跳到主要内容

产品架构及部署方式

产品架构

数据库服务架构

GBase 8s总体上由三大部分组成:管理工具、应用接口、数据库主服务。

  • 管理工具

    包含图形化管理工具和命令行管理工具。

    • 图形化管理工具
      • 安全管理器:用于安全标签、用户赋权等安全管理相关图形化界面;
      • 审计管理器:安全审计的打开、关闭,审计标签设定,审计记录查看等功能;
      • 统一监控平台:提供数据库系统的运行状态信息展示,供系统维护人员、系统管理员等角色对数据库进行调优、排错等日常维护工作;
      • 迁移工具:提供同源或非同源数据的导入工具;例如Oracle到8s;
      • 企业管理器:供数据库DBA及普通用户使用的图形化管理工具,提供数据库元数据管理、用户数据管理、SQL查询/操作的图形化管理工具
      • GBase管理工具:供数据库DBA及运维人员使用的图形化管理工具。
    • 命令行管理工具
      • DBAccess:命令行连接工具,可通过此工具执行DDL、DML、DQL;
      • 连接管理器CM: 分布式连接管理器组件,供高可用使用;
      • 备份恢复工具;
      • 状态监控工具;
      • 系统启停工具;
      • 磁盘检测工具。

  • 应用接口:

    • JAVA接口:JDBC接口;
    • C接口:ODBC、GCI(OCI/OCCI)接口;
    • ADO.NET接口。

  • 数据库服务,数据库服务是位于用户和操作系统之间的一层数据管理系统,主要功能包括:数据定义、数据操作、运行管理、运维等。架构采用多进程+共享内存架构实现高效的数据管理。本系统由如下几部分组成:

    • GBase 8s通过共享内存机制实现各服务进程间通信及数据处理。同时采用共享内存作为数据缓存减少IO负荷、提高数据库的并发能力。
    • GBase 8s 的服务进程由一系列负责不同功能的进程组成,主要包括用户服务进程、逻辑日志服务进程、物理日志服务进程、管理服务进程、安全控制服务进程、IO服务进程、审计服务进程,以及其他一系列服务进程,负责客户端安全接入、解析、优化、执行、结果返回等工作。主要服务进程的相关资源可根据系统负荷情况在线动态调整。
    • GBase 8s的存储管理提供数据库持久化能力,是数据库系统的重要组成部分,属于较低层的模块。包含:物理存储介质管理、文件组织管理、文件中记录的组织、数据字典管理、数据索引管理、大对象存储等数据库物理、逻辑元素的存储管理功能;
    • 通信:负责接收业务系统通过应用接口发送的SQL请求,由SQL引擎处理解析后,该模块负责将结果集通过应用接口返回给业务系统;
    • SQL引擎:SQL引擎模块向用户提供了数据的高层视图,包括查询、插入、删除和修改等。同时,本模块也负责创建用于存储数据的表和用于查看、管理和保护数据安全的数据库对象(如索引、视图和存储过程)。
    • 基础支撑模块:包含底层操作系统的封装支持、后端底层算法、通用功能库的封装等底层供:
    • 安全模块:提供等保四级级别(TCSES B2级)的安全保护功能,由身份鉴别、自主访问控制、标记与强制访问控制、安全审计、可信路径、推理控制、SSODB自身保护等部分组成;
    • 高可用模块:提供共享存储、灾备集群的高可用功能,满足业务系统对于高可靠性的需求;
    • 服务扩展模块:提供用户自定义类型、函数的管理、存储和使用,同时以插件的方式提供附加功能。

安全架构

GBase 8s安全架构是保证数据库具备安全特性的基础。用户或应用使用客户端通过安全通信登录数据库,经过身份认证模块确认用户身份,避免非法用户的访问。通过角色管理确认登录用户的角色,从而完成符合角色身份的工作。安全管理员通过LBAC模块制定安全标签来决定用户对数据的访问策略。数据拥有者通过DAC模块分配用户对库、表、字段的访问权限。系统安全员制定审计策略决定审计的内容,审计操作员对审计功能进行启、停和配置,并对审计记录进行分析。被访问的数据以密文形式存储于磁盘上,经由安全存储模块通过硬件加密卡解密后加载以供合法用户的访问。

安全通信: GBase 8s 基于共享存储的数据库集群使用SSL安全协议,通过使用加密算法保护的链路层,并对服务端和客户端进行双向验证,保证客户端和服务端之间通讯的保密性和完整性。同时,安全通讯也对高可用环境下的连接管理器和客户端、服务端间的通讯,服务端和服务端间的通讯进行了安全保护。

身份认证: 支持常规数据库用户口令认证方式,同时支持插入式身份验证模块(PAM)、轻量级目录访问协议(LDAP/GBase 8d)、单点登录(SSO)用户对数据库访问的验证集成。

角色管理: GBase 8s预定义了数据库安全管理员DBSA、DBSECADM、DBSSO,数据库审计管理员AAO,数据库管理员DBA等默认角色,也可以由系统管理员根据实际业务需要创建角色和分配用户。

自主访问控制(DAC): 自主访问控制粒度分为数据库级、表级、字段级。数据拥有者和其指定的用户可对不同粒度对象设置不同的权限管理。

强制访问控制(LBAC/MAC): GBase 8s使用基于标签的访问控制系统(LBAC)以实现强制访问控制要求。安全标签由一个或多个带顺序的数列型构件、无序的集合型构件、表示层级关系的树型构件组成。强制访问控制力度达到行级。

安全存储: 存储数据的保密性是基于共享存储的数据库集群最重要的功能之一。GBase 8s基于共享存储的数据库集群的数据加密采用库内加密的方式,在数据库管理系统的内核存储引擎上进行数据加解密处理,即数据在进行物理I/O时完成加/解密工作。由于数据页只有在真正进行I/O时才进行加解密操作,从而对于合法用户来讲是完全透明的,因此也可以称为透明存储加密。加密算法及秘钥由符合国密标准的硬件加密卡提供。

安全审计: 由安全操作员进行审计掩码的设置,可针对每个用户、全局分别进行审计掩码的设定,可设定要求、排除两种审计掩码的设定,审计掩码可对160种审计事件进行组合。由审计操作员执行审计的启停和配置管理,并对审计记录进行分析。

部署方式

GBase 8s标准版支持单机部署,支持虚拟化或容器化部署等云化部署方式,支持应用与数据库部署在同一台或者不同服务器上。

单机

应用与数据库部署在一台服务器示意图:

应用与数据库部署在不同服务器示意图: