华为云用户手册

注意事项 数据库集群包含一个或多个已命名数据库。用户和用户组在整个集群范围内是共享的，但是其数据并不共享。任何与服务器连接的用户都只能访问连接请求里声明的那个数据库。 一个数据库可以包含一个或多个已命名的schema，schema又包含表及其他数据库对象，包括数据类型、函数、操作符等。同一对象名可以在不同的schema中使用而不会引起冲突。例如，schema1和schema2都可以包含一个名为mytable的表。 和数据库不同，schema不是严格分离的。用户根据其对schema的权限，可以访问所连接数据库的schema中的对象。进行schema权限管理首先需要对数据库的权限控制进行了解。 不能创建以PG_为前缀的schema名，该类schema为数据库系统预留的。 在每次创建新用户时，系统会在当前登录的数据库中为新用户创建一个同名Schema。对于其他数据库，若需要同名Schema，则需要用户手动创建。 通过未修饰的表名（名称中只含有表名，没有“schema名”）引用表时，系统会通过search_path（搜索路径）来判断该表是哪个schema下的表。pg_temp和pg_catalog始终会作为搜索路径顺序中的前两位，无论二者是否出现在search_path中，或者出现在search_path中的任何位置。search_path（搜索路径）是一个schema名列表，在其中找到的第一个表就是目标表，如果没有找到则报错。（某个表即使存在，如果它的schema不在search_path中，依然会查找失败）在搜索路径中的第一个schema叫做"当前schema"。它是搜索时查询的第一个schema，同时在没有声明schema名时，新创建的数据库对象会默认存放在该schema下。 每个数据库都包含一个pg_catalog schema，它包含系统表和所有内置数据类型、函数、操作符。pg_catalog是搜索路径中的一部分，始终在临时表所属的模式后面，并在search_path中所有模式的前面，即具有第二搜索优先级。这样确保可以搜索到数据库内置对象。如果用户需要使用和系统内置对象重名的自定义对象时，可以在操作自定义对象时带上自己的模式。

操作步骤 向表中插入数据前，意味着表已创建成功。创建表的步骤请参考创建和管理表。 向表customer_t1中插入一行： 数据值是按照这些字段在表中出现的顺序列出的，并且用逗号分隔。通常数据值是文本（常量），但也允许使用标量表达式。 1 gaussdb=# INSERT INTO customer_t1(c_customer_sk, c_customer_id, c_first_name) VALUES (3769, 'hello', 'Grace'); 如果用户已经知道表中字段的顺序，也可无需列出表中的字段。例如以下命令与上面的命令效果相同。 1 gaussdb=# INSERT INTO customer_t1 VALUES (3769, 'hello', 'Grace'); 如果用户不知道所有字段的数值，可以忽略其中的一些。没有数值的字段将被填充为字段的缺省值。例如： 123 gaussdb=# INSERT INTO customer_t1 (c_customer_sk, c_first_name) VALUES (3769, 'Grace');gaussdb=# INSERT INTO customer_t1 VALUES (3769, 'hello'); 用户也可以对独立的字段或者整个行明确缺省值： 123 gaussdb=# INSERT INTO customer_t1 (c_customer_sk, c_customer_id, c_first_name) VALUES (3769, 'hello', DEFAULT);gaussdb=# INSERT INTO customer_t1 DEFAULT VALUES; 如果需要在表中插入多行，请使用以下命令： 1234 gaussdb=# INSERT INTO customer_t1 (c_customer_sk, c_customer_id, c_first_name) VALUES (6885, 'maps', 'Joes'), (4321, 'tpcds', 'Lily'), (9527, 'world', 'James'); 如果需要向表中插入多条数据，除此命令外，也可以多次执行插入一行数据命令实现。但是建议使用此命令可以提升效率。 如果从指定表插入数据到当前表，例如在数据库中创建了一个表customer_t1的备份表customer_t2，现在需要将表customer_t1中的数据插入到表customer_t2中，则可以执行如下命令。 123456789 gaussdb=# CREATE TABLE customer_t2( c_customer_sk integer, c_customer_id char(5), c_first_name char(6), c_last_name char(8));gaussdb=# INSERT INTO customer_t2 SELECT * FROM customer_t1; 从指定表插入数据到当前表时，若指定表与当前表对应的字段数据类型之间不存在隐式转换，则这两种数据类型必须相同。 删除备份表 1 gaussdb=# DROP TABLE customer_t2 CASCADE; 在删除表的时候，若当前需删除的表与其他表有依赖关系，需先删除关联的表，然后再删除当前表。

