华为云用户手册

memory_tracking_mode 参数说明：设置记录内存信息的模式。 该参数属于USERSET类型参数，请参考重设参数中对应设置方法进行设置。 取值范围： none，不启动内存统计功能。 normal，仅做内存实时统计，不生成文件。 executor，生成统计文件，包含执行层使用过的所有已分配内存的上下文信息。 fullexec，生成文件包含执行层申请过的所有内存上下文信息。 默认值：none

cgroup_name 参数说明：设置当前使用的Cgroups的名称或者调整当前group下排队的优先级。 即如果先设置cgroup_name，再设置session_respool，那么session_respool关联的控制组起作用，如果再切换cgroup_name，那么新切换的cgroup_name起作用。 切换cgroup_name的过程中如果指定到Workload控制组级别，数据库不对级别进行验证。级别的范围只要在1-10范围内都可以。 该参数属于USERSET类型参数，请参考重设参数中方式三的方法进行设置。 建议尽量不要混合使用cgroup_name和session_respool。 取值范围：字符串 默认值：DefaultClass:Medium DefaultClass:Medium表示DefaultClass下Timeshare控制组中的Medium控制组。

max_active_statements 参数说明：设置全局的最大并发数量。此参数只应用到CN，且针对一个CN上的执行作业。 数据库管理员需根据系统资源（如CPU资源、IO资源和内存资源）情况，调整此数值大小，使得系统支持最大限度的并发作业，且防止并发执行作业过多，引起系统崩溃。 该参数属于SIGHUP类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：整型，-1 ～ 2147483647‬。设置为-1和0表示对最大并发数不做限制。

memory_detail_tracking 参数说明：设置需要的线程内分配内存上下文的顺序号以及当前线程所在query的plannodeid，仅用在DEBUG版本。 该参数属于USERSET类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：字符型 默认值：Memory Context Sequent Count: -1, Plan Nodeid: -1（即空字符串，无sequent count和plan nodeid信息） 该参数不允许用户进行设置，建议保持默认值。

enable_control_group 参数说明：是否开启Cgroups功能。此参数需在CN和DN同时应用。 该参数属于SIGHUP类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：布尔型 on表示打开Cgroups管理。 off表示关闭Cgroups管理。 默认值：on 当使用重设参数中的方式二来修改参数值时，新参数值只能对更改操作执行后启动的线程生效。此外，对于后台线程以及线程复用执行的新作业，该值的改动不会生效。如果希望这类线程即时识别参数变化，可以使用kill session或重启节点的方式来实现。

parctl_min_cost 参数说明：设置语句受到资源池并发控制的最小执行代价。 该参数属于SIGHUP类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：整型，-1 ～ 2147483647‬ 值为-1时或者执行语句的代价小于10时，不受资源池并发控制。 值大于等于0时，当enable_dynamic_workload为off时，如果执行语句的代价大于或等于10并且超过这个参数值就会受到资源池并发控制。 默认值：100000

cpu_collect_timer 参数说明：设置语句执行时在DN上收集CPU时间的周期。 数据库管理员需根据系统资源（如CPU资源、IO资源和内存资源）情况，调整此数值大小，使得系统支持较合适的收集周期，太小会影响执行效率，太大会影响异常处理的精确度。 该参数属于SIGHUP类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：整型，1 ～ 2147483647‬， 单位为秒。 默认值：30

enable_resource_record 参数说明：是否开启资源监控记录归档功能。开启时，对于history视图（GS_WLM_SESSION_HISTORY和GS_WLM_OPERATOR_HISTORY）中的记录，每隔3分钟会分别被归档到相应的info视图（GS_WLM_SESSION_INFO和GS_WLM_OPERATOR_INFO），归档后history视图中的记录会被清除。此参数需在CN和DN同时应用。 该参数属于SIGHUP类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：布尔型 on表示开启资源监控记录归档功能。 off表示关闭资源监控记录归档功能。 默认值：off

enable_vacuum_control 参数说明：是否控制数据库常驻线程autoVacuumWorker到Vacuum控制组。此参数需在CN和DN同时应用。 该参数属于POSTMASTER类型参数，请参考重设参数中对应设置方法进行设置。 取值范围：布尔型 on表示控制数据库常驻线程autoVacuumWorker到Vacuum控制组。 off表示不控制数据库常驻线程autoVacuumWorker到Vacuum控制组。 默认值：on

cidr和inet函数 函数abbrev，host，text主要是为了提供可选的显示格式。 abbrev(inet) 描述：缩写显示格式文本。 返回类型：text 示例： 1 2 3 4 5 postgres=# SELECT abbrev(inet '10.1.0.0/16') AS RESULT; result ------------- 10.1.0.0/16 (1 row) abbrev(cidr) 描述：缩写显示格式文本。 返回类型：text 示例： 1 2 3 4 5 postgres=# SELECT abbrev(cidr '10.1.0.0/16') AS RESULT; result --------- 10.1/16 (1 row) broadcast(inet) 描述：网络广播地址。 返回类型：inet 示例： 1 2 3 4 5 postgres=# SELECT broadcast('192.168.1.5/24') AS RESULT; result ------------------ 192.168.1.255/24 (1 row) family(inet) 描述：抽取地址族，4为IPv4，6为IPv6。 返回类型：int 示例： 1 2 3 4 5 postgres=# SELECT family('::1') AS RESULT; result -------- 6 (1 row) host(inet) 描述：将主机地址类型抽出为文本。 返回类型：text 示例： 1 2 3 4 5 postgres=# SELECT host('192.168.1.5/24') AS RESULT; result ------------- 192.168.1.5 (1 row) hostmask(inet) 描述：为网络构造主机掩码。 返回类型：inet 示例： 1 2 3 4 5 postgres=# SELECT hostmask('192.168.23.20/30') AS RESULT; result --------- 0.0.0.3 (1 row) masklen(inet) 描述：抽取子网掩码长度。 返回类型：int 示例： 1 2 3 4 5 postgres=# SELECT masklen('192.168.1.5/24') AS RESULT; result -------- 24 (1 row) netmask(inet) 描述：为网络构造子网掩码。 返回类型：inet 示例： 1 2 3 4 5 postgres=# SELECT netmask('192.168.1.5/24') AS RESULT; result --------------- 255.255.255.0 (1 row) network(inet) 描述：抽取地址的网络部分。 返回类型：cidr 示例： 1 2 3 4 5 postgres=# SELECT network('192.168.1.5/24') AS RESULT; result ---------------- 192.168.1.0/24 (1 row) set_masklen(inet, int) 描述：为inet数值设置子网掩码长度。 返回类型：inet 示例： 1 2 3 4 5 postgres=# SELECT set_masklen('192.168.1.5/24', 16) AS RESULT; result ---------------- 192.168.1.5/16 (1 row) set_masklen(cidr, int) 描述：为cidr数值设置子网掩码长度。 返回类型：cidr 示例： 1 2 3 4 5 postgres=# SELECT set_masklen('192.168.1.0/24'::cidr, 16) AS RESULT; result ---------------- 192.168.0.0/16 (1 row) text(inet) 描述：把IP地址和掩码长度抽取为文本。 返回类型：text 示例： 1 2 3 4 5 postgres=# SELECT text(inet '192.168.1.5') AS RESULT; result ---------------- 192.168.1.5/32 (1 row)

注意事项 当分配的句柄并非环境句柄时，如果SQLAllocHandle返回的值为SQL_ERROR，则它会将OutputHandlePtr的值设置为SQL_NULL_HDBC、SQL_NULL_HSTMT或SQL_NULL_HDESC。之后，通过调用带有适当参数的SQLGetDiagRec，其中HandleType和Handle被设置为IntputHandle的值，可得到相关的SQLSTATE值，通过SQLSTATE值可以查出调用此函数的具体信息。

参数 表1 SQLAllocHandle参数 关键字 参数说明 HandleType 由SQLAllocHandle分配的句柄类型。必须为下列值之一： SQL_HANDLE_ENV（环境句柄） SQL_HANDLE_DBC（连接句柄） SQL_HANDLE_STMT（语句句柄） SQL_HANDLE_DESC（描述句柄） 申请句柄顺序为，先申请环境句柄，再申请连接句柄，最后申请语句句柄，后申请的句柄都要依赖它前面申请的句柄。 InputHandle 将要分配的新句柄的类型。 如果HandleType为SQL_HANDLE_ENV，则这个值为SQL_NULL_HANDLE。 如果HandleType为SQL_HANDLE_DBC，则这一定是一个环境句柄。 如果HandleType为SQL_HANDLE_STMT或SQL_HANDLE_DESC，则它一定是一个连接句柄。 OutputHandlePtr 输出参数：一个缓冲区的指针，此缓冲区以新分配的数据结构存放返回的句柄。

