2. 程式人生 > >ClickHouse學習系列之二【使用者許可權管理】

ClickHouse學習系列之二【使用者許可權管理】

阿新 發佈:2020-04-04

背景

      最近花了些時間看了下ClickHouse文件,發現它在OLAP方面表現很優異,而且相對也比較輕量和簡單,所以準備入門瞭解下該資料庫系統。在安裝完之後首先做的應該如何設定使用者密碼以及許可權控制。因為和MySQL、MongoDB等資料庫的使用者管理完全不一樣,為方便自己以後直接查閱,本文對其使用者許可權管理方面進行梳理說明。

說明

      ClickHouse作為一個分析型別(OLAP)的資料庫系統,相對於MySQL資料庫在使用者管理方面有很大不同,它是通過修改配置檔案來實現使用者許可權管理的。在安裝好ClickHouse之後,其預設的配置檔案在/etc/clickhouse-server目錄下,對應的配置檔案為users.xml,ClickHouse使用它來定義使用者相關的配置項。現在開始對其進行說明,對應手冊裡的說明包含以下幾個方面:

  • Settings profiles 
  • User settings
  • Constraints on Settings
  • Quotas
  • Permissions for queries
  • Access Rights

注意一點,修改了user.xml的引數之後是即時生效的,如有問題可以檢視其錯誤日誌。好了,現在開始對這些進行說明,先熟悉使用者許可權管理這一方面的相關操作。

※ Settings profiles :設定使用者配置檔案

profile的作用類似於使用者角色,可以在user.xml中定義多組profile,並可以為每組profile定義不同的配置項,類限制資源的使用。多個profile的配置可以複用。咋眼一看有點和MySQL的Proxy許可權類似。

模板:

    <profiles> --配置profile
        <default>  -- 自定義profile
            <max_memory_usage>10000000000</max_memory_usage>
            <use_uncompressed_cache>0</use_uncompressed_cache>
            <load_balancing>random</load_balancing>
        </default>
        <readonly>  -- 自定義profile
            <readonly>1</readonly>
       <max_memory_usage>100000000</max_memory_usage>
        </readonly>
    </profiles>

說明:

  • <default>:自定義profile,可以在它下面設定相關引數,如:最大記憶體使用、只讀等等。更多的配置引數後續會介紹,也而已看官網文件,可以設定多個profile。

該示例指定了兩個profile:default和readonly。 預設<default>有一個特殊用途:必須始終存在並且在啟動伺服器時應用。profile檔案可以相互繼承,只需要在配置檔案中列出即可,如定義一個test的profile:

        <test>
            <profile>readonly</profile>
            <max_memory_usage>10000</max_memory_usage>
        </test>

test的profile繼承了readonly的profile,包含了其所有的配置,並且使用新引數來覆蓋其原有的配置。設定了之後如何使用呢?有二種方法,第1是直接在終端命令列裡進行設定,第2個是在users.xml中的users選項組裡進行指定(後面會說明)。

[root@dba clickhouse-server]# clickhouse-client
ClickHouse client version 20.3.5.21 (official build).
Connecting to localhost:9000 as user default.
Connected to ClickHouse server version 20.3.5 revision 54433.

dba :) set profile = 'test'

SET profile = 'test'

Ok.
rows in set. Elapsed: 0.002 sec. 

dba :) set max_memory_usage = 123123

SET max_memory_usage = 123123

Received exception from server (version 20.3.5):
Code: 164. DB::Exception: Received from localhost:9000. DB::Exception: Cannot modify 'max_memory_usage' setting in readonly mode. 
rows in set. Elapsed: 0.005 sec. 

dba :) Bye.
View Code

測試說明已經把readonly的profile的引數(readonly)繼承過來了。 

※ Constraints on Settings:約束

在user.xml配置檔案的profile選項組下constraints選項組裡定義對設定的約束,並禁止使用者使用SET查詢更改某些設定。constraints標籤可以設定一組約束條件,以限制profile內的引數值被隨意修改,約束條件有如下三種規則:

  • min:最小值約束,在設定相應引數的時候,取值不能小於該閾值;

  • max:最大值約束,在設定相應引數的時候,取值不能大於該閾值;

  • readonly:只讀約束,該引數值不允許被修改。

需要在profile選項組裡設定constraints,模板:

<profiles>
  <user_name>
    <constraints>
      <setting_name_1>
        <min>lower_boundary</min>
      </setting_name_1>
      <setting_name_2>
        <max>upper_boundary</max>
      </setting_name_2>
      <setting_name_3>
        <min>lower_boundary</min>
        <max>upper_boundary</max>
      </setting_name_3>
      <setting_name_4>
        <readonly/>
      </setting_name_4>
    </constraints>
  </user_name>
</profiles>