背景信息 服务端与客户端使用不同的字符集时，两者字符集中单个字符的长度也会不同，客户端输入的字符串会以服务端字符集的格式进行处理，所以产生的最终结果可能会与预期不一致。 表1 客户端和服务端设置字符集的输出结果对比 操作过程 服务端和客户端编码一致 服务端和客户端编码不一致 存入和取出过程中没有对字符串进行操作 输出预期结果 输出预期结果（输入与显示的客户端编码必须一致）。 存入取出过程对字符串有做一定的操作（如字符串函数操作） 输出预期结果 根据对字符串具体操作可能产生非预期结果。 存入过程中对超长字符串有截断处理 输出预期结果 字符集中字符编码长度是否一致，如果不一致可能会产生非预期的结果。 上述字符串函数操作和自动截断产生的效果会有叠加效果，例如：在客户端与服务端字符集不一致的场景下，如果既有字符串操作，又有字符串截断，在字符串被处理完以后的情况下继续截断，这样也会产生非预期的效果。详细的示例请参见表2。 数据库DBCOMPATIBILITY设为兼容TD（Teradata）模式，且GUC参数td_compatible_truncation设置为on的情况下，才会对超长字符串进行截断。 执行如下命令建立示例中需要使用的表table1、table2。 12 gaussdb=# CREATE TABLE table1(id int, a char(6), b varchar(6),c varchar(6));gaussdb=# CREATE TABLE table2(id int, a char(20), b varchar(20),c varchar(20)); 表2 示例 编号 服务端字符集 客户端字符集 是否启用自动截断 示例 结果 说明 1 SQL_ASCII UTF8 是 1 gaussdb=# INSERT INTO table1 VALUES(1,reverse('123ＡＡ78'),reverse('123ＡＡ78'),reverse('123ＡＡ78')); 123 id |a|b|c----+------+------+------1 | 87| 87| 87 字符串在服务端翻转后，并进行截断，由于服务端和客户端的字符集不一致，字符A在客户端由多个字节表示，结果产生异常。 2 SQL_ASCII UTF8 是 1 gaussdb=# INSERT INTO table1 VALUES(2,reverse('123Ａ78'),reverse('123Ａ78'),reverse('123Ａ78')); 123 id |a|b|c----+------+------+------2 | 873| 873| 873 字符串翻转后，又进行了自动截断，所以产生了非预期的效果。 3 SQL_ASCII UTF8 是 1 gaussdb=# INSERT INTO table1 VALUES(3,'87Ａ123','87Ａ123','87Ａ123'); 123 id | a | b | c----+-------+-------+------- 3 | 87Ａ1 | 87Ａ1 | 87Ａ1 字符串类型的字段长度是客户端字符编码长度的整数倍，所以截断后产生结果正常。 4 SQL_ASCII UTF8 否 12 gaussdb=# INSERT INTO table2 VALUES(1,reverse('123ＡＡ78'),reverse('123ＡＡ78'),reverse('123ＡＡ78'));gaussdb=# INSERT INTO table2 VALUES(2,reverse('123Ａ78'),reverse('123Ａ78'),reverse('123Ａ78')); 1234 id |a|b|c----+-------------------+--------+--------1 | 87 321| 87 321 | 87 3212 | 87321| 87321| 87321 与示例1类似，多字节字符翻转之后不再表示原来的字符。

查看和停止正在运行的查询语句 通过视图PG_STAT_ACTIVITY可以查看正在运行的查询语句。方法如下： 设置参数track_activities为on。 1 SET track_activities = on; 当此参数为on时，数据库系统才会收集当前活动查询的运行信息。 查看正在运行的查询语句。以查看正在运行的查询语句所连接的数据库名、执行查询的用户、查询状态及查询对应的PID为例： 1 SELECT datname, usename, state,pid FROM pg_stat_activity; 12345678 datname | usename | state | pid----------+---------+--------+----------------- testdb | Ruby | active | 140298793514752 testdb | Ruby | active | 140298718004992 testdb | Ruby | idle | 140298650908416 testdb | Ruby | idle | 140298625742592 testdb | omm | active | 140298575406848(5 rows) 如果state字段显示为idle，则表明此连接处于空闲，等待用户输入命令。 如果仅需要查看非空闲的查询语句，则使用如下命令查看： 1 SELECT datname, usename, state, pid FROM pg_stat_activity WHERE state != 'idle'; 若需要取消运行时间过长的查询，通过PG_TERMINATE_BACKEND函数，根据线程ID（即2中查询结果的pid字段）结束会话。 1 SELECT PG_TERMINATE_BACKEND(140298793514752); 显示类似如下信息，表示结束会话成功。 1234 PG_TERMINATE_BACKEND---------------------- t(1 row) 显示类似如下信息，表示用户执行了结束当前会话的操作。 12 FATAL: terminating connection due to administrator commandFATAL: terminating connection due to administrator command 1. gsql客户端使用PG_TERMINATE_BACKEND函数结束当前正在执行会话的后台线程时，如果当前的用户是初始用户，客户端不会退出而是自动重连，即还会返回“The connection to the server was lost. Attempting reset: Succeeded.”；否则客户端会重连失败，即返回“The connection to the server was lost. Attempting reset: Failed.”。这是因为只有初始用户可以免密登录，普遍用户不能免密登录，从而重连失败。 2. 对于使用PG_TERMINATE_BACKEND函数结束非活跃的后台线程时。如果打开了线程池，此时空闲的会话没有线程ID，无法结束会话。非线程池模式下，结束的会话不会自动重连。

查看数据库用户 通过PG_USER可以查看数据库中所有用户的列表，还可以查看用户ID（USESYSID）和用户权限。 1 SELECT * FROM pg_user; 123456 usename | usesysid | usecreatedb | usesuper | usecatupd | userepl | passwd | valbegin | valuntil | respool | parent | spacelimit | useconfig | nodegroup | tempspacelimit | spillspacelimit ---------+----------+-------------+----------+-----------+---------+----------+----------+----------+--------------+-------------+------------+-----------+-----------+----------------+----------------- roach | 10 | t | t | t | t | ******** | | | default_pool | 0 | | | | | (1 row)