参数说明 name 要创建的词典的名称（可指定模式名，否则在当前模式下创建）。 取值范围：符合标识符命名规范的字符串，且最大长度不超过63个字符。 template 模板名。 取值范围：系统表PG_TS_TEMPLATE中定义的模板：Simple/Synonym/Thesaurus/Ispell/Snowball。 option 参数名。与template值对应，不同的词典模板具有不同的参数列表，且与指定顺序无关。 Simple词典对应的option STOPWORDS 停用词表文件名，默认后缀名为stop。停用词文件格式为一组word列表，每行定义一个停用词。词典处理时，文件中的空行和空格会被忽略，并将stopword词组转换为小写形式。 ACCEPT 是否将非停用词设置为已识别。默认值为true。 当Simple词典设置参数ACCEPT=true时，将不会传递任何token给后继词典，此时建议将其放置在词典列表的最后。反之，当ACCEPT=false时，建议将该Simple词典放置在列表中的至少一个词典之前。 FILEPATH 词典文件所在目录。目录可以指定为本地目录和OBS目录（只能在安全模式下指定OBS目录，通过启动时添加securitymode选项进入安全模式）。其中，本地目录格式为"file://absolute_path"，OBS目录格式为"obs://bucket_name/path accesskey=ak secretkey=sk region=rg"。默认值为预定义词典文件所在目录。FILEPATH参数必须和STOPWORDS参数同时指定，不允许单独指定。 Synonym词典对应的option SYNONYM 同义词词典的定义文件名，默认后缀名为syn。 文件格式为一组同义词列表，每行格式为"token synonym"，即token和其对应的synonym，中间以空格相连。 CASESENSITIVE 设置是否大小写敏感，默认值为false，此时词典文件中的token和synonym均会转为小写形式处理。如果设置为true，则不会进行小写转换。 FILEPATH 同义词词典文件所在目录。目录可以指定为本地目录和OBS目录两种形式（只能在安全模式下指定OBS目录，通过启动时添加securitymode选项进入安全模式）。其中，本地目录格式为"file://absolute_path"，OBS目录格式为"obs://bucket_name/path accesskey=ak secretkey=sk region=rg"。默认值为预定义词典文件所在目录。 Thesaurus词典对应的option DICTFILE 词典定义文件名，默认后缀名为ths。 文件格式为一组同义词列表，每行格式为"sample words : indexed words"，中间冒号（:）作为短语和其替换词间的分隔符。TZ词典处理时，如果有多个匹配的sample words，将选择最长匹配输出。 DICTIONARY 用于词规范化的子词典名，必须且仅能定义一个。该词典必须是已经存在的，在检查短语匹配之前使用，用于识别和规范输入文本。 如果子词典无法识别输入词，将会报错。此时，需要移除该词或者更新子词典使其识别。此外，可在indexed words的开头放上一个星号（*）来跳过在其上应用子词典，但是所有sample words必须可以被子词典识别。 如果词典文件定义的sample words中，含有子词典中定义的停用词，需要用问号（？）替代停用词。假设a和the是子词典中所定义的停用词，如下： ? one ? two : swsw 上述同义词组定义会匹配"a one the two"以及"the one a two"，这两个短语均会被swsw替代输出。 FILEPATH 词典定义文件所在目录。目录可以指定为本地目录和OBS目录两种形式（只能在安全模式下指定OBS目录，通过启动时添加securitymode选项进入安全模式）。其中，本地目录格式为"file://absolute_path"，OBS目录格式为"obs://bucket_name/path accesskey=ak secretkey=sk region=rg"。默认值为预定义词典文件所在目录。 Ispell词典 DICTFILE 词典定义文件名，默认后缀名为dict。 AFFFILE 词缀文件名，默认后缀名为affix。 STOPWORDS 停用词文件名，默认后缀名为stop，文件格式要求与Simple类型词典的停用词文件相同。 FILEPATH 词典文件所在目录。可以指定为本地目录和OBS目录两种形式（只能在安全模式下指定OBS目录，通过启动时添加securitymode选项进入安全模式）。其中，本地目录格式为"file://absolute_path"，OBS目录格式为"obs://bucket_name/path accesskey=ak secretkey=sk region=rg"。默认值为预定义词典文件所在目录。 Snowball词典 LANGUAGE 语言名，标识使用哪种语言的词干分析算法。算法按照对应语言中的拼写规则，缩减输入词的常见变体形式为一个基础词或词干。 STOPWORDS 停用词表文件名，默认后缀名为stop，文件格式要求与Simple类型词典的停用词文件相同。 FILEPATH 词典定义文件所在目录。可以指定为本地目录或者OBS目录（只能在安全模式下指定OBS目录，通过启动时添加securitymode选项进入安全模式）。其中，本地目录格式为"file://absolute_path"，OBS目录格式为"obs://bucket_name/path accesskey=ak secretkey=sk region=rg"。默认值为预定义词典文件所在目录。FILEPATH参数必须和STOPWORDS参数同时指定，不允许单独指定。 词典定义文件的文件名仅支持小写字母、数据、下划线混合。 value 参数值。如果不是简单的标识符或数字，则参数值必须加单引号（标示符和数字同样可以加上单引号）。

操作步骤 连接数据库。 检查审计总开关状态。 用show命令显示审计总开关audit_enabled的值。 1 postgres=# SHOW audit_enabled; on表示开启审计，off表示关闭审计。 配置具体的审计项。 只有开启审计功能，用户的操作才会被记录到审计文件中。 各审计项的默认参数都符合安全标准，用户可以根据需要开启其他审计功能，但会对性能有一定影响。 可以参考用户指南修改audit_system_object的参数值，其中audit_system_object代表审计项开关，12295为该审计开关的值。不当修改该参数会导致丢失DDL审计日志，请在客服人员指导下进行修改。