說明:如果違反約束,則會引發異常,並且設定實際上不會更改。支援三種約束型別:最小,最大,只讀。 最小和最大約束為數字設定指定上限和下限,並且可以組合使用。 只讀約束指定使用者完全不能更改相應的設定。如: 

    <profiles>
        <default>
            <max_memory_usage>10000000000</max_memory_usage>
            <use_uncompressed_cache>0</use_uncompressed_cache>
            <force_index_by_date>0</force_index_by_date>
            <load_balancing>random</load_balancing>
            <constraints>
                <max_memory_usage>
                    <min>100000</min>
                    <max>20000</max>
                </max_memory_usage>
                <force_index_by_date>
                    <readonly/>
                </force_index_by_date>
            </constraints>
        </default>
    </profiles>

說明:在default預設profile中定義的constraints約束,將作為預設的全域性約束,自動被其他profile繼承。例子中約束了引數max_memory_usage的最大最小值和引數force_index_by_date的只讀屬性,不能修改。關於更多的引數後續會再進行說明,也可以看官方文件。如果違反約束則會報錯:

Code: 452. DB::Exception: Received from localhost:9000. DB::Exception: Setting max_memory_usage shouldn't be less than 100000.

Code: 452. DB::Exception: Received from localhost:9000. DB::Exception: Setting force_index_by_date should not be changed.
View Code

※ Quotas:配額,限制使用資源,限制有二種型別:一是在固定週期裡的執行次數(quotas),二是限制使用者或則查詢的使用資源(profiles)

在user.xml配置檔案的選項組quotas裡設定,限制該使用者一段時間內的資源使用,即對一段時間內執行的一組查詢施加限制,而不是限制單個查詢。還具有限制單個查詢的複雜性的功能。模板:

    <!-- Quotas. -->
    <quotas>
        <!-- Name of quota. -->
        <default> --指定quotas名
            <!-- Limits for time interval. You could specify many intervals with different limits. -->
            <interval> --時間間隔
                <!-- Length of interval. -->
                <duration>3600</duration> --週期
                <!-- No limits. Just calculate resource usage for time interval. -->
                <queries>0</queries>
                <errors>0</errors>
                <result_rows>0</result_rows>
                <read_rows>0</read_rows>
                <execution_time>0</execution_time>
            </interval>
        </default>
    </quotas>

預設情況下,配額僅跟蹤每小時的資源消耗,而沒有限制使用情況。在每個請求之後,將為每個時間間隔計算的資源消耗輸出到伺服器日誌。

說明:

  • <default>:配額規則名。
  • <interval>:配置時間間隔,每個時間內的資源消耗限制。
  • <duration>:時間週期,單位秒。
  • <queries>:時間週期內允許的請求總數,0表示不限制。
  • <errors>:時間週期內允許的異常總數,0表示不限制。
  • <result_rows>:時間週期內允許返回的行數,0表示不限制。
  • <read_rows>:時間週期內允許在分散式查詢中,遠端節點讀取的資料行數,0表示不限制。
  • <execution_time>:時間週期內允許執行的查詢時間,單位是秒,0表示不限制。

上面示例中的配置,屬性值均為0,所以資源配額不做任何限制。現在繼續宣告另外一組配額:

<statbox>
    <interval>
        <duration>3600</duration>
        <queries>1000</queries>
        <errors>100</errors>
        <result_rows>1000000000</result_rows>
        <read_rows>100000000000</read_rows>
        <execution_time>900</execution_time>
    </interval>

    <interval>
        <duration>86400</duration>
        <queries>10000</queries>
        <errors>1000</errors>
        <result_rows>5000000000</result_rows>
        <read_rows>500000000000</read_rows>
        <execution_time>7200</execution_time>
    </interval>
</statbox>

說明:對於“ statbox”配額,每小時和每24小時(86,400秒)設定限制, 如果超過限制則會執行失敗,並給出何時才能執行的錯誤:

Code: 201. DB::Exception: Received from localhost:9000. DB::Exception: Quota for user `default` for 10s has been exceeded: queries = 4/3. Interval will end at 2020-04-02 11:29:40. Name of quota template: `default`.
View Code

從實施定義的固定時刻開始計算時間間隔。間隔結束時,將清除所有收集的值。 接下來的一個小時,配額計算將重新開始。對於分散式查詢處理,累積量儲存在請求者伺服器上。 因此,如果使用者轉到另一臺伺服器,則那裡的配額將重新開始。重新啟動伺服器後,配額將重置。

quotas 在配置的“使用者”部分分配給使用者,如果不是根據時間週期而是根據查詢的資源消耗來進行限制,則在user.xml裡的profile裡進行設定,如引數:

1:max_memory_usage:在單個ClickHouse服務程序中,執行一次查詢限制使用的最大記憶體用量,預設值為10G;
2:max_memory_usage_for_user:在單個ClickHouse服務程序中,以使用者為單位進行統計,單個使用者在執行查詢時,限制使用的最大記憶體用量,預設值為0,即不做限制;
3:max_memory_usage_for_all_queries:在單個ClickHouse服務程序中,所有執行的查詢累加在一起,限制使用的最大記憶體用量,預設為0不做限制;
4:max_partitions_per_insert_block:在單次INSERT寫入的時候,限制建立的最大分割槽個數,預設值為100個。如果超出這個閾值數目,將會得到異常;
5:max_rows_to_group_by:在執行GROUP BY聚合查詢的時候,限制去重後的聚合KEY的最大個數,預設值為0,即不做限制。當超過閾值數量的時候,其處理方式由group_by_overflow_mode引數決定;
6:group_by_overflow_mode:當max_rows_to_group_by熔斷規則觸發的時候,有三種處理形式: 
throw丟擲異常,此乃預設值;
break立即停止查詢,並返回當前部分的資料;
any僅以當前已存在的聚合KEY,繼續完成聚合查詢;
7:max_bytes_before_external_group_by:在執行GROUP BY聚合查詢的時候,限制使用的最大記憶體用量,預設值為0,即不做限制。當超過閾值數量的時候,聚合查詢將會進一步借用本地磁碟。

如果超過了限制則報錯:

Code: 241. DB::Exception: Received from localhost:9000. DB::Exception: Memory limit (for user) exceeded: would use 4.81 MiB (attempt to allocate chunk of 5045339 bytes), maximum: 1.00 B: While executing MergeTree
View Code

※ User settings:使用者配置

在user.xml配置檔案的users選項組是配置自定義使用者,定義一個新使用者,必須包含以下幾項屬性:使用者名稱、密碼、訪問ip、資料庫、表等等。它還可以應用上面的profile、quota。

模板:

<users>
    <!-- If user name was not specified, 'default' user is used. -->
    <user_name> --配置的使用者
        <password></password> --明文密碼
        <!-- Or -->
        <password_sha256_hex></password_sha256_hex> --加密密碼,二選一

        <networks incl="networks" replace="replace"> --允許登入的地址,用於限制使用者登入的客戶端地址
        </networks>

        <profile>profile_name</profile>   --指定使用者的profile

        <quota>default</quota>    -- 指定使用者的quota,限制使用者使用資源

        <databases>               --指定資料庫
            <database_name>
                <table_name>      --指定資料表
                    <filter>expression</filter>
                </table_name>
            </database_name>
        </databases>
    </user_name>
    <!-- Other users settings -->
</users>

說明:預設配置了default使用者,在此之前的所有示例中,一直使用的是這個使用者。

  • <user_name>:自定義使用者
  • <password>:使用者密碼
    密碼可以以純文字、SHA256(十六進位制格式)、password_double_sha1_hex(和MySQL相容)指定,設定方法如下:
    1.純文字:
<password>password</password>
2.sha256:
<password_sha256_hex>password</password_sha256_hex>
從shell生成密碼的示例:
PASSWORD=$(base64 < /dev/urandom | head -c8); echo "$PASSWORD"; echo -n "$PASSWORD" | sha256sum | tr -d '-'
第一行明文,第二行sha256
3.sha1:
    <password_double_sha1_hex>password</password_double_sha1_hex>
從shell生成密碼的示例:
PASSWORD=$(base64 < /dev/urandom | head -c8); echo "$PASSWORD"; echo -n "$PASSWORD" | sha1sum | tr -d '-' | xxd -r -p | sha1sum | tr -d '-'
第一行明文,第二行sha1
  • <networks>:限制使用者登入的客戶端地址
    可以通過IP,主機等進行限制
    <ip>:IP地址,如10.0.0.1
<host>:主機名,如example01.host.ru
<host_regexp>:^example\d\d-\d\d-\d\.host\.ru$

來自任何IP:
<ip> :: / 0 </ ip>
來自本機:
<ip>::1</ip>
<ip>127.0.0.1</ip>
  • <profile>:指定使用者的profile
  • <quota>:指定使用者的quota,限制使用者使用資源
  • <database_name>:指定使用者訪問的資料庫
  • <table_name>:指定使用者訪問的表
  • <filter>:指定使用者訪問的過濾器,限制返回符合條件的行。如:id = 1 ,即查詢表只返回id=1的行