查看数据库中包含的表 在public Schema下新建五张表： gaussdb=# CREATE TABLE public.search_table_t1(a int) distribute by hash(a);CREATE TABLEgaussdb=# CREATE TABLE public.search_table_t2(b int) distribute by hash(b);CREATE TABLEgaussdb=# CREATE TABLE public.search_table_t3(c int) distribute by hash(c);CREATE TABLEgaussdb=# CREATE TABLE public.search_table_t4(d int) distribute by hash(d);CREATE TABLEgaussdb=# CREATE TABLE public.search_table_t5(e int) distribute by hash(e);CREATE TABLE 在PG_TABLES系统表中查看public Schema中包含的前缀为search_table的表。 1 gaussdb=# SELECT distinct(tablename) FROM pg_tables WHERE SCHEMANAME = 'public' AND TABLENAME LIKE 'search_table%'; 结果类似如下： 12345678 tablename----------------- search_table_t1 search_table_t2 search_table_t3 search_table_t4 search_table_t5(5 rows)

背景信息 数据库审计功能对数据库系统的安全性至关重要。数据库安全管理员可以利用审计日志信息，重现导致数据库现状的一系列事件，找出非法操作的用户、时间和内容等。 关于审计功能，用户需要了解以下几点内容： 审计总开关GUC参数audit_enabled支持动态加载。在数据库运行期间修改该配置项的值会立即生效，无需重启数据库。默认值为on，表示开启审计功能。 除了审计总开关，各个审计项也有对应的开关。只有开关开启，对应的审计功能才能生效。 各审计项的开关支持动态加载。在数据库运行期间修改审计开关的值，不需要重启数据库便可生效。 目前，GaussDB支持以下审计项如表1所示。 表1 配置审计项 配置项 描述 用户登录、注销审计 参数：audit_login_logout 默认值为7，表示开启用户登录、退出的审计功能。设置为0表示关闭用户登录、退出的审计功能。不推荐设置除0和7之外的值。 数据库启动、停止、恢复和切换审计 参数：audit_database_process 默认值为1，表示开启数据库启动、停止、恢复和切换的审计功能。 用户锁定和解锁审计 参数：audit_user_locked 默认值为1，表示开启审计用户锁定和解锁功能。 用户访问越权审计 参数：audit_user_violation 默认值为0，表示关闭用户越权操作审计功能。 授权和回收权限审计 参数：audit_grant_revoke 默认值为1，表示开启审计用户权限授予和回收功能。 对用户操作进行全量审计 参数：full_audit_users 默认值为空字符串，表示采用默认配置，未配置全量审计用户。 不需要审计的客户端名称及IP地址 参数：no_audit_client 默认值为空字符串，表示采用默认配置，未将客户端及IP加入审计黑名单。 数据库对象的CREATE，ALTER，DROP操作审计 参数：audit_system_object 默认值为67121159，表示只对DATABASE、SCHEMA、USER、DATA SOURCE、NODE GROUP这五类数据库对象的CREATE、ALTER、DROP操作进行审计。 具体表的INSERT、UPDATE和DELETE操作审计 参数：audit_dml_state 默认值为0，表示关闭具体表的DML操作（SELECT除外）审计功能。 SELECT操作审计 参数：audit_dml_state_select 默认值为0，表示关闭SELECT操作审计功能。 COPY审计 参数：audit_copy_exec 默认值为1，表示打开copy操作审计功能。 执行存储过程和自定义函数的审计 参数：audit_function_exec 默认值为0，表示不记录执行存储过程和自定义函数的审计日志。 执行白名单内的系统函数审计 参数：audit_system_function_exec 默认值为0，表示不记录执行系统函数的审计日志。 SET审计 参数：audit_set_parameter 默认值为0，表示不记录set操作审计日志 事务ID记录 参数：audit_xid_info 默认值为0，表示关闭审计日志记录事务ID功能。 安全相关参数及说明请参见表2。 表2 安全相关参数及说明 参数名 说明 ssl 指定是否启用SSL连接。 require_ssl 指定服务器端是否强制要求SSL连接。 ssl_ciphers 指定SSL支持的加密算法列表。 ssl_cert_file 指定包含SSL服务器证书的文件的名称。 ssl_key_file 指定包含SSL私钥的文件名称。 ssl_ca_file 指定包含CA信息的文件的名称。 ssl_crl_file 指定包含CRL信息的文件的名称。 ssl_cert_notify_time SSL服务器证书到期前提醒的天数。 password_policy 指定是否进行密码复杂度检查。 password_reuse_time 指定是否对新密码进行可重用天数检查。 password_reuse_max 指定是否对新密码进行可重用次数检查。 password_lock_time 指定账户被锁定后自动解锁的时间。 failed_login_attempts 如果输入密码错误的次数达到此参数值时，当前账户被锁定。 password_encryption_type 指定采用何种加密方式对用户密码进行加密存储。 password_min_uppercase 密码中至少需要包含大写字母的个数。 password_min_lowercase 密码中至少需要包含小写字母的个数。 password_min_digital 密码中至少需要包含数字的个数。 password_min_special 密码中至少需要包含特殊字符的个数。 password_min_length 密码的最小长度。 说明： 在设置此参数时，请将其设置成不大于password_max_length，否则进行涉及密码的操作会一直出现密码长度错误的提示 password_max_length 密码的最大长度。 说明： 在设置此参数时，请将其设置成不小于password_min_length，否则进行涉及密码的操作会一直出现密码长度错误的提示。 password_effect_time 密码的有效期限。 password_notify_time 密码到期提醒的天数。 audit_enabled 控制审计进程的开启和关闭。 audit_directory 审计文件的存储目录。 audit_data_format 审计日志文件的格式，当前仅支持二进制格式（binary）。 audit_rotation_interval 指定创建一个新审计日志文件的时间间隔。当现在的时间减去上次创建一个审计日志的时间超过了此参数值时，服务器将生成一个新的审计日志文件。 audit_rotation_size 指定审计日志文件的最大容量。当审计日志消息的总量超过此参数值时，服务器将生成一个新的审计日志文件。 audit_resource_policy 控制审计日志的保存策略，以空间还是时间限制为优先策略，on表示以空间为优先策略。 audit_file_remain_time 表示需记录审计日志的最短时间要求，该参数在GUC参数audit_resource_policy为off时生效。 audit_space_limit 审计文件占用磁盘空间的最大值。 audit_file_remain_threshold 审计目录下审计文件的最大数量。 audit_login_logout 指定是否审计数据库用户的登录（包括登录成功和登录失败）、注销。 audit_database_process 指定是否审计数据库启动、停止、切换和恢复的操作。 audit_user_locked 指定是否审计数据库用户的锁定和解锁。 audit_user_violation 指定是否审计数据库用户的越权访问操作。 audit_grant_revoke 指定是否审计数据库用户权限授予和回收的操作。 full_audit_users 指定全量审计用户列表，对列表中的用户执行的所有可被审计的操作记录审计日志。 no_audit_client 指定不需要审计的客户端名称及IP地址列表。 audit_system_object 指定是否审计数据库对象的CREATE、DROP、ALTER操作。 audit_dml_state 指定是否审计具体表的INSERT、UPDATE、DELETE操作。 audit_dml_state_select 指定是否审计SELECT操作。 audit_copy_exec 指定是否审计COPY操作。 audit_function_exec 指定在执行存储过程、匿名块或自定义函数（不包括系统自带函数）时是否记录审计信息。 audit_system_function_exec 指定是否开启对执行白名单内的系统函数记录审计日志。 audit_set_parameter 指定是否审计SET操作。 enableSeparationOfDuty 指定是否开启三权分立。 session_timeout 建立连接会话后，如果超过此参数的设置时间，则会自动断开连接。 auth_iteration_count 认证加密信息生成过程中使用的迭代次数。