背景信息 数据库安全对数据库系统来说至关重要。GaussDB将用户对数据库的所有操作写入审计日志。数据库安全管理员可以利用这些日志信息，重现导致数据库现状的一系列事件，找出非法操作的用户、时间和内容等。 关于审计功能，用户需要了解以下几点内容： 审计总开关audit_enabled支持动态加载。在数据库运行期间修改该配置项的值会立即生效，无需重启数据库。默认值为on，表示开启审计功能。 除了审计总开关，各个审计项也有对应的开关。只有开关开启，对应的审计功能才能生效。 各审计项的开关支持动态加载。在数据库运行期间修改审计开关的值，不需要重启数据库便可生效。 目前，GaussDB支持以下审计项如表1所示，详细说明请参见链接中GUC参数说明章节的具体参数。 表1 配置审计项 配置项 描述 用户登录、注销审计 参数：audit_login_logout 默认值为7，表示开启用户登录、退出的审计功能。设置为0表示关闭用户登录、退出的审计功能。不推荐设置除0和7之外的值。 数据库启动、停止、恢复和切换审计 参数：audit_database_process 默认值为1，表示开启数据库启动、停止、恢复和切换的审计功能。 用户锁定和解锁审计 参数：audit_user_locked 默认值为1，表示开启审计用户锁定和解锁功能。 用户访问越权审计 参数：audit_user_violation 默认值为0，表示关闭用户越权操作审计功能。 授权和回收权限审计 参数：audit_grant_revoke 默认值为1，表示开启审计用户权限授予和回收功能。 数据库对象的CREATE，ALTER，DROP操作审计 参数：audit_system_object 默认值为12295，表示只对DATABASE、SCHEMA、USER、DATA SOURCE、NODE GROUP这五类数据库对象的CREATE、ALTER、DROP操作进行审计。 具体表的INSERT、UPDATE和DELETE操作审计 参数：audit_dml_state 默认值为0，表示关闭具体表的DML操作（SELECT除外）审计功能。 SELECT操作审计 参数：audit_dml_state_select 默认值为0，表示关闭SELECT操作审计功能。 COPY审计 参数：audit_copy_exec 默认值为1，表示打开copy操作审计功能。 存储过程和自定义函数的执行审计 参数：audit_function_exec 默认值为0，表示不记录存储过程和自定义函数的执行审计日志。 SET审计 参数：audit_set_parameter 默认值为1，表示记录set操作审计日志 安全相关参数及默认值请参见表2。 表2 安全相关参数及默认值 参数名 默认值 说明 ssl on 指定是否启用SSL连接。 require_ssl off 指定服务器端是否强制要求SSL连接。 ssl_ciphers ALL 指定SSL支持的加密算法列表。 ssl_cert_file server.crt 指定包含SSL服务器证书的文件的名称。 ssl_key_file server.key 指定包含SSL私钥的文件名称。 ssl_ca_file cacert.pem 指定包含CA信息的文件的名称。 ssl_crl_file NULL 指定包含CRL信息的文件的名称。 ssl_cert_notify_time 90 SSL服务器证书到期前提醒的天数。 password_policy 1 指定是否进行密码复杂度检查。 password_reuse_time 0 指定是否对新密码进行可重用天数检查。 password_reuse_max 0 指定是否对新密码进行可重用次数检查。 password_lock_time 1 指定帐户被锁定后自动解锁的时间。 failed_login_attempts 10 如果输入密码错误的次数达到此参数值时，当前帐户被锁定。 password_encryption_type 2 指定采用何种加密方式对用户密码进行加密存储。 password_min_uppercase 0 密码中至少需要包含大写字母的个数。 password_min_lowercase 0 密码中至少需要包含小写字母的个数。 password_min_digital 0 密码中至少需要包含数字的个数。 password_min_special 0 密码中至少需要包含特殊字符的个数。 password_min_length 8 密码的最小长度。 说明： 在设置此参数时，请将其设置成不大于password_max_length，否则进行涉及密码的操作会一直出现密码长度错误的提示 password_max_length 32 密码的最大长度。 说明： 在设置此参数时，请将其设置成不小于password_min_length，否则进行涉及密码的操作会一直出现密码长度错误的提示。 password_effect_time 90 密码的有效期限。 password_notify_time 7 密码到期提醒的天数。 audit_enabled on 控制审计进程的开启和关闭。 audit_directory pg_audit 审计文件的存储目录。 audit_data_format binary 审计日志文件的格式，当前仅支持二进制格式（binary）。 audit_rotation_interval 1d 指定创建一个新审计日志文件的时间间隔。当现在的时间减去上次创建一个审计日志的时间超过了此参数值时，服务器将生成一个新的审计日志文件。 audit_rotation_size 10MB 指定审计日志文件的最大容量。当审计日志消息的总量超过此参数值时，服务器将生成一个新的审计日志文件。 audit_resource_policy on 控制审计日志的保存策略，以空间还是时间限制为优先策略，on表示以空间为优先策略。 audit_file_remain_time 90 表示需记录审计日志的最短时间要求，该参数在audit_resource_policy为off时生效。 audit_space_limit 1GB 审计文件占用磁盘空间的最大值。 audit_file_remain_threshold 1048576 审计目录下审计文件的最大数量。 audit_login_logout 7 指定是否审计数据库用户的登录（包括登录成功和登录失败）、注销。 audit_database_process 1 指定是否审计数据库启动、停止、切换和恢复的操作。 audit_user_locked 1 指定是否审计数据库用户的锁定和解锁。 audit_user_violation 0 指定是否审计数据库用户的越权访问操作。 audit_grant_revoke 1 指定是否审计数据库用户权限授予和回收的操作。 audit_system_object 12295 指定是否审计数据库对象的CREATE、DROP、ALTER操作。 audit_dml_state 0 指定是否审计具体表的INSERT、UPDATE、DELETE操作。 audit_dml_state_select 0 指定是否审计SELECT操作。 audit_copy_exec 1 指定是否审计COPY操作。 audit_function_exec 0 指定在执行存储过程、匿名块或自定义函数（不包括系统自带函数）时是否记录审计信息。 audit_set_parameter 1 指定是否审计SET操作。 enableSeparationOfDuty off 指定是否开启三权分立。 session_timeout 10min 建立连接会话后，如果超过此参数的设置时间，则会自动断开连接。 auth_iteration_count 10000 认证加密信息生成过程中使用的迭代次数。