例子:

    <users>
        <default>
            <password>123456</password>
            <networks incl="networks" replace="replace">
                <ip>::/0</ip>
            </networks>
            <profile>default</profile>
            <quota>default</quota>
        </default>

        <zhoujy>
            <password_double_sha1_hex>6bb4837eb74329105ee4568dda7dc67ed2ca2ad9</password_double_sha1_hex>
            <networks incl="networks" replace="replace">
                <ip>::/0</ip>
            </networks>
            <profile>default</profile>
            <quota>default</quota>
            <allow_databases>
                <database>test</database>
            </allow_databases>
            <databases>
                <test>  
                    <xx>
                        <filter>id >= 500 </filter>  --行級限制
                    </xx>
                </test>
            </databases>
        </zhoujy>

    </users>

該示例指定了兩個使用者:

default:指定了密碼、訪問IP、profile、quota。
zhoujy :指定了密碼、訪問IP、profile、quota,以及它只能使用test庫,並且只能返回test庫xx表id大於等於500的資料。

※ Permissions for queries:查詢許可權管理

查詢可以分為以下幾種型別:

  • 讀:SELECT,SHOW,DESCRIBE,EXISTS
  • 寫:INSERT,OPTIMIZE。
  • DDL:CREATE,ALTER,RENAME,ATTACH,DETACH,DROP TRUNCATE。
  • 設定:SET,USE。
  • KILL

以上的許可權通過配置標籤來控制:

readonly :讀許可權、寫許可權和設定許可權,由此標籤控制,它有三種取值:

  • 0,不進行任何限制(預設值);

  • 1,只擁有讀許可權(只能執行SELECT、EXISTS、SHOW和DESCRIBE);

  • 2,擁有讀許可權和設定許可權(在讀許可權基礎上,增加了SET查詢)。

當設定readonly=1後,使用者將無法在當前會話中更改readonly和allow_ddl設定;也可以通過約束來限制更改許可權。

allow_ddl:DDL許可權由此標籤控制,它有兩種取值:

  • 當取值為0時,不允許DDL查詢;

  • 當取值為1時,允許DDL查詢(預設值)

如果當前會話的allow_ddl = 0,則無法執行SET allow_ddl = 1

注意:KILL QUERY可以在任何設定上執行,readonly和allow_ddl需要定義在使用者profiles中。

    <profiles>   --在profiles裡設定
        ...
        <normal> --只讀,不能DDL
            <readonly>1</readonly>
            <allow_ddl>0</allow_ddl>
        </normal>

        <normal_1> --讀且能set,不能DDL
            <readonly>2</readonly>
            <allow_ddl>0</allow_ddl>
        </normal_1>

        <normal_2> --只讀,即使DDL允許
            <readonly>1</readonly>
            <allow_ddl>1</allow_ddl>
        </normal_2>

        <normal_3> --讀寫,能DDL
            <readonly>0</readonly>
            <allow_ddl>1</allow_ddl>
        </normal_3>

    </profiles>

...
    <users>
        ...
        <test>
            <password>123456</password>
            <networks incl="networks" replace="replace">
                <ip>::/0</ip>
            </networks>
            <profile>normal_3</profile> --使用者引用相關profile
            <quota>default</quota>
        </test>
    </users>
...

說明:在profiles裡設定相應的許可權角色,再在users裡引用,繼承這些引數的限制。

※ Access Rights:訪問許可權控制

訪問許可權在users.xml中的users選項組裡設定,用於在群集中組合的伺服器之間交換資訊的使用者不得有任何限制或配額-否則,分散式查詢將失敗。不能授予對一個數據庫有完全訪問許可權,而對另一資料庫具有隻讀訪問許可權。許可權控制包含如下:

  • 網路訪問控制:通過IP地址或則host主機名
  • 資料庫訪問控制:通過read_only、allow_ddl來控制讀、寫、設定、DDL、KILL等
  • 指定資料庫訪問:通過<allow_databases>指定訪問資料庫
  • 指定表的訪問:通過filter指定表示式來訪問表中的資料行

使用

在說明部分已經對ClickHouse的使用者許可權管理做了大致介紹,如果需要後續會繼續更新相關知識點。好了,現在開始對各種場景進行生成相應的使用者配置檔案。

1)管理賬號:因為profiles裡預設的profile是沒有限制的,所以預設就是管理賬號。因為ClickHouse的沒有類似MySQL這樣的管理許可權,所以預設情況下管理賬號也是讀寫賬號。唯一的區別就是限制各個賬號可以設定不同的使用資源。 

