PostgreSQL权限管理工具pgbedrock最佳实践

1. 项目介绍

pgbedrock 是一个用于管理 PostgreSQL 数据库中的角色、成员关系、模式所有权和权限的开源应用程序。它通过读取一个 YAML 格式的配置文件（规范），确保数据库的配置与规范一致。如果存在差异，pgbedrock 会修改数据库以匹配规范。该工具可以通过 Docker 容器运行，或者作为本地命令行工具使用。

2. 项目快速启动

首先，您需要生成一个表示数据库规范的 YAML 文件。以下是使用 Docker 镜像生成规范的步骤：

docker run -it \
quay.io/squarespace/pgbedrock generate \
-h <数据库主机> \
-p <数据库端口> \
-d <数据库名> \
-U <超级用户名> \
-w <超级用户密码> \
> path/to/spec.yml

替换 <数据库主机>、<数据库端口>、<数据库名>、<超级用户名> 和 <超级用户密码> 为您的数据库连接信息，并将输出重定向到 spec.yml 文件。

接下来，审查生成的规范文件，确保它与您的需求一致。

最后，使用以下命令配置数据库：

docker run -it \
-e "JDOE_PASSWORD=<jdoe的密码>" \
-e "JSMITH_PASSWORD=<jsmith的密码>" \
-v /path/to/spec.yml:/opt/spec.yml \
quay.io/squarespace/pgbedrock configure spec.yml \
-h <数据库主机> \
-p <数据库端口> \
-d <数据库名> \
-U <超级用户名> \
-w <超级用户密码> \
--check

在确认无误后，去掉 --check 参数，使用 --live 参数实际应用更改。

3. 应用案例和最佳实践

角色和权限定义

在 YAML 文件中定义角色和权限，例如：

jdoe:
  can_login: yes
  is_superuser: no
  attributes:
    - PASSWORD "{{ env['JDOE_PASSWORD'] }}"
  member_of:
    - analyst
  owns:
    schemas:
      - finance_reports
    tables:
      - finance_reports.Q2_revenue
      - finance_reports.Q2_margin
  privileges:
    schemas:
      read:
        - finance
        - marketing
      write:
        - reports
    tables:
      read:
        - finance.*
        - marketing.ad_spend
        - marketing.impressions
      write:
        - reports.*
      except:
        - reports.Q2_fixed_assets

运行和监控

在 CI/CD 流程中集成 pgbedrock，以确保数据库权限始终与规范一致。通过定期运行 pgbedrock 来监控和调整权限设置。

4. 典型生态项目

pgbedrock 可以与其他数据库管理工具和监控工具集成，例如：

• Ansible：自动化数据库权限配置。
• Prometheus：监控数据库性能和权限合规性。
• Grafana：可视化数据库状态和权限设置。

通过这些工具的配合使用，可以构建一个健壮的数据库管理和监控生态。