Apache Doris SQL_BLOCK_RULE 规则创建与使用指南
2025-06-27 00:24:14作者:平淮齐Percy
概述
在Apache Doris分布式数据库中,SQL_BLOCK_RULE是一项重要的数据治理功能,它允许管理员创建规则来限制用户执行特定类型的SQL操作或控制数据扫描范围。本文将详细介绍SQL_BLOCK_RULE的创建方法、使用场景和最佳实践。
SQL_BLOCK_RULE的核心作用
SQL_BLOCK_RULE主要解决两类问题:
- SQL执行限制:防止用户执行可能影响系统性能或安全性的特定SQL语句
- 扫描限制:控制查询操作扫描的数据量,避免大查询导致系统过载
创建语法详解
创建SQL_BLOCK_RULE的基本语法如下:
CREATE SQL_BLOCK_RULE <规则名称>
PROPERTIES (
-- 规则属性
<属性>
-- 可添加多个属性
[ , ... ]
)
规则属性分类
1. SQL执行限制类属性
这类属性用于限制特定SQL语句的执行:
- sql:使用正则表达式匹配要阻止的SQL语句
- 特殊字符需要转义,如
select *应写为select \\*
- 特殊字符需要转义,如
- sqlHash:通过SQL的MD5哈希值精确匹配要阻止的SQL语句
- 可直接从慢日志中获取SqlHash值
注意:sql和sqlHash属性不能同时使用
2. 扫描限制类属性
这类属性用于限制查询扫描的数据量:
- partition_num:限制单表扫描的最大分区数
- tablet_num:限制单表扫描的最大tablet数
- cardinality:限制单表扫描的最大行数
3. 开关类属性
- global:规则是否对所有用户生效(默认false)
- enable:规则是否启用(默认true)
权限要求
创建SQL_BLOCK_RULE需要ADMIN_PRIV全局权限。
实用案例解析
案例1:阻止全表扫描
CREATE SQL_BLOCK_RULE no_full_scan
PROPERTIES(
"sql"="select \\* from sales_records",
"global"="true",
"enable"="true"
);
当用户尝试执行select * from sales_records时,系统会返回错误提示。
案例2:限制大范围扫描
CREATE SQL_BLOCK_RULE limit_scan_scope
PROPERTIES(
"partition_num" = "20",
"cardinality" = "5000000000",
"global" = "true",
"enable" = "true"
);
此规则限制单表扫描不超过20个分区、50亿行数据。
案例3:灵活的正则匹配
CREATE SQL_BLOCK_RULE prevent_order_tables
PROPERTIES(
"sql"="\\s*select\\s*\\*\\s*from order_\\w*\\s*",
"global"="true",
"enable"="true"
);
此规则会阻止所有以"order_"开头的表的全表扫描,忽略SQL中的空格。
案例4:针对特定用户的限制
CREATE SQL_BLOCK_RULE restrict_john
PROPERTIES(
"sql"="select \\* from sensitive_data",
"global"="false",
"enable"="true"
);
-- 将规则应用到特定用户
SET PROPERTY FOR 'john' 'sql_block_rules' = 'restrict_john';
正则表达式参考
在编写SQL匹配规则时,常用的正则表达式元字符包括:
.匹配任意单个字符*匹配前一个元素0次或多次+匹配前一个元素1次或多次?匹配前一个元素0次或1次[]定义字符集合^匹配字符串开头或表示否定$匹配字符串结尾\转义特殊字符\s匹配空白字符\d匹配数字\w匹配单词字符
最佳实践建议
- 合理使用global属性:全局规则要谨慎设置,建议先针对特定用户测试
- 正则表达式测试:在应用前先测试正则表达式是否能准确匹配目标SQL
- 结合监控使用:可以通过慢日志识别需要限制的高消耗SQL
- 规则命名规范:采用有意义的名称,如
no_full_scan_<表名> - 定期审查规则:随着业务变化,及时调整或删除不再需要的规则
通过合理使用SQL_BLOCK_RULE,可以有效防止意外的大查询影响系统稳定性,同时保护关键数据不被不当访问。
登录后查看全文
相关内容推荐
热门项目推荐
Kimi-K2.5Kimi K2.5 是一款开源的原生多模态智能体模型,它在 Kimi-K2-Base 的基础上,通过对约 15 万亿混合视觉和文本 tokens 进行持续预训练构建而成。该模型将视觉与语言理解、高级智能体能力、即时模式与思考模式,以及对话式与智能体范式无缝融合。Python00- QQwen3-Coder-Next2026年2月4日,正式发布的Qwen3-Coder-Next,一款专为编码智能体和本地开发场景设计的开源语言模型。Python00
xw-cli实现国产算力大模型零门槛部署,一键跑通 Qwen、GLM-4.7、Minimax-2.1、DeepSeek-OCR 等模型Go06
PaddleOCR-VL-1.5PaddleOCR-VL-1.5 是 PaddleOCR-VL 的新一代进阶模型,在 OmniDocBench v1.5 上实现了 94.5% 的全新 state-of-the-art 准确率。 为了严格评估模型在真实物理畸变下的鲁棒性——包括扫描伪影、倾斜、扭曲、屏幕拍摄和光照变化——我们提出了 Real5-OmniDocBench 基准测试集。实验结果表明,该增强模型在新构建的基准测试集上达到了 SOTA 性能。此外,我们通过整合印章识别和文本检测识别(text spotting)任务扩展了模型的能力,同时保持 0.9B 的超紧凑 VLM 规模,具备高效率特性。Python00
KuiklyUI基于KMP技术的高性能、全平台开发框架,具备统一代码库、极致易用性和动态灵活性。 Provide a high-performance, full-platform development framework with unified codebase, ultimate ease of use, and dynamic flexibility. 注意:本仓库为Github仓库镜像,PR或Issue请移步至Github发起,感谢支持!Kotlin08
VLOOKVLOOK™ 是优雅好用的 Typora/Markdown 主题包和增强插件。 VLOOK™ is an elegant and practical THEME PACKAGE × ENHANCEMENT PLUGIN for Typora/Markdown.Less00
热门内容推荐
最新内容推荐
项目优选
收起
kerneldeepin linux kernel
C
27
11
docsOpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
532
3.75 K
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
336
178
ops-math本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
886
596
pytorchAscend Extension for PyTorch
Python
340
405
flutter_flutter暂无简介
Dart
772
191
nop-entropyNop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
12
1
agent-studioopenJiuwen agent-studio提供零码、低码可视化开发和工作流编排,模型、知识库、插件等各资源管理能力
TSX
986
247
Cangjie-Examples本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
416
4.21 K
ohos_react_nativeReact Native鸿蒙化仓库
JavaScript
303
355