全新 Terraform provider:通过代码管理 ClickHouse 数据库用户、角色和权限

最新推荐文章于 2025-11-24 14:42:36 发布
原创 最新推荐文章于 2025-11-24 14:42:36 发布 · 897 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#oracle #数据库

图片

本文字数:6656;估计阅读时间:17 分钟

作者:Ryan Sickles

本文在公众号【ClickHouseInc】首发

图片

我们非常高兴地宣布,全新的 Terraform provider —— clickhousedbops —— 现已正式发布,帮助客户以编程方式管理数据库用户、角色以及授予权限。这一新的 provider 同时支持运行在 ClickHouse Cloud 和自托管环境下的 ClickHouse 实例。

目前,已经有许多 ClickHouse Cloud 的客户选择使用 Terraform 来自动化配置和管理 ClickHouse 服务,从而获得极大的易用性优势。过去,我们的 ClickHouse Terraform provider 已经支持管理和部署服务、私有端点以及透明数据加密(Transparent Data Encryption)密钥。现在,客户可以借助 clickhousedbops provider,进一步扩展 Terraform 的使用场景。在配置好与 ClickHouse 实例的直接连接后,客户可以创建数据库,并在数据库中的表或列上定义用户、角色及其权限。

图片

使用 Terraform provider 入门

步骤 1:预配 ClickHouse Cloud 服务

假设你是工程团队的负责人,希望搭建一个新的 ClickHouse 数据库,以便团队存储和分析业务部门的电子邮件和电话日志数据。由于你已经通过 Terraform 管理其他基础设施,也希望以相同方式来管理 ClickHouse。

你需要先登录 ClickHouse Cloud 账户。登录后,可以在 ClickHouse Cloud 组织中创建一个 API Token 和密钥,以便 Terraform 进行连接。

接下来,你想要用 Terraform 定义一个名为 “Log Analytics” 的新的 ClickHouse Cloud 服务。你可以新建一个 main.tf 文件来配置 ClickHouse provider,并在同一个文件中定义位于 AWS us-east-1 区域、名为 “Log Analytics” 的 ClickHouse Cloud 服务资源。

注意:我们不推荐在 terraform 文件中直接存储凭据,请参考文档创建一个单独的变量文件。[https://developer.hashicorp.com/terraform/language/values/variables]

Main.tf 文件

terraform {
  required_providers {
    clickhouse = {
      source  = "ClickHouse/clickhouse"
    }
   }
}

locals {
  # Please don't do this :)
  password = "test"
}

# Configuration-based authentication, replace with your own values
provider "clickhouse" {
  organization_id = ""
  token_key       = ""
  token_secret    = ""
}

resource "clickhouse_service" "service" {
  name           = "Log Analytics"
  cloud_provider = "aws"
  region         = "us-east-1"
  idle_scaling   = true
  min_replica_memory_gb  = 8
  max_replica_memory_gb  = 16
  num_replicas = 3
  idle_timeout_minutes = 5

  # for this example this service will be open to all internet connections
  ip_access = [
    {
      source      = "0.0.0.0/0"
      description = "Test IP"
    }
  ]
  password_hash = sha256(local.password)
}

第二步:管理用户、角色和权限

现在你已经定义好了新的服务,希望在新建的 “Log Analytics” 服务中,向名为 “logs” 的数据库中添加你的团队。以下是团队需要通过 Terraform 配置的要求:

  1. 你的团队包含 3 位用户 —— Ryan、Jill 和 Carol。

  2. Ryan 只需要对数据库中的 email_logs 表执行分析查询,无需访问其他表的数据。

  3. Jill 和 Carol 只需要对数据库中的 phone_logs 表执行分析查询,同样不需要访问其他表的数据。

为满足这些需求,你决定使用 Terraform 和新的 Clickhousedbops provider 来配置这些用户、角色及权限。首先,需要在同一个 main.tf 文件的 required_providers 区块中添加该 Terraform provider。

terraform {
  required_providers {
    clickhouse = {
      source  = "ClickHouse/clickhouse"
    }
    clickhousedbops = {
      source  = "ClickHouse/clickhousedbops"
    }
   }
}
...

