云数据库管理 DMS（一）| 学习笔记

开发者学堂课程【企业运维训练营之数据库原理与实践课程 ：云数据库管理 DMS（一）】学习笔记，与课程紧密联系，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/1201/detail/18286

云数据库管理 DMS

内容介绍

一、企业及数据库管理痛点

二、数据管理 DMS 概述

三、DMS 解决方案

四、DMS 实战饰演

各位同学好，我是今天数据库训练营的第三讲讲师，我叫李可可花名红颜跟前面两位讲师一样，都是来自阿里云的专家服务团队主要做数据库的售后工作。昨天的课程学习了 AliSQL 在稳定性和性能方面的一些特性，比如说 foster，ddl 还有闪回。讲师也演示了云数据库实际的一些基本管控功能，今天我给大家带来的是数据操作和管控管理层面的内容或者方案介绍。

今天的课程分为四部分，第一部分主要是企业级数据库管理的一些痛点，第二部分给大家介绍一下阿里云数据库管理的一个产品叫 DMS ，第三部分主要介绍 DMS 在数据安全方面的一些最佳实践或解决方案，还有时间的话可以通过一个小实验去了解一下 DMS 。希望通过本次的课程大家能了解 DMS 的基本功能，熟悉阿里巴巴在数据安全管理方面的一些最佳实践方案。

首先大家想一下，在个人应用数据库的时候有哪些需求或者痛点。大家应该都不太喜欢使用 Shell 去连接数据库，更喜欢使用 catrpr circle 这种工具。

一、企业及数据库管理痛点

为什么我们更喜欢这种工具呢？

首先最大的一个优势是白屏化，它能提供一个白屏的页面去操作数据库，比如登录方面能保存数据库 IP 或者账号，有些人可能会去保存密码方便下次登录，在数据管理方面，它也能支持很多白屏化的操作，比如说添加账号、添加库表或者修改一些数据查看数据库、表源数据，使操作变得非常直观且简单。还有一个优势就是它兼容了挺多数据库种类，比如它支持很多关系型数据库。这种工具其实也提供了很多一些高级功能，比如一些数据迁移，通过跨版本去迁移或者 MYSQL 同步到 Oracle，其实都是可以通过这种工具来实现的。

这些工具基本上能满足个人的使用需求，但是对于一个团队来讲还是有很多不足的。对于一个团队或者企业来说，数据管理更复杂，它主要表现为数据库实例多种类、多版本、人员多、角色分配也很多、业务多且复杂，也导致数据库的dd多就是我们的或者是说 Steamer。怎么去管理就变得很复杂。企业特别注重数据安全，数据泄露对企业的危害是极其巨大的，需要一个措施区管理各种权益或者权限，并且需要做到操作审计，在变更管控方面有权限细化、硬质化的审批流程等需求，SQL 审核成本高，即指在代码上线之前通过工具等审核代码 SQL 来满足规则要求，生产库表由于数量大这、业务关联性非常高，如果进行表结构变更的话变更会比较大，这也是企业型数据库变更的一个痛点。还有就是一些是否能提供一个功能，数据库删除的时候能够帮助快速恢复，这些痛点都不是一个这种工具能解决的。那么就需要一个平台去解决这类问题。阿里巴巴基于集团多年的数据库管理经验以及最佳实践就打造了这么一款平台。就是 DMS，我们会详细给大家介绍一下 DMS 是怎么做的。

二、数据管理 DMS 概述

首先看一下 DMS 的简单介绍。DMS 是一种高效、安全、全面的数据开发工作环境提供免安装、免运维、即开即用多种数据库类型和多种环境统一的 web 数据库管理终端。这里有几个关键词，即开即用其实是一种云数据库服务，只要开通其实就可以使用的，是一种  web 数据库管理终端，也就是说它只依赖于浏览器。通过 DMS 可以在一个GUI 环境中完成超过25种数据库的统一管理数据开发。他设计和数据仓库的开发和性能诊断这种工作。从右边的图可以看到它其实支持很多种数据库，包括关系数据库，No circle 还有数据仓库。超过30种，它的接入方式的话也有很多种，比如说阿里云内网的访问，包括云数据库或者是 EMS 自建库，云数据库也包含跨阿里云账号访问走的内网，公网访问也是可以介入的。还有 VPC 专线、VPN 网关或者数据库网关通过这种方式可以支持很多 IDC 自建库或者一些友商云的数据库或者友商云的自建库。只要网络能连通，DMS 就能管这个数据库。再往上升就是 DMS 实现的一些功能，第一个是研发效能，第二个是数据安全，数据安全主要分为数据访问安全、数据变更安全，这也是后面方案重点介绍的。第三个是统一管理，在这个功能之上 DMS 也提供了一些商业化的应用，比如说可视化报表或者是实时数据归档或者T加一数据归档都是实现了的，开通之后就可以直接使用。这个后面讲到的方案，大部分都是集中在这个数据访问安全和数据变更安全里面，其他因为时间问题，我自己去也没有准备，下次有机会的话再给大家介绍。