删除表中数据 在使用表的过程中，可能会需要删除已过期的数据，删除数据必须从表中整行的删除。 SQL不能直接访问独立的行，只能通过声明被删除行匹配的条件进行。如果表中有一个主键，用户可以指定准确的行。用户可以删除匹配条件的一组行或者一次删除表中的所有行。 使用DELETE命令删除行，如果删除表customer_t1中所有c_customer_sk为3869的记录： 1 gaussdb=# DELETE FROM customer_t1 WHERE c_customer_sk = 3869; 如果执行如下命令之一，会删除表中所有的行。 1 gaussdb=# DELETE FROM customer_t1; 12 或：gaussdb=# TRUNCATE TABLE customer_t1; 全表删除的场景下，建议使用truncate，不建议使用delete。 删除创建的表： 1 gaussdb=# DROP TABLE customer_t1; 父主题： 创建和管理表

背景信息 通过使用表空间，管理员可以控制一个数据库安装的磁盘布局。这样有以下优点： 如果初始化数据库所在的分区或者表空间已满，又不能逻辑上扩展更多空间，可以在不同的分区上创建和使用表空间，直到系统重新配置空间。 表空间允许管理员根据数据库对象的使用模式安排数据位置，从而提高性能。 一个频繁使用的索引可以放在性能稳定且运算速度较快的磁盘上，比如一种固态设备。 一个存储归档的数据，很少使用的或者对性能要求不高的表可以存储在一个运算速度较慢的磁盘上。 管理员通过表空间可以设置占用的磁盘空间。用以在和其他数据共用分区的时候，防止表空间占用相同分区上的其他空间。 表空间可以控制数据库数据占用的磁盘空间，当表空间所在磁盘的使用率达到90%时，数据库将被设置为只读模式，当磁盘使用率降到90%以下时，数据库将恢复到读写模式。 CM的磁盘自动检查功能默认是开启的，使用如下方式开启CM的磁盘自动检查功能： gs_guc set -Z cmserver -N all -I all -c " enable_transaction_read_only = on " 重启数据库使参数设置生效。 表空间对应于一个文件系统目录，采用如下命令创建一个对应/pg_location/mount1/path1的表空间，并指定最大可使用空间为500GB。 12 --创建表空间。gaussdb=# CREATE TABLESPACE ds_location1 LOCATION '/pg_location/mount1/path1' MAXSIZE '500G'; 通过MAXSIZE进行表空间配额管理对并发插入性能可能会有30%左右的影响，MAXSIZE指定每个DN的配额大小，每个DN实际的表空间容量和配额误差在500MB以内。请根据实际的情况确认是否需要设置表空间的最大值。 GaussDB自带了两个表空间：pg_default和pg_global。 默认表空间pg_default：用来存储非共享系统表、用户表、用户表index、临时表、临时表index、内部临时表的默认表空间。对应存储目录为实例数据目录下的base目录。 共享表空间pg_global：用来存放共享系统表的表空间。对应存储目录为实例数据目录下的global目录。