语法格式 1 2 CREATE GROUP group_name [ [ WITH ] option [ ... ] ] [ ENCRYPTED | UNENCRYPTED ] { PASSWORD | IDENTIFIED BY } { 'password' [ EXPIRED ] | DISABLE }; 其中可选项action子句语法为： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 where option can be: {SYSADMIN | NOSYSADMIN} | {MONADMIN | NOMONADMIN} | {OPRADMIN | NOOPRADMIN} | {POLADMIN | NOPOLADMIN} | {AUDITADMIN | NOAUDITADMIN} | {CREATEDB | NOCREATEDB} | {USEFT | NOUSEFT} | {CREATEROLE | NOCREATEROLE} | {INHERIT | NOINHERIT} | {LOGIN | NOLOGIN} | {REPLICATION | NOREPLICATION} | {INDEPENDENT | NOINDEPENDENT} | {VCADMIN | NOVCADMIN} | {PERSISTENCE | NOPERSISTENCE} | CONNECTION LIMIT connlimit | VALID BEGIN 'timestamp' | VALID UNTIL 'timestamp' | RESOURCE POOL 'respool' | USER GROUP 'groupuser' | PERM SPACE 'spacelimit' | NODE GROUP logic_group_name | IN ROLE role_name [, ...] | IN GROUP role_name [, ...] | ROLE role_name [, ...] | ADMIN role_name [, ...] | USER role_name [, ...] | SYSID uid | DEFAULT TABLESPACE tablespace_name | PROFILE DEFAULT | PROFILE profile_name | PGUSER

现象描述 查询与销售部所有员工的信息： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 --建表 CREATE TABLE staffs (staff_id NUMBER(6) NOT NULL, first_name VARCHAR2(20), last_name VARCHAR2(25), employment_id VARCHAR2(10), section_id NUMBER(4), state_name VARCHAR2(10), city VARCHAR2(10)); CREATE TABLE sections(section_id NUMBER(4), place_id NUMBER(4), section_name VARCHAR2(20)); CREATE TABLE states(state_id NUMBER(4)); CREATE TABLE places(place_id NUMBER(4), state_id NUMBER(4)); --优化前查询 EXPLAIN SELECT staff_id,first_name,last_name,employment_id,state_name,city FROM staffs,sections,states,places WHERE sections.section_name='Sales' AND staffs.section_id = sections.section_id AND sections.place_id = places.place_id AND places.state_id = states.state_id ORDER BY staff_id; --优化后查询 CREATE INDEX loc_id_pk ON places(place_id); CREATE INDEX state_c_id_pk ON states(state_id); EXPLAIN SELECT staff_id,first_name,last_name,employment_id,state_name,city FROM staffs,sections,states,places WHERE sections.section_name='Sales' AND staffs.section_id = sections.section_id AND sections.place_id = places.place_id AND places.state_id = states.state_id ORDER BY staff_id;

创建、修改和删除角色 非三权分立时，只有系统管理员和具有CREATEROLE属性的用户才能创建、修改或删除角色。三权分立下，只有初始用户和具有CREATEROLE属性的用户才能创建、修改或删除角色。 要创建角色，请使用CREATE ROLE。 要在现有角色中添加或删除用户，请使用ALTER ROLE。 要删除角色，请使用DROP ROLE。DROP ROLE只会删除角色，并不会删除角色中的成员用户帐户。

参数说明 关键字PUBLIC表示一个隐式定义的拥有所有角色的组。 权限类别和参数说明，请参见GRANT的参数说明。 任何特定角色拥有的特权包括直接授予该角色的特权、从该角色作为其成员的角色中得到的权限以及授予给PUBLIC的权限。因此，从PUBLIC收回SELECT特权并不一定会意味着所有角色都会失去在该对象上的SELECT特权，那些直接被授予的或者通过另一个角色被授予的角色仍然会拥有它。类似地，从一个用户收回SELECT后，如果PUBLIC仍有SELECT权限，该用户还是可以使用SELECT。 指定GRANT OPTION FOR时，只撤销对该权限授权的权力，而不撤销该权限本身。 如用户A拥有某个表的UPDATE权限，及WITH GRANT OPTION选项，同时A把这个权限赋予了用户B，则用户B持有的权限称为依赖性权限。当用户A持有的权限或者授权选项被撤销时，依赖性权限仍然存在，但如果声明了CASCADE，则所有依赖性权限都被撤销。 一个用户只能撤销由它自己直接赋予的权限。例如，如果用户A被指定授权（WITH ADMIN OPTION）选项，且把一个权限赋予了用户B，然后用户B又赋予了用户C，则用户A不能直接将C的权限撤销。但是，用户A可以撤销用户B的授权选项，并且使用CASCADE。这样，用户C的权限就会自动被撤销。另外一个例子：如果A和B都赋予了C同样的权限，则A可以撤销他自己的授权选项，但是不能撤销B的，因此C仍然拥有该权限。 如果执行REVOKE的角色持有的权限是通过多层成员关系获得的，则具体是哪个包含的角色执行的该命令是不确定的。在这种场合下，建议的方法是使用SET ROLE成为特定角色，然后执行REVOKE，否则可能导致删除了不想删除的权限，或者是任何权限都没有删除。