接下来,你可以根据需求配置 provider 以及数据库、用户、角色和权限资源,并将这些资源追加到同一个 main.tf 文件的结尾。

provider "clickhousedbops" {
  protocol = "nativesecure"      
  host = clickhouse_service.service.endpoints.nativesecure.host
  port = clickhouse_service.service.endpoints.nativesecure.port
  auth_config = {
    strategy = "password"
    username = "default"
    password = local.password
  }
}
resource "clickhousedbops_database" "logs" {
  name = "logs"
  comment = "Database for logs"
}

resource "clickhousedbops_user" "ryan" {
  name = "ryan"
  # You'll want to generate the password and feed it here instead of hardcoding.
  password_sha256_hash_wo = sha256("test1")
  password_sha256_hash_wo_version = 1
}


resource "clickhousedbops_user" "jill" {
  name = "jill"
  # You'll want to generate the password and feed it here instead of hardcoding.
  password_sha256_hash_wo = sha256("test2")
  password_sha256_hash_wo_version = 1
}

resource "clickhousedbops_user" "carol" {
  name = "carol"
  # You'll want to generate the password and feed it here instead of hardcoding.
  password_sha256_hash_wo = sha256("test3")
  password_sha256_hash_wo_version = 1
}

resource "clickhousedbops_role" "reader_email_logs" {
  name = "reader_email_logs"
}

resource "clickhousedbops_role" "reader_phone_logs" {
  name = "reader_phone_logs"
}

resource "clickhousedbops_grant_privilege" "grant_select_on_email_logs_to_user" {
  privilege_name    = "SELECT"
  database_name     = "logs"
  table_name        = "email_logs"
  grantee_role_name = clickhousedbops_role.reader_email_logs.name
  grant_option      = true
}

resource "clickhousedbops_grant_privilege" "grant_select_on_phone_logs_to_user" {
  privilege_name    = "SELECT"
  database_name     = "logs"
  table_name        = "phone_logs"
  grantee_role_name = clickhousedbops_role.reader_phone_logs.name
  grant_option      = true
}

resource "clickhousedbops_grant_role" "role_to_user_ryan" {
  role_name         = clickhousedbops_role.reader_email_logs.name
  grantee_user_name = clickhousedbops_user.ryan.name
}

resource "clickhousedbops_grant_role" "role_to_user_jill" {
  role_name         = clickhousedbops_role.reader_phone_logs.name
  grantee_user_name = clickhousedbops_user.jill.name
}

resource "clickhousedbops_grant_role" "role_to_user_carol" {
  role_name         = clickhousedbops_role.reader_phone_logs.name
  grantee_user_name = clickhousedbops_user.carol.name
}

第三步:部署到 ClickHouse Cloud

最后,为了把你的 terraform 配置部署到 ClickHouse Cloud 组织中,需要先运行 “terraform init” 下载所需的 provider,然后执行 “terraform apply”。几分钟后,ClickHouse 服务及数据库资源就会创建完成。

% terraform apply
Terraform used the selected providers to generate the following execution plan. Resource actions are indicated with the following symbols:
  + create

Terraform will perform the following actions:

  # clickhouse_service.service will be created
  + resource "clickhouse_service" "service" {
      + backup_configuration        = (known after apply)
      + cloud_provider              = "aws"
      + endpoints                   = (known after apply)
      + iam_role                    = (known after apply)
      + id                          = (known after apply)
      + idle_scaling                = true
      + idle_timeout_minutes        = 5
...
clickhouse_service.service: Creating...
clickhouse_service.service: Still creating... [10s elapsed]
...
clickhouse_service.service: Creation complete after 6m36s 
...
clickhousedbops_role.reader_email_logs: Creating...
clickhousedbops_role.reader_phone_logs: Creating...
clickhousedbops_database.logs: Creating...
clickhousedbops_user.ryan: Creating...
clickhousedbops_user.carol: Creating...
clickhousedbops_user.jill: Creating...
...
Apply complete! Resources: 12 added, 0 changed, 0 destroyed.