操作步骤 创建表空间 执行如下命令创建用户jack。 1 gaussdb=# CREATE USER jack IDENTIFIED BY 'xxxxxxxxx'; 当结果显示为如下信息，则表示创建成功。 1 CREATE ROLE 执行如下命令创建表空间。 1 gaussdb=# CREATE TABLESPACE fastspace RELATIVE LOCATION 'my_tablespace/tablespace1'; 当结果显示为如下信息，则表示创建成功。 1 CREATE TABLESPACE 其中“fastspace”为新创建的表空间，“CN和DN数据目录/pg_location/my_tablespace/tablespace1”是用户拥有读写权限的空目录。 数据库系统管理员执行如下命令将“fastspace”表空间的访问权限赋予数据用户jack。 1 gaussdb=# GRANT CREATE ON TABLESPACE fastspace TO jack; 当结果显示为如下信息，则表示赋予成功。 1 GRANT

查看数据 使用系统表pg_tables查询数据库所有表的信息。 1 gaussdb=# SELECT * FROM pg_tables; 使用gsql的\d+命令查询表的属性。 1 gaussdb=# \d+ customer_t1; 执行如下命令查询表customer_t1的数据量。 1 gaussdb=# SELECT count(*) FROM customer_t1; 执行如下命令查询表customer_t1的所有数据。 1 gaussdb=# SELECT * FROM customer_t1; 执行如下命令只查询字段c_customer_sk的数据。 1 gaussdb=# SELECT c_customer_sk FROM customer_t1; 执行如下命令过滤字段c_customer_sk的重复数据。 1 gaussdb=# SELECT DISTINCT( c_customer_sk ) FROM customer_t1; 执行如下命令查询字段c_customer_sk为3869的所有数据。 1 gaussdb=# SELECT * FROM customer_t1 WHERE c_customer_sk = 3869; 执行如下命令按照字段c_customer_sk进行排序。 1 gaussdb=# SELECT * FROM customer_t1 ORDER BY c_customer_sk; 父主题： 创建和管理表

更新表中数据 修改已经存储在数据库中数据的行为叫做更新。用户可以更新单独一行，所有行或者指定的部分行。还可以独立更新每个字段，而其他字段则不受影响。 使用UPDATE命令更新现有行，需要提供以下三种信息： 表的名称和要更新的字段名 字段的新值 要更新哪些行 SQL通常不会为数据行提供唯一标识，因此无法直接声明需要更新哪一行。但是可以通过声明一个被更新的行必须满足的条件。只有在表里存在主键的时候，才可以通过主键指定一个独立的行。 建立表和插入数据的步骤请参考创建表和向表中插入数据。 需要将表customer_t1中c_customer_sk为9527的地域重新定义为9876： 1 gaussdb=# UPDATE customer_t1 SET c_customer_sk = 9876 WHERE c_customer_sk = 9527; 这里的表名称也可以使用模式名修饰，否则会从默认的模式路径找到这个表。SET后面紧跟字段和新的字段值。新的字段值不仅可以是常量，也可以是变量表达式。 比如，把所有c_customer_sk的值增加100： 1 gaussdb=# UPDATE customer_t1 SET c_customer_sk = c_customer_sk + 100; 在这里省略了WHERE子句，表示表中的所有行都要被更新。如果出现了WHERE子句，那么只有匹配其条件的行才会被更新。 在SET子句中的等号是一个赋值，而在WHERE子句中的等号是比较。WHERE条件不一定是相等测试，许多其他的操作符也可以使用。 用户可以在一个UPDATE命令中更新更多的字段，方法是在SET子句中列出更多赋值，比如： 1 gaussdb=# UPDATE customer_t1 SET c_customer_id = 'Admin', c_first_name = 'Local' WHERE c_customer_sk = 4421; 批量更新或删除数据后，会在数据文件中产生大量的删除标记，查询过程中标记删除的数据也是需要扫描的。故多次批量更新/删除后，标记删除的数据量过大会严重影响查询的性能。建议在批量更新/删除业务会反复执行的场景下，定期执行VACUUM FULL以保持查询性能。 父主题： 创建和管理表

创建表 执行如下命令创建表。 123456789 gaussdb=# CREATE TABLE customer_t1( c_customer_sk integer, c_customer_id char(5), c_first_name char(6), c_last_name char(8))with (orientation = column,compression=middle)distribute by hash (c_last_name); 当结果显示为如下信息，则表示创建成功。 1 CREATE TABLE 其中c_customer_sk 、c_customer_id、c_first_name和c_last_name是表的字段名，integer、char(5)、char(6)和char(8)分别是这四个字段名称的类型。 默认情况下，新的数据库对象是创建在“$user”模式下的，例如刚刚新建的表。关于模式的更多信息请参考创建和管理schema。 除了创建的表以外，数据库还包含很多系统表。这些系统表包含集群安装信息以及GaussDB上运行的各种查询和进程的信息。可以通过查询系统表来收集有关数据库的信息。请参见查看系统表。 GaussDB支持行列混合存储，为各种复杂场景下的交互分析提供极致查询性能，关于存储模型的选择，请参考规划存储模型。