语法格式 回收指定表或视图上权限。 1 2 3 4 5 6 7 REVOKE [ GRANT OPTION FOR ] { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | ALTER | DROP | COMMENT | INDEX | VACUUM }[, ...] | ALL [ PRIVILEGES ] } ON { [ TABLE ] table_name [, ...] | ALL TABLES IN SCHEMA schema_name [, ...] } FROM { [ GROUP ] role_name | PUBLIC } [, ...] [ CASCADE | RESTRICT ]; 回收表上指定字段权限。 1 2 3 4 5 6 REVOKE [ GRANT OPTION FOR ] { {{ SELECT | INSERT | UPDATE | REFERENCES | COMMENT } ( column_name [, ...] )}[, ...] | ALL [ PRIVILEGES ] ( column_name [, ...] ) } ON [ TABLE ] table_name [, ...] FROM { [ GROUP ] role_name | PUBLIC } [, ...] [ CASCADE | RESTRICT ]; 回收指定序列上权限。 1 2 3 4 5 6 7 REVOKE [ GRANT OPTION FOR ] { { SELECT | UPDATE | ALTER | DROP | COMMENT }[, ...] | ALL [ PRIVILEGES ] } ON { [ SEQUENCE ] sequence_name [, ...] | ALL SEQUENCES IN SCHEMA schema_name [, ...] } FROM { [ GROUP ] role_name | PUBLIC } [, ...] [ CASCADE | RESTRICT ]; 回收指定数据库上权限。 1 2 3 4 5 6 REVOKE [ GRANT OPTION FOR ] { { CREATE | CONNECT | TEMPORARY | TEMP | ALTER | DROP | COMMENT } [, ...] | ALL [ PRIVILEGES ] } ON DATABASE database_name [, ...] FROM { [ GROUP ] role_name | PUBLIC } [, ...] [ CASCADE | RESTRICT ]; 回收指定域上权限。 1 2 3 4 5 REVOKE [ GRANT OPTION FOR ] { USAGE | ALL [ PRIVILEGES ] } ON DOMAIN domain_name [, ...] FROM { [ GROUP ] role_name | PUBLIC } [, ...] [ CASCADE | RESTRICT ]; 回收指定客户端加密主密钥上的权限。 1 2 3 4 5 REVOKE [ GRANT OPTION FOR ] { { USAGE | DROP } [, ...] | ALL [PRIVILEGES] } ON CLIENT_MASTER_KEYS client_master_keys_name [, ...] FROM { [ GROUP ] role_name | PUBLIC } [, ...] [ CASCADE | RESTRICT ]; 回收指定列加密密钥上的权限。 1 2 3 4 5 REVOKE [ GRANT OPTION FOR ] { { USAGE | DROP } [, ...] | ALL [PRIVILEGES]} ON COLUMN_ENCRYPTION_KEYS column_encryption_keys_name [, ...] FROM { [ GROUP ] role_name | PUBLIC } [, ...] [ CASCADE | RESTRICT ]; 回收指定目录上权限。 1 2 3 4 5 REVOKE [ GRANT OPTION FOR ] { { READ | WRITE } [, ...] | ALL [ PRIVILEGES ] } ON DIRECTORY directory_name [, ...] FROM { [ GROUP ] role_name | PUBLIC } [, ...] [ CASCADE | RESTRICT ]; 回收指定外部数据源上权限。 1 2 3 4 5 REVOKE [ GRANT OPTION FOR ] { USAGE | ALL [ PRIVILEGES ] } ON FOREIGN DATA WRAPPER fdw_name [, ...] FROM { [ GROUP ] role_name | PUBLIC } [, ...] [ CASCADE | RESTRICT ]; 回收指定外部服务器上权限。 1 2 3 4 5 REVOKE [ GRANT OPTION FOR ] { { USAGE | ALTER | DROP | COMMENT } [, ...] | ALL [ PRIVILEGES ] } ON FOREIGN SERVER server_name [, ...] FROM { [ GROUP ] role_name | PUBLIC } [, ...] [ CASCADE | RESTRICT ]; 回收指定函数上权限。 1 2 3 4 5 6 REVOKE [ GRANT OPTION FOR ] { { EXECUTE | ALTER | DROP | COMMENT } [, ...] | ALL [ PRIVILEGES ] } ON { FUNCTION {function_name ( [ {[ argmode ] [ arg_name ] arg_type} [, ...] ] )} [, ...] | ALL FUNCTIONS IN SCHEMA schema_name [, ...] } FROM { [ GROUP ] role_name | PUBLIC } [, ...] [ CASCADE | RESTRICT ]; 回收指定过程语言上权限。 1 2 3 4 5 REVOKE [ GRANT OPTION FOR ] { USAGE | ALL [ PRIVILEGES ] } ON LANGUAGE lang_name [, ...] FROM { [ GROUP ] role_name | PUBLIC } [, ...] [ CASCADE | RESTRICT ]; 回收指定大对象上权限。 1 2 3 4 5 REVOKE [ GRANT OPTION FOR ] { { SELECT | UPDATE } [, ...] | ALL [ PRIVILEGES ] } ON LARGE OBJECT loid [, ...] FROM { [ GROUP ] role_name | PUBLIC } [, ...] [ CASCADE | RESTRICT ]; 回收指定模式上权限。 1 2 3 4 5 REVOKE [ GRANT OPTION FOR ] { { CREATE | USAGE | ALTER | DROP | COMMENT } [, ...] | ALL [ PRIVILEGES ] } ON SCHEMA schema_name [, ...] FROM { [ GROUP ] role_name | PUBLIC } [, ...] [ CASCADE | RESTRICT ]; 回收指定表空间上权限。 1 2 3 4 5 REVOKE [ GRANT OPTION FOR ] { { CREATE | ALTER | DROP | COMMENT } [, ...] | ALL [ PRIVILEGES ] } ON TABLESPACE tablespace_name [, ...] FROM { [ GROUP ] role_name | PUBLIC } [, ...] [ CASCADE | RESTRICT ]; 回收指定类型上权限。 1 2 3 4 5 REVOKE [ GRANT OPTION FOR ] { { USAGE | ALTER | DROP | COMMENT } [, ...] | ALL [ PRIVILEGES ] } ON TYPE type_name [, ...] FROM { [ GROUP ] role_name | PUBLIC } [, ...] [ CASCADE | RESTRICT ]; 回收指定子集群上权限 1 2 3 4 5 REVOKE [ GRANT OPTION FOR ] { { CREATE | USAGE | COMPUTE | ALTER | DROP } [, ...] | ALL [ PRIVILEGES ] } ON NODE GROUP group_name [, ...] FROM { [ GROUP ] role_name | PUBLIC } [, ...] [ CASCADE | RESTRICT ]; 回收子集群的create权限时，会默认回收usage和compute权限。 回收Data Source对象上的权限。 1 2 3 4 5 REVOKE [ GRANT OPTION FOR ] { USAGE | ALL [PRIVILEGES] } ON DATA SOURCE src_name [, ...] FROM {[GROUP] role_name | PUBLIC} [, ...] [ CASCADE | RESTRICT ]; 回收directory对象的权限。 1 2 3 4 5 REVOKE [ GRANT OPTION FOR ] { { READ | WRITE } [, ...] | ALL [PRIVILEGES] } ON DIRECTORY directory_name [, ...] FROM {[GROUP] role_name | PUBLIC} [, ...] [ CASCADE | RESTRICT ]; 按角色回收角色上的权限。 1 2 3 REVOKE [ ADMIN OPTION FOR ] role_name [, ...] FROM role_name [, ...] [ CASCADE | RESTRICT ]; 回收角色上的sysadmin权限。 1 REVOKE ALL { PRIVILEGES | PRIVILEGE } FROM role_name;