<?xml version="1.0"?>
<yandex>
    <profiles>
        <default>
            <max_memory_usage>10000000000</max_memory_usage>
            <use_uncompressed_cache>0</use_uncompressed_cache>
            <load_balancing>random</load_balancing>
        </default>
        <readonly>
            <readonly>1</readonly>
        </readonly>
    </profiles>

    <users>
        <default>
            <password></password>
            <networks incl="networks" replace="replace">
                <ip>::/0</ip>
            </networks>
            <profile>default</profile>
            <quota>default</quota>
        </default>

        <zhoujy>
            <password_double_sha1_hex>6bb4837eb74329105ee4568dda7dc67ed2ca2ad9</password_double_sha1_hex>
            <networks incl="networks" replace="replace">
                <ip>::/0</ip>
                <ip>127.0.0.1</ip>
                <ip>192.168.163.132</ip>
            </networks>
            <profile>default</profile>
            <quota>default</quota>
        </zhoujy>

    </users>

    <quotas>
        <default>
            <interval>
                <duration>3600</duration>
                <queries>0</queries>
                <errors>0</errors>
                <result_rows>0</result_rows>
                <read_rows>0</read_rows>
                <execution_time>0</execution_time>
            </interval>
        </default>
    </quotas>

</yandex>
View Code

2)只讀賬號:在profiles裡設定readonly,在users裡給指定使用者進行引用。

<?xml version="1.0"?>
<yandex>
    <profiles>
        <default>
            <max_memory_usage>10000000000</max_memory_usage>
            <use_uncompressed_cache>0</use_uncompressed_cache>
            <load_balancing>random</load_balancing>
        </default>
        <readonly>
            <readonly>1</readonly>
        </readonly>
    </profiles>

    <users>
        <default>
            <password></password>
            <networks incl="networks" replace="replace">
                <ip>::/0</ip>
            </networks>
            <profile>default</profile>
            <quota>default</quota>
        </default>

        <zhoujy>
            <password_double_sha1_hex>6bb4837eb74329105ee4568dda7dc67ed2ca2ad9</password_double_sha1_hex>
            <networks incl="networks" replace="replace">
                <ip>::/0</ip>
                <ip>127.0.0.1</ip>
                <ip>192.168.163.132</ip>
            </networks>
            <profile>readonly</profile>
            <quota>default</quota>
        </zhoujy>

    </users>

    <quotas>
        <default>
            <interval>
                <duration>3600</duration>
                <queries>0</queries>
                <errors>0</errors>
                <result_rows>0</result_rows>
                <read_rows>0</read_rows>
                <execution_time>0</execution_time>
            </interval>
        </default>
    </quotas>

</yandex>
View Code

3)讀寫賬號:如果非要和管理賬號區分的話,就限制該賬號不能使用set相關的操作,使用constraints進行設定: 

<?xml version="1.0"?>
<yandex>
    <profiles>
        <default>
            <max_memory_usage>10000000000</max_memory_usage>
            <use_uncompressed_cache>0</use_uncompressed_cache>
            <load_balancing>random</load_balancing>
        </default>

        <readonly>
            <readonly>1</readonly>
        </readonly>

        <readwrite>
            <constraints>
                <max_memory_usage>
                    <readonly/>
                </max_memory_usage>
                <force_index_by_date>
                    <readonly/>
                </force_index_by_date>
            </constraints>
        </readwrite>

    </profiles>

    <users>
        <default>
            <password></password>
            <networks incl="networks" replace="replace">
                <ip>::/0</ip>
            </networks>
            <profile>default</profile>
            <quota>default</quota>
        </default>

        <zhoujy>
            <password_double_sha1_hex>6bb4837eb74329105ee4568dda7dc67ed2ca2ad9</password_double_sha1_hex>
            <networks incl="networks" replace="replace">
                <ip>::/0</ip>
                <ip>127.0.0.1</ip>
                <ip>192.168.163.132</ip>
            </networks>
            <profile>readwrite</profile>
            <quota>default</quota>
        </zhoujy>

    </users>

    <quotas>
        <default>
            <interval>
                <duration>3600</duration>
                <queries>0</queries>
                <errors>0</errors>
                <result_rows>0</result_rows>
                <read_rows>0</read_rows>
                <execution_time>0</execution_time>
            </interval>
        </default>
    </quotas>

</yandex>
View Code

4)限制賬號:限制方面有很多情況,這裡逐步進行說明

4.1:限制IP訪問,在users選項組裡進行設定ip:

...
            <networks incl="networks" replace="replace">
                <ip>::/0</ip>   --允許任何地址訪問
                <ip>127.0.0.1</ip>  --允許本地訪問
                <ip>192.168.163.132</ip> --允許該IP訪問
            </networks>
...

