运维人员支持使用本地客户端登录云堡垒机,通过客户端连接数据库进行运维操作。不同类型数据库的连接步骤基本相同,仅 客户端工具和参数配置 可能存在差异,均已在配置项中进行详细说明,本文以 Windows 系统的 Navicat for MySQL 客户端工具连接 MySQL 数据库为例进行演示。
前提条件
云堡垒机通过 SSH 本地端口转发实现数据库运维,在使用数据库运维功能之前,用户需要确保本地安装有 SSH 服务。
已经下载运维数据库所需的客户端,可前往客户端官网下载并完成授权许可。
提前获取数据库登录相关信息,包括:云堡垒机 IP 地址、SSH 端口号、云堡垒机用户名、云堡垒机登录密码、数据库 ID、协议端口、数据库账号登录名。详细介绍参见:通过客户端登录资产,需要提前获取哪些信息?
运维人员连接数据库进行运维操作前,需联系管理员完成以下准备工作。
使用限制
暂不支持 SSL 连接。
使用 GUI 客户端运维数据库,要求关闭云堡垒机的双因子认证,否则无法正常登录。
已安装支持数据库运维的客户端,例如:MySQL 数据库推荐使用 Navicat for MySQL;PostgreSQL 数据库推荐使用 DataGrip。第三方客户端限制和其他限制参见:使用限制。
仅支持通过子用户登录已授权的主机,请确保已经创建子用户并配置云堡垒机运维人员相关权限。
MySQL 数据库暂不支持在已连接的会话中切换用户(COM_CHANGE_USER 包)。
操作步骤
- 打开 Navicat for MySQL 客户端工具,单击 连接 > MySQL。
- 如下图所示,依次配置 MySQL 连接的 SSH 信息和常规信息。
| 配置类 | 配置项 | 说明 |
|---|---|---|
| SSH | 使用 SSH 隧道 | 勾选以使用 SSH 隧道。目前通过云堡垒机连接数据库的实现,必须使用 SSH 隧道,其他方式暂不可用。 |
主机 | SSH 隧道主要用于连接云堡垒机,此时的主机表示云堡垒机 IP 地址。 说明 若使用私网 IP 登录,请确保本地客户端与云堡垒机的网络连通性。 | |
| 端口 | 登录云堡垒机的 SSH 端口号,固定为:2002。 | |
| 用户名 | 云堡垒机的登录用户名。 | |
| 验证方法 | 登录信息的验证方法,选择 密码。 | |
| 密码 | 云堡垒机登录用户名对应的密码,配置完成后保存密码。 | |
| 常规 | 连接名 | 自定义连接会话的名称,用于在客户端显示,若留空不配置,将自动生成。 |
| 主机 | 常规配置主要用于数据库连接信息配置,此时的主机表示数据库 ID。 | |
端口 | 登录数据库的端口,要求与实际配置保持一致。
| |
| 用户名 | 数据库账号登录名。 | |
| 密码 | 数据库登录密码,留空无需配置。通过云堡垒机连接数据库时,云堡垒机已经记录数据库密码,无需重复配置。 | |
| 数据库名称 | 仅 PostgreSQL 数据库需要配置此参数,表示 PostgreSQL 数据库的名称,在客户端中的配置项名称通常展示为 数据库 或 database。 |
- (可选)高级配置,将限制连接会话配置为 1,避免后台用光云堡垒机并发数配额的情况。
客户端经常通过启动多个并行 SSH Channel 来加快数据处理,每个连接成功的 Channel 对于云堡垒机来说都是一条数据库连接,均会占用一个会话数,但在控制台仅被视为一个会话。可能引发云堡垒机并发数配额被用光的情况,可通过限制连接数量来避免。
所有配置完成后单击左下角 测试连接,确保可以正常连接到数据库。测试通过后单击 确定,完成配置。
双击新建的 MySQL 连接名称,即可连接数据库,通过 GUI 界面进行各种运维操作。