注意事项 非对象所有者试图在对象上REVOKE权限，命令按照以下规则执行： 如果授权用户没有该对象上的权限，则命令立即失败。 如果授权用户有部分权限，则只撤销那些有授权选项的权限。 如果授权用户没有授权选项，REVOKE ALL PRIVILEGES形式将发出一个错误信息，而对于其他形式的命令而言，如果是命令中指定名称的权限没有相应的授权选项，该命令将发出一个警告。 不允许对表分区进行REVOKE操作，对分区表进行REVOKE操作会引起告警。

参数说明 WORK | TRANSACTION BEGIN格式中的可选关键字，没有实际作用。 ISOLATION LEVEL 指定事务隔离级别，它决定当一个事务中存在其他并发运行事务时它能够看到什么数据。 在事务中第一个数据修改语句（INSERT，DELETE，UPDATE，FETCH，COPY）执行之后，事务隔离级别就不能再次设置。 取值范围： READ COMMITTED：读已提交隔离级别，只能读到已经提交的数据，而不会读到未提交的数据。这是缺省值。 READ UNCOMMITTED：读未提交隔离级别，可能会读到未提交的数据。提供这个隔离级别可用于在存在某协调节点CN故障等情况下应急使用，建议这种隔离级别下仅作只读操作，避免造成数据不一致。 REPEATABLE READ： 可重复读隔离级别，仅仅看到事务开始之前提交的数据，它不能看到未提交的数据，以及在事务执行期间由其它并发事务提交的修改。 SERIALIZABLE：GaussDB目前功能上不支持此隔离级别，等价于REPEATABLE READ。 READ WRITE | READ ONLY 指定事务访问模式（读/写或者只读）。

示例 1 2 3 4 5 6 7 8 9 10 11 12 13 14 --以默认方式启动事务。 postgres=# START TRANSACTION; postgres=# SELECT * FROM tpcds.reason; postgres=# END; --以默认方式启动事务。 postgres=# BEGIN; postgres=# SELECT * FROM tpcds.reason; postgres=# END; --以隔离级别为READ COMMITTED，读/写方式启动事务。 postgres=# START TRANSACTION ISOLATION LEVEL READ COMMITTED READ WRITE; postgres=# SELECT * FROM tpcds.reason; postgres=# COMMIT;

语法格式 格式一：START TRANSACTION格式 1 2 3 4 5 6 7 START TRANSACTION [ { ISOLATION LEVEL { READ COMMITTED | READ UNCOMMITTED | SERIALIZABLE | REPEATABLE READ } | { READ WRITE | READ ONLY } } [, ...] ]; 格式二：BEGIN格式 1 2 3 4 5 6 7 BEGIN [ WORK | TRANSACTION ] [ { ISOLATION LEVEL { READ COMMITTED | READ UNCOMMITTED | SERIALIZABLE | REPEATABLE READ } | { READ WRITE | READ ONLY } } [, ...] ];

创建表 执行如下命令创建表。 1 2 3 4 5 6 7 8 9 postgres=# CREATE TABLE customer_t1 ( c_customer_sk integer, c_customer_id char(5), c_first_name char(6), c_last_name char(8) ) with (orientation = column,compression=middle) distribute by hash (c_last_name); 当结果显示为如下信息，则表示创建成功。 1 CREATE TABLE 其中c_customer_sk 、c_customer_id、c_first_name和c_last_name是表的字段名，integer、char(5)、char(6)和char(8)分别是这四个字段名称的类型。

使用gsql元命令导入数据 \copy命令在任何psql客户端登录数据库成功后可以执行导入数据。与COPY命令相比较，\copy命令不是读取或写入指定文件的服务器，而是直接读取或写入文件。 这个操作不如SQL COPY命令有效，因为所有的数据必须通过客户端/服务器的连接来传递。对于大量的数据来说SQL命令可能会更好。 有关如何使用\copy命令的更多信息，请参阅使用gsql元命令导入数据。 \COPY只适合小批量，格式良好的数据导入，不会对非法字符做预处理，也无容错能力，无法适用于含有异常数据的场景。导入数据应优先选择GDS或COPY。

