系统配置

-w1342

Inception配置

INCEPTION

是否启用Inception替换goInception,开启后需要配置Inception的连接信息,备份库的配置地址可复用,将会使用Inception来替代goInception对MySQL进行审核和执行

GO_INCEPTION_HOST

goInception的连接地址,用于MySQL审核执行,docker-compose启动的请配置为容器名,比如goinception,参考文档:https://github.com/hanchuanchuan/goInception

GO_INCEPTION_PORT

goInception的连接端口,默认4000

INCEPTION_HOST

Inception连接HOST,用于SQL查询语法解析,docker-compose启动的请配置为容器名,比如inception,参考文档 :https://github.com/hhyo/inception

INCEPTION_PORT

Inception连接端口,即Inception配置文件inc.cnf内的port

REMOTE_BACKUP_HOST

goInception/Inception的备份库链接HOST,用于页面展示回滚语句 - goInception和配置文件config.toml内的backup_host保持一致 - Inception和配置文件inc.cnf内的inception_remote_backup_host保持一致,具体说明可参考Inception 备份功能说明

REMOTE_BACKUP_PORT

goInception/Inception的备份库链接端口 - goInception和配置文件config.toml内的backup_port保持一致 - Inception和配置文件inc.cnf内的inception_remote_backup_port保持一致

REMOTE_BACKUP_USER

goInception/Inception的备份库链接用户 - goInception和配置文件config.toml内的backup_user保持一致 - Inception和配置文件inc.cnf内的inception_remote_system_user保持一致

-- 建议赋予用户权限
GRANT SELECT, INSERT, CREATE ON *.* TO 'inception_bak'
REMOTE_BACKUP_PASSWORD

goInception/Inception的备份库链接用户 - goInception和配置文件config.toml内的backup_password保持一致 - Inception和配置文件inc.cnf内的inception_remote_system_password保持一致

需要注意的是,该配置信息,仅仅用于archery从备份库查询回滚语句使用,该配置信息不会被goInception服务使用,goInception连接备份库使用的数据库连接信息应在其自身的config.toml中配置。

SQL上线

CRITICAL_DDL_REGEX

高危SQL语句正则判断条件,用于控制禁止提交的语句,匹配的语句会禁止提交,例如^truncate|^rename|^delete则会禁止提交清空表、修改表名、删除操作的SQL语句,前端展现如下 -w1089

AUTO_REVIEW_WRONG

用于控制自动驳回的等级,驳回的工单不会通知审核人,会系统直接审核不通过。1表示SQL上线审核出现警告信息就驳回,2和空表示出现错误才驳回,其他设置表示不驳回,审核规则请参考Inception所支持的参数变量,前端展现如下 -w1129

ENABLE_BACKUP_SWITCH

是否开启备份选项,未开启时提交SQL工单,将不会显示是否备份选择项,系统会强制备份

AUTO_REVIEW

是否开启SQL上线自动审批,开启自动审批后,当提交的SQL语句不匹配AUTO_REVIEW_REGEX规则,并且update语句的总影响行数低于MAX_UPDATE_ROWS时,系统则会自动审批通过,前端展现如下 -w1138

AUTO_REVIEW_REGEX

正则条件,用于过滤部分需要人工审核的语句,开启自动审批后,当工单中存在匹配的语句时则需要人工审批,例如^create则表示建表语句需要人工审批

MAX_UPDATE_ROWS

自动审批允许工单最大更新行数,系统会遍历工单内所有update语句,使用explain预估影响行数,当影响函数超过该值时则工单需要人工审批

MANNUAL

是否开启SQL上线手工执行确认,开启后在审核通过的工单详情中会出现手工确认按钮,可以仅仅依靠Archery走工单流程,DBA线下手动执行语句并且确认执行结束

SQL查询

QUERY_CHECK

相关issues: https://github.com/hhyo/Archery/issues/145

是否开启SQL查询脱敏的Inception检测,平台的SQL查询功能依靠Inception的语法树打印来解析查询语句中包含的库、表、字段信息,从而进行数据脱敏 * 开启QUERY_CHECK后,如果遇到Inception无法解析的语句,则会直接抛出错误信息,禁止查询 * 关闭QUERY_CHECK后,如果遇到Inception无法解析的语句,系统不再进行数据脱敏,会有数据泄露的风险,请谨慎选择 * 动态脱敏不支持的语法:嵌套子查询、部分非单字段函数,如concat(phone,',')、max(id+num)