行存表 默认创建表的类型。数据按行进行存储，即一行数据是连续存储。适用于对数据需要经常更新的场景。 123456789 gaussdb=# CREATE TABLE customer_t1( state_ID CHAR(2), state_NAME VARCHAR2(40), area_ID NUMBER);--删除表gaussdb=# DROP TABLE customer_t1;

列存表 数据按列进行存储，即一列所有数据是连续存储的。单列查询IO小，比行存表占用更少的存储空间。适合数据批量插入、更新较少和以查询为主统计分析类的场景。列存表不适合点查询。 1 2 3 4 5 6 7 8 910 gaussdb=# CREATE TABLE customer_t2( state_ID CHAR(2), state_NAME VARCHAR2(40), area_ID NUMBER)WITH (ORIENTATION = COLUMN);--删除表gaussdb=# DROP TABLE customer_t2;

注意事项 如果数据库的编码为SQL_ASCII（可以通过“show server_encoding”命令查看当前数据库存储编码），则在创建数据库对象时，如果对象名中含有多字节字符（例如中文），超过数据库对象名长度限制（63字节）的时候，数据库会将最后一个字节（而不是字符）截断，可能造成出现半个字符的情况。 针对这种情况，请遵循以下条件： 保证数据对象的名称不超过限定长度。 使用例如utf-8编码集做为数据库的默认存储编码集（server_encoding）。 不要使用多字节字符做为对象名。 因为误操作导致在多字节字符的中间截断，从而导致无法删除数据库对象，如果出现这种现象，请使用截断前的数据库对象名进行删除操作，或将该对象从各个数据库节点的相应系统表中依次删掉。

背景信息 初始时，GaussDB包含两个模板数据库template0、template1，以及一个默认的用户数据库postgres。 CREATE DATABASE实际上通过拷贝模板数据库来创建新数据库。只支持拷贝template0。请避免使用客户端或其他手段连接及操作两个模板数据库。 模板数据库中没有用户表，可通过系统表PG_DATABASE查看模板数据库属性。 模板template0不允许用户连接；模板template1只允许数据库初始用户和系统管理员连接，普通用户无法连接。 数据库系统中会有多个数据库，但是同一时刻客户端程序只能连接一个数据库。当前，不支持在不同的数据库之间进行相互查询（跨库查询或跨库事务）。 当一个数据库集群中存在多个数据库时，可以通过客户端工具的-d参数指定目标数据库进行登录，也可以在客户端程序登录数据库以后通过\c命令进行数据库切换。

创建数据库用户 默认只有集群安装时创建的管理员用户可以访问初始数据库，您还可以创建其他数据库用户账号。 1 gaussdb=# CREATE USER joe WITH PASSWORD "xxxxxxxxx"; 当结果显示为如下信息，则表示创建成功。 1 CREATE ROLE 如上创建了一个用户名为joe，密码为xxxxxxxxxx的用户。如下命令为设置joe用户为系统管理员。 gaussdb=# GRANT ALL PRIVILEGES TO joe; 使用GRANT命令进行相关权限设置，具体操作请参考GRANT。 关于数据库用户的更多信息请参考用户及权限。 父主题： 操作数据库

创建、修改和删除Schema 要创建Schema，请使用CREATE SCHEMA。默认初始用户和系统管理员可以创建Schema，其他用户需要具备数据库的CREATE权限才可以在该数据库中创建Schema，赋权方式请参考GRANT中将数据库的访问权限赋予指定的用户或角色中的语法。 要更改Schema名称或者所有者，请使用ALTER SCHEMA。Schema所有者可以更改Schema。 要删除Schema及其对象，请使用DROP SCHEMA。Schema所有者可以删除Schema。 要在Schema内创建表，请以schema_name.table_name格式创建表。不指定schema_name时，对象默认创建到搜索路径中的第一个Schema内。 要查看Schema所有者，请对系统表PG_NAMESPACE和PG_USER执行如下关联查询。语句中的schema_name请替换为实际要查找的Schema名称。 1 gaussdb=# SELECT s.nspname,u.usename AS nspowner FROM pg_namespace s, pg_user u WHERE nspname='schema_name' AND s.nspowner = u.usesysid; 要查看所有Schema的列表，请查询PG_NAMESPACE系统表。 1 gaussdb=# SELECT * FROM pg_namespace; 要查看属于某Schema下的表列表，请查询系统视图PG_TABLES。例如，以下查询会返回Schema PG_CATALOG中的表列表。 1 gaussdb=# SELECT distinct(tablename),schemaname from pg_tables where schemaname = 'pg_catalog';