完成之后,你可以通过 ClickHouse Client CLI 以默认用户身份登录,在 logs 数据库中创建两个表 —— email_logs 和 phone_logs —— 并分别导入需要的数据,然后确认正确的用户以及对应的角色和权限是否已经生效。

提示:可以连接数据库并运行 SQL 命令 “SELECT * FROM system.role_grants”,查看数据库中所有用户及角色的权限情况。

恭喜你,已经成功使用这两个官方支持的 ClickHouse Terraform provider,完成了 ClickHouse Cloud 服务、数据库、用户、角色及数据库权限的配置工作。

Terraform 管理自托管 ClickHouse

假设你目前并不是 ClickHouse Cloud 的客户(这里也提供免费试用哦![https://clickhouse.com/])。这个全新的 clickhousedbops provider 同样支持那些希望通过 Terraform 管理自己云端或本地自托管 ClickHouse 数据库的用户、角色和权限授予的客户。

为了支持这些开源的 ClickHouse 部署,如果用户有多个副本,可以在每个 clickhousedbops 资源定义中设置一个 “cluster_name” 变量(以数据库资源为例[https://registry.terraform.io/providers/ClickHouse/clickhousedbops/latest/docs/resources/role#optional]),这样就能在该集群的所有副本上创建所需资源。如果不设置这个参数,资源将仅在被查询命中的一个副本上创建。我们建议在操作包含多个副本的集群时,总是配置这个参数。

注意:在使用 ClickHouse Cloud 集群时,必须将该字段保持为空。而对于自托管的 ClickHouse 实例,如果存在多个副本且没有使用 'replicated' 存储管理 user_directory,则只应在非数据库资源中设置该字段。

你可以像下面这样定义你的 clickhousedbops 数据库资源:

resource "clickhousedbops_database" "logs" {
  name = "logs"
  cluster_name = "cluster1"
  comment = "Database for logs"
}

欢迎尝试并反馈

我们希望新的 Terraform 支持可以让管理 ClickHouse 基础设施变得更加简单、更加可靠。欢迎感兴趣的用户尝试我们的 terraform provider,并通过在 GitHub 的 ClickHouse 或 Clickhousedops 仓库提交 issue 的方式直接反馈。

征稿启示

面向社区长期正文,文章内容包括但不限于关于 ClickHouse 的技术研究、项目实践和创新做法等。建议行文风格干货输出&图文并茂。质量合格的文章将会发布在本公众号,优秀者也有机会推荐到 ClickHouse 官网。请将文章稿件的 WORD 版本发邮件至:Tracy.Wang@clickhouse.com