設定多個IP訪問,還支援host、host_regexp等選項組。

4.2:限制資料庫訪問,在users選項組裡進行設定allow_database:

...
            <allow_databases>
                <database>test</database>
            </allow_databases>
...

只允許訪問test庫,其他庫不能使用。

4.3:限制錶行訪問,在users選項組裡進行設定database: 

...
            <databases>
                <test>
                    <xx>
                        <filter>id >= 500 </filter>
                    </xx>
                </test>
            </databases>
...

只能訪問test庫中表xx的id大於等於500的資料。

4.4:限制一定週期內的資源使用,在quotas選項組裡設定:

...
    <quotas>
        <default>   --quotas名稱
            <interval> --週期
                <duration>3600</duration>  --週期時間,單位秒
                <queries>0</queries>   --查詢限制,0不限制
                <errors>0</errors>       --錯誤限制,0不限制
                <result_rows>0</result_rows> --返回行限制,0不限制
                <read_rows>0</read_rows>  --讀取行限制,0不限制
                <execution_time>0</execution_time> --執行時間限制,0不限制
            </interval>
        </default>
    </quotas>
...

設定好quotas之後,需要在users下的每隔使用者選項組裡引用,如: 

<quota>default</quota>

4.5:限制整體資源使用,需要在profiles選項組裡設定:

...
    <profiles>
        <default>
            <max_memory_usage>10000000000</max_memory_usage>  --限制查詢最大使用記憶體
            <use_uncompressed_cache>0</use_uncompressed_cache>
            <load_balancing>random</load_balancing>
        </default>
    </profiles>
...

查詢只能使用最大10000000000 bytes的記憶體,還可以設定其他的引數。

5:常用模板設定

最後來配置一個日常經常使用的一個users.xml模板,大致的要求如下:

①:只讀賬號:能從任何IP訪問的賬號 zhoujy_ro

②:讀寫賬號,不能set:只能從192.168.163.132連線的賬號 zhoujy_rw

③:管理賬號,能讀寫能set:只能從192.168.163.132、192.168.163.133連線的賬號 zhoujy_admin

④:限制賬號:

只能讀寫指定庫:只能從192.168.163.132連線的賬號 zhoujy_db

只能讀指定庫表中的行:只能從192.168.163.132連線的賬號 zhoujy_tb

模板示例:

<?xml version="1.0"?>
<yandex>
    <profiles>

        <default>
            <max_memory_usage>100000000</max_memory_usage>
            <use_uncompressed_cache>0</use_uncompressed_cache>
            <load_balancing>random</load_balancing>
        </default>

        <readonly>
            <readonly>1</readonly>
        </readonly>

        <readwrite>
            <constraints>
                <max_memory_usage>
                    <readonly/>
                </max_memory_usage>
                <force_index_by_date>
                    <readonly/>
                </force_index_by_date>
            </constraints>
        </readwrite>

    </profiles>

    <users>
        <default>
            <password></password>
            <networks incl="networks" replace="replace">
                <ip>::/0</ip>
            </networks>
            <profile>default</profile>
            <quota>default</quota>
        </default>

        <!--從任何IP訪問的只讀賬號zhoujy_ro -->
        <zhoujy_ro>
            <password_double_sha1_hex>6bb4837eb74329105ee4568dda7dc67ed2ca2ad9</password_double_sha1_hex>
            <networks incl="networks" replace="replace">
                <ip>::/0</ip>
            </networks>
            <profile>readonly</profile>
            <quota>default</quota>
        </zhoujy_ro>

        <!--從指定IP訪問的讀寫賬號zhoujy_rw,指定不能set的引數 -->
        <zhoujy_rw>
            <password_double_sha1_hex>6bb4837eb74329105ee4568dda7dc67ed2ca2ad9</password_double_sha1_hex>
            <networks incl="networks" replace="replace">
                <ip>192.168.163.132</ip>
            </networks>
            <profile>readwrite</profile>
            <quota>default</quota>
        </zhoujy_rw>

        <!--從指定IP訪問的管理賬號 -->
        <zhoujy_admin>
            <password_double_sha1_hex>6bb4837eb74329105ee4568dda7dc67ed2ca2ad9</password_double_sha1_hex>
            <networks incl="networks" replace="replace">
                <ip>192.168.163.132</ip>
                <ip>192.168.163.133</ip>
            </networks>
            <profile>default</profile>
            <quota>default</quota>
        </zhoujy_admin>