搜索路径 搜索路径定义在GUC参数search_path中，参数取值形式为采用逗号分隔的Schema名称列表。如果创建对象时未指定目标Schema，则该对象将会被添加到搜索路径中列出的第一个Schema中。当不同Schema中存在同名的对象时，查询对象未指定Schema的情况下，将从搜索路径中包含该对象的第一个Schema中返回对象。 要查看当前搜索路径，请使用SHOW。 12345 gaussdb=# SHOW SEARCH_PATH; search_path---------------- "$user",public(1 row) search_path参数的默认值为："$user"，public。$user表示与当前会话用户名同名的Schema名，如果这样的模式不存在，$user将被忽略。所以默认情况下，用户连接数据库后，如果数据库下存在同名Schema，则对象会添加到同名Schema下，否则对象被添加到Public Schema下。 要更改当前会话的默认Schema，请使用SET命令。 执行如下命令将搜索路径设置为myschema、public，首先搜索myschema。 12 gaussdb=# SET SEARCH_PATH TO myschema, public;SET

登录数据库 连接数据库的客户端工具包括DAS、gsql。 通过华为云数据管理服务（Data Admin Service，简称DAS）这款可视化的专业数据库管理工具，可获得执行SQL、高级数据库管理、智能化运维等功能，做到易用、安全、智能的管理数据库。GaussDB默认开通DAS连接权限。推荐使用DAS连接实例。连接GaussDB的具体操作请参考《DAS用户指南》。 gsql是GaussDB自带的客户端工具。使用gsql连接数据库，可以交互式地输入、编辑、执行SQL语句。具体连接方式请参考实例连接方式介绍。 分布式场景下：客户端工具通过连接CN访问数据库。因此连接前，需获取CN所在服务器的IP地址及CN的端口号信息。客户端工具可以通过连接任何一个CN访问数据库。正常业务使用禁止直接连接DN访问数据库。 主备版场景下：客户端工具通过连接主DN访问数据库。因此连接前，需获取主DN所在服务器的IP地址及端口号信息。正常业务使用禁止直接连接其他DN访问数据库。 父主题： 连接数据库

创建、修改和删除角色 非三权分立时，只有系统管理员和具有CREATEROLE属性的用户才能创建、修改或删除角色。三权分立下，只有初始用户和具有CREATEROLE属性的用户才能创建、修改或删除角色。 要创建角色，请使用CREATE ROLE。 要在现有角色中添加或删除用户，请使用ALTER ROLE。 要删除角色，请使用DROP ROLE。DROP ROLE只会删除角色，并不会删除角色中的成员用户账户。

内置角色 GaussDB提供了一组默认角色，以gs_role_开头命名。它们提供对特定的、通常需要高权限的操作的访问，可以将这些角色GRANT给数据库内的其他用户或角色，让这些用户能够使用特定的功能。在授予这些角色时应当非常小心，以确保它们被用在需要的地方。表1描述了内置角色允许的权限范围： 表1 内置角色权限描述 角色 权限描述 gs_role_copy_files 具有执行copy … to/from filename 的权限，但需要先打开GUC参数enable_copy_server_files。 gs_role_signal_backend 具有调用函数pg_cancel_backend、pg_terminate_backend和pg_terminate_session来取消或终止其他会话的权限，但不能操作属于初始用户和PERSISTENCE用户的会话。 gs_role_tablespace 具有创建表空间（tablespace）的权限。 gs_role_replication 具有调用逻辑复制相关函数的权限，例如kill_snapshot、pg_create_logical_replication_slot、pg_create_physical_replication_slot、pg_drop_replication_slot、pg_replication_slot_advance、pg_create_physical_replication_slot_extern、pg_logical_slot_get_changes、pg_logical_slot_peek_changes、pg_logical_slot_get_binary_changes、pg_logical_slot_peek_binary_changes。 gs_role_account_lock 具有加解锁用户的权限，但不能加解锁初始用户和PERSISTENCE用户。 gs_role_pldebugger 具有执行dbe_pldebugger下调试函数的权限。 gs_role_directory_create 具有执行创建directory对象的权限，但需要先打开GUC参数enable_access_server_directory。 gs_role_directory_drop 具有执行删除directory对象的权限，但需要先打开GUC参数enable_access_server_directory。 关于内置角色的管理有如下约束： 以gs_role_开头的角色名作为数据库的内置角色保留名，禁止新建以“gs_role_”开头的用户/角色/模式，也禁止将已有的用户/角色/模式重命名为以“gs_role_”开头； 禁止对内置角色的ALTER和DROP操作； 内置角色默认没有LOGIN权限，不设预置密码； gsql元命令\du和\dg不显示内置角色的相关信息，但若显示指定了pattern为特定内置角色则会显示。 三权分立关闭时，初始用户、具有SYSADMIN权限的用户和具有内置角色ADMIN OPTION权限的用户有权对内置角色执行GRANT/REVOKE管理。三权分立打开时，初始用户和具有内置角色ADMIN OPTION权限的用户有权对内置角色执行GRANT/REVOKE管理。例如： 12 GRANT gs_role_signal_backend TO user1;REVOKE gs_role_signal_backend FROM user1;

