一、行云管家支持哪些数据库?如何管理?
截止目前,行云管家支持了MySQL、Oracle以及SQLServer的数据库运维审计功能,但是鉴于Oracle不同版本之间的差异较大,我们将Oracle的版本支持限定在:10g、11g、12c。
行云管家为用户提供了数据库访问的跳板机代理,用户通过跳板机在访问数据库时,所有的SQL语句将被审计记录下来。同时,还可将敏感数据设置为脱敏字段,在查询相关的字段数据时,将进行脱敏处理,保护数据不被泄露。
数据库审计原理:数据库审计提供跳板机访问串的功能,将您真实的用户名密码针对每一个用户进行隐藏,并生成一个临时的用户名与密码;此时并不会暴露数据库的真实密码,用户可以拿到访问串以任意形式去访问数据库;
跳板机(代理机):SaaS环境里主要指的是 Proxy宿主机,而在私有部署版里,除了可用Proxy宿主机作为跳板机,还能使用门户中转服务器(一般默认是行云管家服务器)作为跳板机;
二、如何导入数据库
2.1、“新建分组”,根据您的需要对数据库类别进行分组命名;
2.2、进入要导入数据库的分组,点击“导入数据库”,进入向导页面:
2.3、选择数据库类型:在这里可以选择本地数据库和云厂商RDS用户通过连接跳板机来访问目标数据库:
如果您选择的是本地数据库,那么针对本地数据库的管理,您需要事先将本地数据库所在主机导入到行云管家主机列表里;
如果您选择的是云厂商RDS,针对云厂商RDS数据库的管理,您需要在行云管家中部署一个可以连接到该RDS的数据库跳板机(也就是行云管家Proxy或门户中转服务器),来完成对目标数据库的管理;
2.3、如果您选择的是本地数据库,那么此时需要选择数据库所在主机:
2.4、选择数据库代理并选择数据库类型及填写数据库端口,用户在行云管家中,用户通过数据库代理访问目标数据库,并由数据库代理承担SQL指令的拦截、审计、敏感指令告警等职责;
如果您选择的是本地数据库,那么数据库代理(跳板机)将根据您这台主机所在的局域网是Proxy模式或直连模式来选择代理,如果该主机所在云账户是Proxy模式,那么默认数据库代理为Proxy;如果该主机所在云账户是直连模式,那么默认数据库代理为门户中转服务器;
如果您选择的是云厂商RDS,那么您可以点击更换代理来选择您的数据库代理(跳板机),可以选择Proxy(需要您安装有Proxy)或门户中转服务来作为数据库代理;并且您需要填写您的目标数据库服务器地址;
2.5、点击连接测试,测试成功后点击下一步即可关闭并完成向导:
2.6、完成导入后即可看到该数据库代理信息了;
三、创建数据库访问方案
通过数据库访问方案,用户可以指定用户、角色或部门通过授权的数据库访问账号(访问串)通过Navicat、PLSQL、SSMS等数据库远程访问工具来访问目标数据库,访问的会话可以依靠行云管家来进行审计。
3.1、在左侧数据库列表点击要访问的数据库,在右侧页面中,点击“创建新的访问方案”:
3.2、填写方案名称、方案描述、填写授权的数据库账户与密码,点击“下一步”;
3.3、指定该方案的授权对象,可以授权给角色、部门(组织单元)或团队成员,点击“下一步”;
3.4、授权数据库代理机使用此账户访问目标数据库,请在您的目标数据库中以“管理员身份”按步骤执行图中命令来授权;
四、访问数据库
选择要访问的数据库及访问方案,此时可以有三种方式来通过代理机访问目标数据库: 一键调用本地工具方式、访问串方式、以及通过应用中心宿主机发布数据库工具的方式;
需要注意的是,本地工具及访问串方式,都需要用门户中转服务器或Proxy代理作为数据库代理机。代理机映射端口:映射端口默认从8300端口开始,后面导入的数据库在这基础上加(例如此数据库映射端口用的是8302);此时需要去代理机上开放该映射端口才可进行后续使用,门户中转服务器默认会自动在iptables防火墙里开启该端口,Proxy宿主机需要用户手动去Proxy宿主机防火墙里开启该端口的访问。
4.1、一键唤醒本地工具方式:
(1)通过行云管家浏览器插件功能来唤醒用户电脑里的已安装的本地工具,安装浏览器插件后,点击如图一键唤醒本地工具;
(2)此时会唤醒该数据库工具,并弹出访问串信息,填写到目标工具后即可打开;
4.2、访问串方式:
(1)点击如图访问串访问;
(2)代理机会生成数据库访问串,打开用户电脑里的本地工具(例如navicat),然后将此数据库访问串信息直接填入即可使用。
(3)将访问串中的IP地址、端口、用户名、密码填入到数据库远程访问工具中即可访问数据库。
(4)对于使用MySQL及Oracle终端的用户,我们在4.16版本中针对MySQL及Oracle的访问串新增了“快捷命令”的功能,一键生成数据库终端访问命令,方便您快捷的访问目标数据库;
4.3、通过应用宿主机发布数据库工具来访问数据库
请参考发布数据库工具访问数据库指引;