        <!--從指定IP訪問指定資料庫 -->
        <zhoujy_db>
            <password_double_sha1_hex>6bb4837eb74329105ee4568dda7dc67ed2ca2ad9</password_double_sha1_hex>
            <networks incl="networks" replace="replace">
                <ip>::/0</ip>
                <ip>127.0.0.1</ip>
                <ip>192.168.163.132</ip>
            </networks>
            <profile>readwrite</profile>
            <quota>default</quota>
            <allow_databases>
                <database>test</database>
            </allow_databases>
        </zhoujy_db>

        <!--從指定IP訪問指定資料庫表的記錄 -->
        <zhoujy_tb>
            <password_double_sha1_hex>6bb4837eb74329105ee4568dda7dc67ed2ca2ad9</password_double_sha1_hex>
            <networks incl="networks" replace="replace">
                <ip>::/0</ip>
                <ip>127.0.0.1</ip>
                <ip>192.168.163.132</ip>
            </networks>
            <profile>readonly</profile>
            <quota>default</quota>
            <allow_databases>
                <database>test</database>
            </allow_databases>
            <databases>
                <test>
                    <xx>
                        <filter>id >= 500 </filter>
                    </xx>
                </test>
            </databases>
        </zhoujy_tb>

    </users>

    <quotas>
        <default>
            <interval>
                <duration>3600</duration>
                <queries>0</queries>
                <errors>0</errors>
                <result_rows>0</result_rows>
                <read_rows>0</read_rows>
                <execution_time>0</execution_time>
            </interval>
        </default>
    </quotas>

</yandex>

總結

      ClickHouse使用者許可權管理配置完全不同於MySQL資料庫,其是通過修改檔案來管理用許可權的,本文只對一些常用的場景進行說明,後續遇到複雜情況,也會定期更新。特別需要注意的是,在修改完許可權檔案之後ClickHouse不需要重啟,直接會生效,所以不影響其線上服務。如果出現問題,可以直接檢視其錯誤日誌,定位問題解決即可。

&n

相關推薦

ClickHouse學習系列使用者許可權管理

背景       最近花了些時間看了下ClickHouse文件,發現它在OLAP方面表現很優異,而且相對也比較輕量和簡單,所以準備入門瞭解下該資料庫系統。在安裝完之後首先做的應該如何設定使用者密碼以及許可權控制。因為和MySQL、MongoDB等資料庫的使用者管理完全不一樣,為方

ClickHouse學習系列配置檔案說明

背景       最近花了些時間看了下ClickHouse文件,發現它在OLAP方面表現很優異,而且相對也比較輕量和簡單,所以準備入門瞭解下該資料庫系統。在介紹了安裝和使用者許可權管理之後,本文對其配置檔案做下相關的介紹說明。 說明       Cl

Python零基礎學習系列--Python介紹及環境搭建

url 軟件包 三方庫 簡單的 lin 文件的 span 高級程序設計 擴展 1-1、Python簡介:  Python是一種解釋型、面向對象、動態數據類型的高級程序設計語言。Python由Guido van Rossum於1989年底發明,第一個公開發行版發行於1991年

CAN總線學習系列——CAN總線與RS485的比較

smb 可靠性 bus targe 接口 blog 情況 並不是 control CAN總線學習系列之二——CAN總線與RS485的比較 上 一節介紹了一下CAN總線的基本知識,那麽有人會問,現在的總線格式很多,CAN相對於其他的總線有什麽特點啊?這個問題

android學習軌跡:Android許可權標籤uses-permission的書寫位置

場景 想獲取手機內所有聯絡人。並且AndroidManifest.xml中也添加了 <uses-permission android:name="android.permission.READ_CONTACTS" />  許可權程式碼。  可是一樣出現 Permission denail. .

資料結構學習系列叉搜尋樹詳解!

寫在前面 近期準備補一下資料結構,尤其是關於Tree系列的,其中,二叉樹(Binary Tree)可以算是最簡單的之一,所以打算從之入手,將各種Tree的結構和操作都進一步瞭解一遍,以來充實自己的閒餘時間! 本文主要圍繞二叉樹中最簡單的實現:二叉搜尋樹。 介紹 二叉搜尋樹(Binary Search

USB學習系列——USB裝置的插入檢測機制

1.USB的插入檢測機制:USB埠的D+和D-均用一個15k的電阻接地,當無裝置接入時,均處於低電平;在裝置端在D+(表示高速裝置或者全速裝置)或者D-(表示低速裝置)接了一個1.5k的上拉電阻到+3.3v,一旦將裝置接入,USB埠的D+或者D-其中一個被拉高為3v,系統