DMS 为了提供灵活的权限管理方式，用了三种实例级别的管控模式，分别为自由操作、稳定变更、安全协同。可以根据不同的应用场景配置不同的管控模式，一般是在录实例的时候可以选择，也可以后期去更改，不同管控模式对于实例的管控流程逻辑会不一样，能想受的公里也不一样。简单列举了一些，比如自由操作就相当于工具管理数据库的方式，他还通过账号密码去登录，登录操作后就管控的很松了，就不会有更多流程上的管控和审核，谈呢过使用的功能包括DDL、DML、数据导入\导出、可视化元信息操作，还提供了数据追踪的功能，后面有一个方案也会提到，因为他管得比较松，它是适用于单用户去使用的，因为他也没有多用户的联动。

稳定变更是在自由操作的基础上为数据库提供的一些更加稳定的运行解决方案，比如新增了无锁表结构变更无所数据。数据导出和数据追踪在自由操作的基础上提高了一些限制，比如导出数据量的提升，还有数据追踪时间的增长，这些都有一定提升。这种管控模式适用于需要数据库实例稳定运行和持续可用性要求比较高的场景，适用于小团队多人协同，安全协同的话就是我们的 EMS 的一个重点，它支持

自由操作和稳定变更的所有功能，并在此基础上提供了但 UPS 的功能，比如很多数据安全和提高效能等方面的功能，这也是今天分享的重点。该模式有很多特点，比如它是免登陆的，通过授权就可以使用，适用于一些数据安全要求比较严格，变更流程强管控以及规格管理需求的场景，也是企业数据库管理的首选。

企业数据库管理的一些痛点 DMS 怎么去解决这些问题。这里总结了八个解决方案，这些方案都是基于安全，携程管控模式，这个方案主要是授权管理、敏感数据管理，还有一个安全规则和操作审计。上面四个主要是数据防护安全，下面四个主要是数据变更安全，比如是否审核无数表结构变更和无锁数据变更，还有一个续追踪和恢复。首先来看一下授权管理的解决方案。

随着企业规模的提升数据库使用人员变更、人员跟角色变得越来越复杂，访问需求也越来越多，依靠传统的 DBA 管理模式单点去响应所有人员对数据库的访问请求变得不太现实，而且容易出错。并且依赖数据库自身的账号权限能力因为它的账号权限力度最新是到比较对象级别，如果多个人员去共用一个账号就会带来很大的操作风险，同样还有数据安全风险。员工离职的时候就需要去考虑，是不是要重置账号的密码，如果重置密码还需要去考虑一下是否会引起业务的中断

这种风险，如果每个人员单独建立一个账号，数据库会变得非常庞大也会非常难于管理，随着企业管理规模，管理多个数据库的时候，其实每个数据库都是一个单独的账号权限系统，所以随着业务的发展，可能这种小系统就会越来越多，依靠人力去管理变得不太现实，所以 DMS 给出方案就是通过去统一账号管理入口，仅需要给 DMS 创建一个专用的高权限账号，这里下面也给了比如说它是有一个叫 DMS 账号，给一个高权限就可以了，这样就能避免人员直接去接触数据库，细粒度的权限管控是在 DMS 内部去实现的，面向于阿里云和个人账号，也就是说申请的阿里云个人账号权限的基础申请权限时是付到阿里云账号的，并不只是阿里云账号，DMS 也支 持 SSO 这种方式。比如有些企业有自己的单点定位系统，这个也是提供对接方案的，比如企业有自己的工人目录，用户去登录 DMS 浏览器会自动健全自身的管理系统，管理完成也是 DMS 的。细粒度是 DMS 内部实现的，其实他的实例权限的申请、注销等操作都是 DMS 内部完成的。粒度是很细的比如行级别的管控可以改列。数据是可以精确到列级别的。全县基本类别有很多种，比如查询、变更、导出。权限时间粒度也是非常细的，可以精确到小时级别，到时候会自动回收。也就是说如果某个项目去查个问题或者变更去需要开通一个小时的权限，DMS 能轻松实现。这种 DMS 有很大的优势，员工在转岗或者离职的时候就变得很简单了，只需要注销个人云账号就可以了，并不需要直接操作数据库，数据库其实是不会变化的，所以也不会有什么风险，因为个人云账号是有 AK 的 ，如果他写的某个程序使用了 AK，这个可能会影响一些open API 的相关功能，方便企业自动化的管理，比如授权或者是一些用户的申请、注销都是可以通过 API 去实现的。企业只需要去通过这种 Open API 调用实现自动化管理，这个就是 DMS 的授权管理的最佳使用方案，这个是 DMS 的一个级数。