost上託管,則需要在營運令牌對話方塊設定資料庫賬戶的基本資料後,才能擷取營運令牌。關於建立資料庫賬戶的更多資訊,請參見管理資料庫賬戶。
營運令牌需要在有效期間內使用,管理員可以在Bastionhost設定令牌有效期間。若開啟營運審批,則以管理員審批通過時設定的有效期間為準。
如果管理員設定允許營運員自主續期,則令牌到期前,營運員可以自主為令牌續期,到期之後需要重新申請令牌。若已開啟營運審批,則營運員不可進行續期。營運令牌配置修改後需要重新申請或更新令牌才可生效。
若令牌在有效期間內但營運串連失敗,可能為營運並發已達到上限,請聯絡管理員升配Bastionhost規格或釋放空閑串連;或管理員限制了該來源IP和時間段導致無法營運,請聯絡管理員釋放保留。
審計記錄的營運使用者資訊為申請令牌的使用者,與用戶端中所填使用者名稱和資產賬戶無關。
開啟Navicat Premium工具,建立目標資料庫連接。
在常規頁簽,按照下表設定資料庫的串連名稱、資產地址等資訊。
配置項
說明
主機
資料庫資產地址。
使用者名稱
需要營運的資料庫資產賬戶登入名稱稱。
密碼
MySQL、SQL Server、PostgreSQL資料庫:如果管理員已在Bastionhost中託管了資料庫賬戶密碼,則無需填寫密碼;如果管理員未在Bastionhost中管理的資料庫賬戶密碼,則密碼需填寫資料庫賬戶的登入密碼。
Oracle資料庫:
如果管理員已在Bastionhost中管理的資料庫賬戶密碼,則密碼填寫為123456,登入屬性按照營運令牌處提示進行選擇。
如果管理員未在Bastionhost中管理的資料庫賬戶密碼,則密碼需填寫資料庫賬戶的登入密碼,登入屬性按照營運令牌處提示進行選擇。
說明 建議您勾選儲存密碼,如果未勾選,用戶端可能會要求您填寫賬戶密碼,您可以將營運令牌填寫在密碼處。在SSH頁簽,按照下表配置Bastionhost的基礎資訊。
配置項
說明
使用SSH通道
勾選使用SSH通道。
主機
Bastionhost營運地址。
連接埠
BastionhostSSH營運連接埠。預設為60022。
使用者名稱
營運員登入Bastionhost的使用者名稱稱。
密碼
擷取的營運令牌。
說明 建議您勾選儲存密碼,如果未勾選,用戶端可能會要求您填寫賬戶密碼,您可以將營運令牌填寫在密碼處。
在Navicat Premium工具中,雙擊新建立的資料庫連接,登入資料庫資產進行營運。
通過命令列進行SSH隧道營運
本文以MySQL協議為例,介紹命令列SSH隧道方式的營運登入流程。
暫不支援通過命令列SSH隧道方式營運Oracle資料庫。
登入營運門戶。具體操作,請參見登入營運門戶。
在左側導覽列,單擊資料庫。
在資料庫頁面,定位到目標資料庫,在營運令牌列,單擊對應的營運令牌。
在營運令牌對話方塊,選擇資料庫賬戶,單擊擷取營運令牌。
說明登入營運門戶擷取營運令牌時,如果當前資料庫賬戶未在Bastionhost上託管,則需要在營運令牌對話方塊設定資料庫賬戶的基本資料後,才能擷取營運令牌。關於建立資料庫賬戶的更多資訊,請參見管理資料庫賬戶。
營運令牌需要在有效期間內使用,管理員可以在Bastionhost設定令牌有效期間。若開啟營運審批,則以管理員審批通過時設定的有效期間為準。
如果管理員設定允許營運員自主續期,則令牌到期前,營運員可以自主為令牌續期,到期之後需要重新申請令牌。若已開啟營運審批,則營運員不可進行續期。營運令牌配置修改後需要重新申請或更新令牌才可生效。
若令牌在有效期間內但營運串連失敗,可能為營運並發已達到上限,請聯絡管理員升配Bastionhost規格或釋放空閑串連;或管理員限制了該來源IP和時間段導致無法營運,請聯絡管理員釋放保留。
審計記錄的營運使用者資訊為申請令牌的使用者,與用戶端中所填使用者名稱和資產賬戶無關。
開啟命令列工具,執行以下命令。
ssh -N -L <localport>:<databaseAddress>:<databasePort> <bastionusername>@<bastionAddress> -p <bastionPort>
參數說明
參數
說明
localport
建立隧道後自訂本地監聽的連接埠。請確認與本地已有監聽連接埠不存在衝突。
databaseAddress
需要營運的資料庫資產的地址。
databasePort
需要營運的資料庫資產的連接埠。
bastionusername
雲Bastionhost的使用者名稱。
bastionAddress
雲Bastionhost的營運地址。
bastionPort
雲BastionhostSSH營運的連接埠。預設為60022。
在密碼認證步驟,輸入營運令牌,然後按斷行符號鍵。
另起一個命令列,確認本地自訂連接埠處於已監聽狀態,LISTEN表示已監聽。
執行以下命令,串連MySQL資料庫。
mysql -h 127.0.0.1 -u <accountname> -P <localport>
<accountname>為必選參數,
accountname
是營運的資料庫登入賬戶名。<localport>為必選參數,
localport
是步驟5定義的本地監聽連接埠。
串連成功後,即可執行營運命令。