ClickHouseDB
关注
Terraform + Vault 轻松构建Kubernetes 集群
Yet Another Cloud
08-01 2040
本文主要介绍如果通过Terraform Vault 轻松构建Kubernetes 集群环境, 写作来源于 Kelsey Hightower 的Kubernetes The Hard Way, 主要介绍的是在Google Cloud上面的部署kubernetes过程, 在部署kubernets 环境的时候,相信大多数人都遇到过如下类似的问题: 证书创建过程繁琐 难以做到虚拟机创建过程标准...
Terraform实战:自动化云基础设施管理
08-26
本书《Terraform实战》旨在向读者展示如何使用Terraform工具包自动化扩展基础设施的程序化管理。通过实际案例,如配置Kubernetes集群、部署多人游戏等,帮助读者掌握Terraform的核心概念技术。书中涵盖了...
Terraform最佳实践
weixin_34004750的博客
05-24 1462
Terraform 又是什么新工具帮你创建删除资源。它使用起来非常简单,我们希望用户能把精力全都集中开发工作上,而不是考虑管理资源这种琐事上。我尽量让这篇文章通俗易懂,无论你是从事什么工作,只要你的工作内容跟云资源管理有一点点关系,都能从Terraform中受益最快的上手的方法永远是先用一下试试,按照下面的方法去做:Step - 1 准备一些原料Terraform在官网下载一个不到15M大小的...
goose与Terraform集成:基础设施即代码中的数据库管理
gitblog_00332的博客
09-11 346
在DevOps云原生架构普及的今天,基础设施即代码(Infrastructure as Code, IaC)已成为自动化部署的标准实践。Terraform作为IaC领域的领军工具,能够高效管理云资源的生命周期,但在数据库模式(Schema)迁移方面却存在天然短板。传统数据库变更往往依赖手动执行SQL脚本或独立迁移工具,导致: - **环境一致性问题**:开发、测试、生产环境的数据库结构不同步 ...
Bytebase:数据库DevOps革命的开源利器
gitblog_00356的博客
09-11 268
Bytebase是一款开源的数据库DevOps平台,专门解决传统数据库管理中的手动操作、缺乏版本控制、难以追踪变更历史等痛点。它将自己定位为"数据库领域的GitLab",为开发团队、DBA安全团队提供一站式数据库DevOps解决方案,实现了真正的"数据库即代码"理念。通过GitOps工作流、自动化CI/CD流水线、企业级安全与合规特性,以及多数据库生态系统支持,Bytebase正在重新定义数据库...
精选的 Go 框架,库软件的精选清单
优秀技术文章收录
05-09 8600
来自:https://learnku.com/articles/41230 精选的 Go 框架,库软件的精选清单 概述 这是一个 Go 相关的框架,库软件的精选清单,引用自awesome-go项目,并翻译补充而来这是一个 Go 相关的框架,库软件的精选清单,引用自awesome-go项目,并翻译补充而来 如果看到不再维护的项目,请及时联系发帖者或留言,谢谢!* 音频音乐 用于处理音频的库。 EasyMIDI-EasyMidi 是一个简单可靠的库,用于处理标准 Midi...
Go 相关的框架,库软件的精选清单
开发之路
07-03 6034
概述 这是一个Go 相关的框架,库软件的精选清单,引用自 awesome-go项目,并翻译补充而来这是一个Go 相关的框架,库软件的精选清单,引用自 awesome-go项目,并翻译补充而来 音频音乐 用于处理音频的库。 EasyMIDI -EasyMidi是一个简单可靠的库,用于处理标准Midi文件(SMF)。 flac支持FLAC流的Native Go FLAC编码器/...
Python在企业中的应用场景
O(∩_∩)O
07-02 1419
Python 在企业中的应用场景极为广泛,凭借其简洁语法、丰富生态强大的库支持,已成为金融、科技、制造、医疗等行业的核心工具。
Terraform教程:示例演示管理Docker与Kubernetes资源
11-12
南大通用大规模分布式并行数据库集群系统,简称:GBase8a MPP Cluster,它是在 GBase 8a 列存储数据库基础...通过对本教程的学习,用户可以掌握Terraform基本用法核心概念,能够独立完成小型项目的自动化部署与维护。
terraform-provider-zerotier:通过Terraform创建,修改销毁ZeroTier网络成员
01-30
这使您可以通过Terraform创建,修改销毁网络成员。 建造安装 由于这不是由Hashicorp维护,因此您必须手动安装。 主要有两种方法: 下载发行版 下载并解压缩。 然后,将二进制文件移至terraform插件目录。 ...