SpringCloud學習系列 ----- 服務消費者(Feign)和負載均衡(Ribbon)

n) 描述 servers request 其中 led rac stp 定期 前言 本篇主要介紹的是SpringCloud中的服務消費者(Feign)和負載均衡(Ribbon)功能的實現以及使用Feign結合Ribbon實現負載均衡。 SpringCloud Feign

Reinforcement Learning強化學習系列:MC prediction

引言 這幾個月一直在忙找工作和畢業論文的事情,部落格擱置了一段時間,現在稍微有點空閒時間,又啃起了強化學習的東西,今天主要介紹的是強化學習的免模型學習free-model learning中的最基礎的部分蒙特卡洛方法(Monte Carlo),並以21點遊戲作

設計模式學習系列——工廠方法模式(Factory Method)

工廠模式是我們最常用的模式了,著名的Jive論壇 ,就大量使用了工廠模式,工廠模式在Java程式系統可以說是隨處可見。     為什麼工廠模式是如此常用?因為工廠模式就相當於建立例項物件的new,我們經常要根據類Class生成例項物件,如:     A a = new A (

用戶控件的緩存技術共三篇

asp.net ont w3c inherits duration sys bject wire efi 原文發布時間為:2009-10-29 —— 來源於本人的百度文章 [由搬家工具導入]ASP.NET 缓存功能&#

Redis入門很簡單常見操作命令

哈希表 shu 分享 排序。 sca ann mongodb pin set Redis入門很簡單之二【常見操作命令】 博客分類: NoSQL/Redis/MongoDB redisnosql緩存 Redis提供了豐富的命令,允許我們連接客戶端對其進行直接

SAP-HR技術系列:人力資源管理系統專案實施經驗談

轉載:http://wenku.baidu.com/view/c7d2ebda7f1922791688e8c8.html 首先需要說明的是HRMS(e-HR)系統實施專注於人力資源管理系統的設計、實現和應用推廣,而不是進行人力資源管理諮詢,如薪酬體系、考核方案、指標及兌

Shiro許可權管理22.Shiro記住我

注:該系列所有測試均在之前建立的Shiro3的Web工程的基礎上。 在我們登入一些網站的時候,在登入輸入框的下側一般都會有一個“記住我”的勾選框,選擇之後,我們 下次進入網站的時候就會自動進行登入操作,無需我們再次輸入密碼。而在訪問一些敏感資訊的時候,還是需要 進行登入操作

Shiro許可權管理1.Shiro簡介

一、簡介 在Web系統中我們經常要涉及到許可權問題,例如不同角色的人登入系統,他操作的功能、按鈕、選單是各不相同的,這就是所謂的許可權。 Apache Shiro是Java的一個安全(許可權)框架,Shiro可以完成認證、授權、加密、會話管理、Web整合、快取等功能。適用於JavaSE和JavaEE

TFS許可權管理vs2013 修改TFS已經登入的使用者方法

每次vs2013就預設自動用那個帳號登入了,想換個帳號都沒辦法,百度了以下找到了幾篇文章,特整理下,方便需要的朋友 TFS2013 我個人初次使用覺得不爽的是用一個帳號登入後,每次vs2013就預設自動用那個帳號登入了,想換個帳號都沒辦法。 今天終於用谷歌搜到網易的一個

Shiro許可權管理3.Shiro整合 Spring

下面來說一下如何在Web下使用Shiro。 在大部分Web開發環境下,都是使用Spring與Shiro進行整合,所以下面直接來講解Shiro與Spring整合的方式。 一、準備環境 (1)加入Spring和Shiro的jar包 首先在MyEclipse中新建一個Web工程:

Shiro許可權管理19.Shiro會話管理

注:該系列所有測試均在之前建立的Shiro3的Web工程的基礎上。 下面我們來說一下Shiro裡面的會話管理,這個“會話”與JavaWeb裡面的HttpSession 是一致的,都是表示客戶端與伺服器的一次會話。 Shiro會話的特點: Shiro提供了完整的企業級會話管理

Shiro許可權管理15.Shiro授權流程分析

注:該系列所有測試均在之前建立的Shiro3的Web工程的基礎上。 上一篇講解了Shiro授權的相關基礎知識,並實驗了“roles”攔截器的效果。可惜的是沒有給使用者 進行授權工作,所以沒有驗證擁有角色後的許可權校驗工作。下面就來講解一下Shiro的授權流程。 之前我們使用

TFS許可權管理TFS使用者組說明和使用者許可權配置過程

一、TFS預設使用者組的說明 伺服器級別使用者組: 1、TFS伺服器/Team Foundation Valid Users:可以訪問TFS伺服器。 2、TFS伺服器/Team Foundation Licensed Users:可以連線TFS伺服器。這個組只在 Team