postgresql sql审核平台 oracle sql审核工具 开源

一.Archery产品介绍

在技术团队内部进行有效的 SQL 管理并不容易，如何进行数据库的统一管理，和线上 SQL 操作的统一审核，变得尤为重要。Archery，这个开源的 SQL 审核查询平台，或许能为 SQL 审核工作带来不小的效率提升。
一条高质量的 SQL 语句能使整个服务加速好几倍，而一条有问题的 SQL 则可能会引发灾难，造成严重后果，因此，数据库管理人员的工作就十分重要了，他们掌握着千百万数据的命运。

简介

Archery是archer的分支项目，定位于SQL审核查询平台，旨在提升DBA的工作效率，支持多数据库的SQL上线和查询，同时支持丰富的MySQL运维功能，所有功能都兼容手机端操作，项目位于 https://github.com/hhyo/Archery，同时也在 Gitee 上开源，位于 https://gitee.com/rtttte/Archery

二.基于docker搭建Archery

系统环境

• Centos7
• Docker 17.2
• Archery1.8.1

安装 Docker

安装 Docker Compose

# 如果下载速度比较慢，可以切换源
sudo curl -L "https://github.com/docker/compose/releases/download/1.24.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
# 注意修改权限，不然会报错
sudo chmod +x /usr/local/bin/docker-compose
# 测试，查看版本
docker-compose --version

下载Archery

#下载地址 
https://github.com/hhyo/archery/releases/

#下载解压后路径pwd
/usr/local/Archery-1.8.1

安装并启动

# 启动
cd /usr/local/Archery-1.8.1/src/docker-compose
# 下载的东西很多，速度比较慢，如果下载失败，就多试几次 
# 生成了五个docker实例：redis inception archery goinception mysql
docker-compose -f docker-compose.yml up -d

表结构初始化

docker exec -ti archery /bin/bash
cd /opt/archery
source /opt/venv4archery/bin/activate
python3 manage.py makemigrations sql
python3 manage.py migrate 
# 编译翻译文件（有些命令也不知道为啥执行，参考一些教学，这条可选执行）
python3 manage.py compilemessages

数据初始化

# 不同的版本，不一定都有这两个sql文件，所以这两个命令不一定会执行成功
python3 manage.py dbshell<sql/fixtures/auth_group.sql
python3 manage.py dbshell<src/init_sql/mysql_slow_query_review.sql

创建管理用户

python3 manage.py createsuperuser

# python3 manage.py createsuperuser
用户名: admin
电子邮件地址: [email protected]
Password: 
Password (again): 
Superuser created successfully.

退出重启

exit
docker restart archery

日志查看和问题排查

docker logs archery -f --tail=50

启动成功查看

访问 http://ip:9123

用刚刚创建的admin账号登录

端口占用情况

redis 端口：6379
mysql端口：3306
inception端口：6669
goinception端口：4000
archery端口：9123

三.基本操作

停止

# 停止
docker stop redis
docker stop inception
docker stop archery
docker stop goinception
docker stop mysql

删除

docker rm -f redis
docker rm -f inception
docker rm -f archery
docker rm -f goinception
docker rm -f mysql

四.角色说明

角色	说明
DBA	数据库管理员（Database Administrator，简称DBA）
RD	研发（Research and Development）
PM	项目经理( Project Manager )
QA	测试（QUALITY ASSURANCE，中文意思是“质量保证”）

五.系统设置

1.goinception配置 对MySQL进行审核和执行

这个需要提前配置好，不然会导致无法提交sql审核，备份库需要开启binlog，不然会执行失败

配置项	说明
GO_INCEPTION_HOST	连接地址，docker-compose启动的请配置为容器名或者docker的ip地址
GO_INCEPTION_PORT	goInception的连接端口，默认4000
BACKUP_HOST	备份库链接HOST，用于页面展示回滚语句
BACKUP _PORT	备份库链接端口
BACKUP_USER	备份库链接用户
BACKUP_PASSWORD	备份库链接密码

该配置信息，仅仅用于archery从备份库查询回滚语句使用，该配置信息不会被goInception服务使用，goInception连接备份库使用的数据库连接信息应在其自身的config.toml中配置。

2. SQL查询

配置项	说明
INCEPTION_HOST	Inception连接HOST，用于SQL查询语法解析，docker-compose启动的请配置为容器名或者docker的ip
INCEPTION_PORT	Inception连接端口，默认6669
QUERY_CHECK	相关issues: https://github.com/hhyo/Archery/issues/145

是否开启SQL查询脱敏的Inception检测，平台的SQL查询功能依靠Inception的语法树打印来解析查询语句中包含的库、表、字段信息，从而进行数据脱敏

• 开启QUERY_CHECK后，如果遇到Inception无法解析的语句，则会直接抛出错误信息，禁止查询
• 关闭QUERY_CHECK后，如果遇到Inception无法解析的语句，系统不再进行数据脱敏，会有数据泄露的风险，请谨慎选择
• 动态脱敏不支持的语法：嵌套子查询、部分非单字段函数，如concat(phone,’,’)、max(id+num)

DATA_MASKING： 是否开启动态脱敏，会利用inception语法树打印，结合后台设置的脱敏字段和脱敏规则，对查询数据进行脱敏。遇到无法解析的语句是报错还是返回未脱敏的数据同样由QUERY_CHECK参数控制 * 正常脱敏：

开启QUERY_CHECK后执行不支持语句

关闭QUERY_CHECK后执行不支持语句

MAX_EXECUTION_TIME： 在线查询超时时间阈值，单位秒，默认60，超时的语句会被终止并返回提示信息，目前仅支持MySQL

ADMIN_QUERY_LIMIT： 超级管理员的查询限制行数，超级管理员查询数据时不做权限校验，仅由该参数设置最大行数

3.SQL优化

配置项	说明
SQLADVISOR_PATH	SQLAdvisor的可执行文件路径，路径需要完整，docker镜像内已经集成 * 1.4.0以前的docker版本配置成/opt/sqladvisor * 1.4.0以以后的docker版本配置成 /opt/archery/src/plugins/sqladvisor
SOAR_PATH	SOAR的可执行文件路径，路径需要完整，docker镜像内已经集成，docker镜像内已经集成 * 1.4.0以前的docker版本配置成/opt/soar * 1.4.0以以后的docker版本配置成 /opt/archery/src/plugins/soar

4.其他配置

配置项	说明
INDEX_PATH_URL	系统首页路径，默认是SQL工单页面
BINLOG2SQL	BINLOG2SQL调用路径，用于实现binlog2sql解析的功能，docker镜像内已经集成 * docker部署请配置为 /opt/archery/src/plugins/binlog2sql/binlog2sql.py
DEFAULT_AUTH_GROUP	默认权限组名，新用户首次登录自动关联, 老用户请手动配置
DEFAULT_RESOURCE_GROUP	默认资源组名，新用户首次登录自动关联, 老用户请手动配置
DEFAULT_RESOURCE_GROUP	默认资源组名，新用户首次登录自动关联, 老用户请手动配置
LOCK_TIME_THRESHOLD	账户登录失败锁定时间(秒)
LOCK_CNT_THRESHOLD	账户登录失败几次锁账户
SIGN_UP_ENABLED	是否开启注册功能，关闭后将无法自主注册用户