Apache Doris SQL_BLOCK_RULE 规则创建与使用指南
2025-06-27 00:24:14作者:平淮齐Percy
概述
在Apache Doris分布式数据库中,SQL_BLOCK_RULE是一项重要的数据治理功能,它允许管理员创建规则来限制用户执行特定类型的SQL操作或控制数据扫描范围。本文将详细介绍SQL_BLOCK_RULE的创建方法、使用场景和最佳实践。
SQL_BLOCK_RULE的核心作用
SQL_BLOCK_RULE主要解决两类问题:
- SQL执行限制:防止用户执行可能影响系统性能或安全性的特定SQL语句
- 扫描限制:控制查询操作扫描的数据量,避免大查询导致系统过载
创建语法详解
创建SQL_BLOCK_RULE的基本语法如下:
CREATE SQL_BLOCK_RULE <规则名称>
PROPERTIES (
-- 规则属性
<属性>
-- 可添加多个属性
[ , ... ]
)
规则属性分类
1. SQL执行限制类属性
这类属性用于限制特定SQL语句的执行:
- sql:使用正则表达式匹配要阻止的SQL语句
- 特殊字符需要转义,如
select *应写为select \\*
- 特殊字符需要转义,如
- sqlHash:通过SQL的MD5哈希值精确匹配要阻止的SQL语句
- 可直接从慢日志中获取SqlHash值
注意:sql和sqlHash属性不能同时使用
2. 扫描限制类属性
这类属性用于限制查询扫描的数据量:
- partition_num:限制单表扫描的最大分区数
- tablet_num:限制单表扫描的最大tablet数
- cardinality:限制单表扫描的最大行数
3. 开关类属性
- global:规则是否对所有用户生效(默认false)
- enable:规则是否启用(默认true)
权限要求
创建SQL_BLOCK_RULE需要ADMIN_PRIV全局权限。
实用案例解析
案例1:阻止全表扫描
CREATE SQL_BLOCK_RULE no_full_scan
PROPERTIES(
"sql"="select \\* from sales_records",
"global"="true",
"enable"="true"
);
当用户尝试执行select * from sales_records时,系统会返回错误提示。
案例2:限制大范围扫描
CREATE SQL_BLOCK_RULE limit_scan_scope
PROPERTIES(
"partition_num" = "20",
"cardinality" = "5000000000",
"global" = "true",
"enable" = "true"
);
此规则限制单表扫描不超过20个分区、50亿行数据。
案例3:灵活的正则匹配
CREATE SQL_BLOCK_RULE prevent_order_tables
PROPERTIES(
"sql"="\\s*select\\s*\\*\\s*from order_\\w*\\s*",
"global"="true",
"enable"="true"
);
此规则会阻止所有以"order_"开头的表的全表扫描,忽略SQL中的空格。
案例4:针对特定用户的限制
CREATE SQL_BLOCK_RULE restrict_john
PROPERTIES(
"sql"="select \\* from sensitive_data",
"global"="false",
"enable"="true"
);
-- 将规则应用到特定用户
SET PROPERTY FOR 'john' 'sql_block_rules' = 'restrict_john';
正则表达式参考
在编写SQL匹配规则时,常用的正则表达式元字符包括:
.匹配任意单个字符*匹配前一个元素0次或多次+匹配前一个元素1次或多次?匹配前一个元素0次或1次[]定义字符集合^匹配字符串开头或表示否定$匹配字符串结尾\转义特殊字符\s匹配空白字符\d匹配数字\w匹配单词字符
最佳实践建议
- 合理使用global属性:全局规则要谨慎设置,建议先针对特定用户测试
- 正则表达式测试:在应用前先测试正则表达式是否能准确匹配目标SQL
- 结合监控使用:可以通过慢日志识别需要限制的高消耗SQL
- 规则命名规范:采用有意义的名称,如
no_full_scan_<表名> - 定期审查规则:随着业务变化,及时调整或删除不再需要的规则
通过合理使用SQL_BLOCK_RULE,可以有效防止意外的大查询影响系统稳定性,同时保护关键数据不被不当访问。
登录后查看全文
相关内容推荐
热门项目推荐
atomcodeClaude Code 的开源替代方案。连接任意大模型,编辑代码,运行命令,自动验证 — 全自动执行。用 Rust 构建,极致性能。 | An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed. Get StartedRust0148- DDeepSeek-V4-ProDeepSeek-V4-Pro(总参数 1.6 万亿,激活 49B)面向复杂推理和高级编程任务,在代码竞赛、数学推理、Agent 工作流等场景表现优异,性能接近国际前沿闭源模型。Python00
GLM-5.1GLM-5.1是智谱迄今最智能的旗舰模型,也是目前全球最强的开源模型。GLM-5.1大大提高了代码能力,在完成长程任务方面提升尤为显著。和此前分钟级交互的模型不同,它能够在一次任务中独立、持续工作超过8小时,期间自主规划、执行、自我进化,最终交付完整的工程级成果。Jinja00
auto-devAutoDev 是一个 AI 驱动的辅助编程插件。AutoDev 支持一键生成测试、代码、提交信息等,还能够与您的需求管理系统(例如Jira、Trello、Github Issue 等)直接对接。 在IDE 中,您只需简单点击,AutoDev 会根据您的需求自动为您生成代码。Kotlin03
Intern-S2-PreviewIntern-S2-Preview,这是一款高效的350亿参数科学多模态基础模型。除了常规的参数与数据规模扩展外,Intern-S2-Preview探索了任务扩展:通过提升科学任务的难度、多样性与覆盖范围,进一步释放模型能力。Python00
skillhubopenJiuwen 生态的 Skill 托管与分发开源方案,支持自建与可选 ClawHub 兼容。Python0111
热门内容推荐
最新内容推荐
项目优选
收起
docs暂无描述
Dockerfile
731
4.73 K
pytorchAscend Extension for PyTorch
Python
609
786
ops-math本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
1 K
1.01 K
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
433
392
MindSpeed-MM华为昇腾面向大规模分布式训练的多模态大模型套件,支撑多模态生成、多模态理解。
Python
145
237
atomcodeClaude Code 的开源替代方案。连接任意大模型,编辑代码,运行命令,自动验证 — 全自动执行。用 Rust 构建,极致性能。 | An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed.
Get Started
Rust
1.15 K
148
flutter_flutter暂无简介
Dart
983
250
Oohos_react_native
React Native鸿蒙化仓库
C++
347
401
MindSpeed-LLM昇腾LLM分布式训练框架
Python
166
197
RuoYi-Vue3🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.67 K
985