terraform-provider-jenkins:用于管理jenkins作业配置的Terraform Provider
02-06
Terraform Provider管理詹金斯的工作 安装 您将需要将二进制文件安装为。 然后,当您运行terraform init时,Terraform将从本地文件系统中提取二进制文件。 curl -s ...
NaverCloud Terraform Provider:最新版本及使用教程
通过使用 terraform-provider-ncloud,用户可以使用 Terraform 的标准配置语法在 NCP 上部署管理虚拟机、负载均衡器、安全组、网络等资源。 #### 安装 terraform-provider-ncloud 为了在 Terraform 中使用 Naver...
oracle 12c查看执行过的sql及当前正在执行的sql
2509_94005984的博客
11-23 975
2.PARSING_SCHEMA_NAME显示的是哪个用户执行的该sql,而不是这个sql操作的表属于哪个schema。当执行新的SQL语句时,如果这条SQL语句不在共享池中,数据库会进行硬解析,并将解析后的执行计划加载到共享池中。如果执行的是共享池内已经存在的SQL语句,则只会进行软解析,LAST_LOAD_TIME的值不会改变。假如同事让排查某个接口都有哪些慢sql,可以使用这个方法(先调用下这个慢接口,然后统计下这个时间段内的慢sql),只是会导出非这个接口的多余慢sql,再结合业务进行筛选吧。
SQL 注入详解:原理、危害与防范措施
2509_94107200的博客
11-24 546
SQL注入是一种常见的安全漏洞,攻击者通过在应用程序中插入恶意的SQL代码,诱使数据库执行非授权的操作。这种攻击通常发生在应用程序没有正确过滤或转义用户输入的情况下,导致攻击者能够操控数据库查询,从而获取、修改或删除数据。SQL注入是一个严重的安全问题,开发者必须采取有效措施来预防。使用预编译语句、严格验证用户输入、遵循最小权限原则等都是防范SQL注入的有效手段。此外,定期的安全审查测试也是保障应用安全的重要环节。通过这些措施,可以大大降低SQL注入的风险,保护应用程序用户数据的安全。
SQL视图使用
2509_93948268的博客
11-23 357
当然,也要时刻注意其可能带来的性能影响,在复杂场景下,可以考虑使用物化视图(Materialized View,并非所有数据库都支持)或其他缓存策略来弥补性能短板。而如果应用程序访问的是视图,那么只要视图的结构保持不变(通过修改视图定义来适配底层表的变化),应用程序就无需任何改动。性能问题:视图本身不存储数据,每次查询视图,本质上都是在执行定义它的那条SQL语句。将复杂的连接、子查询、聚合函数等逻辑封装在视图内部,上层应用用户只需要面对一个简单的表结构,大大降低了SQL的编写难度理解成本。
Oracle sql tuning guide 翻译 Part 6-5 --- Hint使用报告的操作方法例子
last_zhiyin的博客
11-24 577
给出很多hint使用情况的例子,值得看一看
【KingbaseES】V8R6/V9 Oracle兼容参数配置
圈小圈DBA的博客
11-24 222
Oracle hints 空格要求
最新发布
jnrjian的博客
11-24 175
(1)DELETE、INSERT、SELECTUPDATE是标识一个语句块开始的关键字,包含提示的注释只能出现在这些关键字的后面,否则提示无效。(3)hint是下面介绍的具体提示之一,如果包含多个提示,则每个提示之间需要用一个或多个空格隔开。(2)“+”号表示该注释是一个Hints,该加号必须立即跟在”/*”的后面,中间不能有空格。(5)如果你没有正确的指定Hints,Oracle将忽略该Hints,并且不会给出任何错误。(7)不要在提示中使用模式名称:如果在提示中使用了模式所有者,那么提示将被忽略。
Oracle导出
weixin_64772672的博客
11-21 278
但遇到有blob(大文本类型)字段时无法使用.sql类型文件。也可以导出带有blob类型字段的表数据。可导出表结构,表数据,可导出.sql。exp命令行,方便快速。1.PL/SQL工具导出。
Terraform Contentful Provider:构建管理Contentful基础设施
Terraform是一种基础设施即代码(Infrastructure as Code, IaC)的工具,它允许用户通过使用声明性配置文件来定义部署云基础设施。它由HashiCorp公司开发,可以管理跨多个云服务提供商的资源,包括AWS、Azure、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值