使用INSERT多行插入 如果不能使用COPY命令，而您需要进行SQL插入，可以根据情况使用多行插入。如果您使用的是列存表，一次只插入一行或几行，则数据压缩效率低下。 多行插入是通过批量进行一系列插入而提高性能。下面的示例使用一条INSERT语句向一个三列表插入三行。这仍属于少量插入，只是用来说明多行插入的语法。创建表的步骤请参考创建和管理表。 向表customer_t1中插入多行数据： 1 2 3 4 postgres=# INSERT INTO customer_t1 VALUES (68, 'a1', 'zhou','wang'), (43, 'b1', 'wu', 'zhao'), (95, 'c1', 'zheng', 'qian'); 有关更多详情和示例，请参阅INSERT 。

使用INSERT批量插入 带SELECT子句使用批量插入操作来实现高性能数据插入。 如果需要将数据或数据子集从一个表移动到另一个表，可以使用INSERT和CREATE TABLE AS 命令。 如果从指定表插入数据到当前表，例如在数据库中创建了一个表customer_t1的备份表customer_t2，现在需要将表customer_t1中的数据插入到表customer_t2中，则可以执行如下命令。 1 2 3 4 5 6 7 8 postgres=# CREATE TABLE customer_t2 ( c_customer_sk integer, c_customer_id char(5), c_first_name char(6), c_last_name char(8) ); postgres=# INSERT INTO customer_t2 SELECT * FROM customer_t1; 上面的示例等价于： 1 postgres=# CREATE TABLE customer_t2 AS SELECT * FROM customer_t1;

使用GDS导入数据 数据倾斜会造成查询表性能下降。对于记录数超过千万条的表，建议在执行全量数据导入前，先导入部分数据，以进行数据倾斜检查和调整分布列，避免导入大量数据后发现数据倾斜，调整成本高。详细请参见查看数据倾斜状态。 为了优化导入速度，建议拆分文件，使用多GDS进行并行导入。另外，单个导入任务可以拆分成多个导入任务并发执行导入，多个导入任务使用同一GDS时可以使用-t参数打开GDS多线程并发执行导入。GDS建议挂载在不同物理盘以及不同网卡上，避免物理IO以及网络可能出现的瓶颈。 为了确保作业的正常运行，请注意根据GDS所承担的负载和并发度，在GDS所在的物理环境上配置充足的系统资源，其中包含但不限于：内存大小、句柄数量、GDS数据目录对应磁盘的空闲空间大小。如果GDS部署于GaussDB集群外部，请确保其物理环境配置与集群内部配置对齐。 在GDS IO与网卡未达到物理瓶颈前，可以考虑在GaussDB开启SMP进行加速。SMP开启之后会对对应的GDS产生成倍的压力。需要特别说明的是：SMP自适应衡量的标准是GaussDB的CPU压力，而不是GDS所承受的压力。 GDS与GaussDB通信要求物理网络畅通，并且尽量使用万兆网。千兆网无法承载高速的数据传输压力，极易出现断连。即使用千兆网时GaussDB无法提供通信保障。满足万兆网的同时，数据磁盘组I/O性能大于GDS单核处理能力上限（约400MB/s）时，方可寻求单文件导入速率最大化。 并发导入场景，与单表导入相似，至少应保证I/O性能大于网络最大速率。 数据服务器上，建议一个Raid只布1~2个GDS。 GDS跟DN的数据比例建议在1:3至1:6之间。 为了优化列存分区表的批量插入效率，在批量插入过程中会对数据进行缓存后再批量写盘。通过GUC参数“partition_mem_batch”和“partition_max_cache_size”，可以设置缓存个数以及缓存区大小。这两个参数的值越小，列存分区表的批量插入越慢。当然，越大的缓存个数和缓存分区，会带来越多的内存消耗。

数据库对象位置函数 pg_relation_filenode(relation regclass) 描述：指定关系的文件节点数。 返回值类型：oid 备注：pg_relation_filenode接受一个表、索引、序列或压缩表的OID或者名称，并且返回当前分配给它的"filenode"数。文件节点是关系使用的文件名称的基本组件。对大多数表来说，结果和pg_class.relfilenode相同，但对确定的系统目录来说， relfilenode为0而且这个函数必须用来获取正确的值。如果传递一个没有存储的关系，比如一个视图，那么这个函数返回NULL。 pg_relation_filepath(relation regclass) 描述：指定关系的文件路径名。 返回值类型：text 备注：pg_relation_filepath类似于pg_relation_filenode，但是它返回关系的整个文件路径名（相对于数据库集群的数据目录PGDATA）。 get_large_table_name(relfile_node text, threshold_size_gb int8) 描述：根据表的文件编码（relfile_node）查询对应的表大小（单位为GB）是否超过阈值（threshold_size_gb），如果超过则返回模式名和表名（形式为schemaname.tablename）， 否则返回字符串’null’。 返回值类型：text pg_filenode_relation(tablespacename, relname) 描述：获取到对应的tablespace和relfilenode所对应的表名。 返回类型：regclass pg_partition_filenode(partition_oid) 描述：获取到指定分区表的oid锁对应的filenode。 返回类型：oid