DATA_MASKING

是否开启动态脱敏,会利用inception语法树打印,结合后台设置的脱敏字段和脱敏规则,对查询数据进行脱敏。遇到无法解析的语句是报错还是返回未脱敏的数据同样由QUERY_CHECK参数控制 * 正常脱敏: -w1331 * 开启QUERY_CHECK后执行不支持语句 -w1338 * 关闭QUERY_CHECK后执行不支持语句 -w1329

MAX_EXECUTION_TIME

在线查询超时时间阈值,单位秒,默认60,超时的语句会被终止并返回提示信息,目前仅支持MySQL

ADMIN_QUERY_LIMIT

超级管理员的查询限制行数,超级管理员查询数据时不做权限校验,仅由该参数设置最大行数

SQL优化

SQLADVISOR_PATH

SQLAdvisor的可执行文件路径,路径需要完整,docker镜像内已经集成 * 1.4.0以前的docker版本配置成/opt/sqladvisor * 1.4.0以以后的docker版本配置成/opt/archery/src/plugins/sqladvisor

SOAR_PATH

SOAR的可执行文件路径,路径需要完整,docker镜像内已经集成,docker镜像内已经集成 * 1.4.0以前的docker版本配置成/opt/soar * 1.4.0以以后的docker版本配置成/opt/archery/src/plugins/soar

SOAR_TEST_DSN

参考SOAR文档:命令行参数配置DSN

通知

ARCHERY_BASE_URL

系统首页地址, 用于钉钉和邮件发送链接使用,如https://archery.xx.com/

DDL_NOTIFY_AUTH_GROUP

DDL工单通知权限组名,对应权限组管理页面的名称,为空则不通知,仅DDL工单执行完毕时会进行通知 -w1311

MAIL

是否开启邮件通知

MAIL_SSL

是否使用SSL连接

MAIL_SMTP_SERVER

邮件SMTP服务地址,可参考各邮箱对应的设置帮助,例如QQ邮箱的如何使用IMAP服务?

MAIL_SMTP_PORT

邮件SMTP服务端口

MAIL_SMTP_USER

邮件用户名

MAIL_SMTP_PASSWORD

邮件密码,一般为生成的授权码

DING

是否开启钉钉通知,开启后需要配置资源组的机器人webhook连接,资源组内的所有通知都会通过机器人推送

DING_TO_PERSON

是否开启钉钉个人通知,使用微应用+工作通知实现

企业微信

参考企业微信接入开发文档,配置成功后消息会通过企业微信通知

其他配置

阿里云认证信息

实例关联RDS实例ID后,会调用RDS接口获取慢日志、进程、表空间,其中进程和表空间的获取需要管理权限的key

INDEX_PATH_URL

系统首页路径,默认是SQL工单页面

BINLOG2SQL

BINLOG2SQL调用路径,用于实现binlog2sql解析的功能,docker镜像内已经集成 * docker部署请配置为/opt/archery/src/plugins/binlog2sql/binlog2sql.py

DEFAULT_AUTH_GROUP

默认权限组名,新用户首次登录自动关联, 老用户请手动配置

DEFAULT_RESOURCE_GROUP

默认资源组名,新用户首次登录自动关联, 老用户请手动配置

LOCK_TIME_THRESHOLD

账户登录失败锁定时间(秒)

LOCK_CNT_THRESHOLD

账户登录失败几次锁账户

SIGN_UP_ENABLED

是否开启注册功能,关闭后将无法自主注册用户