用户权限设置 给用户直接授予某对象的权限，请使用GRANT。 将Schema中的表或者视图对象授权给其他用户或角色时，需要将表或视图所属Schema的USAGE权限同时授予该用户或角色。否则用户或角色将只能看到这些对象的名称，并不能实际进行对象访问。 例如，下面示例将Schema tpcds的权限赋给用户joe后，将表tpcds.web_returns的select权限赋给用户joe。 12 gaussdb=# GRANT USAGE ON SCHEMA tpcds TO joe;gaussdb=# GRANT SELECT ON TABLE tpcds.web_returns to joe; 给用户指定角色，使用户继承角色所拥有的对象权限。 创建角色。 新建一个角色lily，同时给角色指定系统权限CREATEDB： 1 gaussdb=# CREATE ROLE lily WITH CREATEDB PASSWORD "xxxxxxxxxxx"; 给角色赋予对象权限，请使用GRANT。 例如，将模式tpcds的权限赋给角色lily后，将表tpcds.web_returns的select权限赋给角色lily。 12 gaussdb=# GRANT USAGE ON SCHEMA tpcds TO lily;gaussdb=# GRANT SELECT ON TABLE tpcds.web_returns to lily; 将角色的权限赋予用户。 1 gaussdb=# GRANT lily to joe; 当将角色的权限赋予用户时，角色的属性并不会传递到用户。 回收用户权限，请使用REVOKE。 父主题： 用户及权限

永久用户 GaussDB提供永久用户方案：创建具有PERSISTENCE属性的永久用户，具有PERSISTENCE属性的用户能够使用service_reserved_connections通道连接数据库。 1 gaussdb=# CREATE USER user_persistence WITH PERSISTENCE IDENTIFIED BY "xxxxxxxxxx"; 只允许初始用户创建、修改和删除具有PERSISTENCE属性的永久用户。

创建、修改和删除用户 要创建用户，请使用SQL语句CREATE USER。 例如：创建用户joe，并设置用户拥有CREATEDB属性。 12 gaussdb=# CREATE USER joe WITH CREATEDB PASSWORD "xxxxxxxxxxx";CREATE ROLE 要创建系统管理员，请使用带有SYSADMIN选项的CREATE USER语句 。 要删除现有用户，请使用DROP USER。 要更改用户账户（例如，重命名用户或更改密码），请使用ALTER USER。 要查看用户列表，请查询视图PG_USER： 1 gaussdb=# SELECT * FROM pg_user; 要查看用户属性，请查询系统表PG_AUTHID： 1 gaussdb=# SELECT * FROM pg_authid;

私有用户 对于有多个业务部门，各部门间使用不同的数据库用户进行业务操作，同时有一个同级的数据库维护部门使用数据库管理员进行维护操作的场景下，业务部门可能希望在未经授权的情况下，管理员用户只能对各部门的数据进行控制操作（DROP、ALTER、TRUNCATE），但是不能进行访问操作（INSERT、DELETE、UPDATE、SELECT、COPY）。即针对管理员用户，表对象的控制权和访问权要能够分离，提高普通用户数据安全性。 三权分立情况下，管理员对其他用户放在属于各自模式下的表无权限。但是，这种无权限包含了无控制权限，因此不能满足上面的诉求。为此，GaussDB提供了私有用户方案。即在非三权分立模式下，创建具有INDEPENDENT属性的私有用户。具备CREATEROLE权限或者是系统管理员权限的用户可以创建私有用户或者修改普通用户的属性为私有用户，普通用户也可以修改自己的属性为私有用户。 1 gaussdb=# CREATE USER user_independent WITH INDEPENDENT IDENTIFIED BY "xxxxxxxxxx"; 针对该用户的表对象，系统管理员在未经其授权前，只能进行控制操作（DROP、ALTER、TRUNCATE），无权进行INSERT、DELETE、SELECT、UPDATE、COPY、GRANT、REVOKE、ALTER OWNER操作。 PG_STATISTIC系统表和PG_STATISTIC_EXT系统表存储了统计对象的一些敏感信息，如高频值MCV。系统管理员仍然可以通过访问这两张系统表，得到私有用户所属表的统计信息里的这些信息。

三权分立 默认权限机制和管理员两节的描述基于的是集群创建之初的默认情况。从前面的介绍可以看出，默认情况下拥有SYSADMIN属性的系统管理员，具备系统最高权限。 在实际业务管理中，为了避免系统管理员拥有过度集中的权利带来高风险，可以设置三权分立，将系统管理员的用户管理和审计管理的权限分别分给安全管理员和审计管理员。 三权分立后，系统管理员将不再具有CREATEROLE属性（安全管理员）和AUDITADMIN属性（审计管理员）能力，即不再拥有创建角色和用户的权限，也不再拥有查看和维护数据库审计日志的权限。关于CREATEROLE属性和AUDITADMIN属性的更多信息请参考CREATE ROLE。 初始用户的权限不受三权分立设置影响。因此建议仅将此初始用户作为DBA管理用途，而非业务应用。 三权分立的设置办法为：将GUC参数enableSeparationOfDuty设置为on。 如需使用三权分立权限管理模型，应在数据库初始化阶段指定，不建议来回切换权限管理模型。需要注意的是，当需从非三权分立权限管理模型切换至三权分立权限管理模型时，应重新审视已有用户的权限集合。如用户具备系统管理员权限和审计管理员权限，则需要进行权限裁剪。 三权分立后，系统管理员对其他用户的非系统模式不再具有权限，因此在未被授予其他用户模式的权限前，也不能访问放在其他用户模式下的对象。三权分立前的权限详情及三权分立后的权限变化，请分别参见表1和表2。 表1 默认的用户权限 对象名称 初始用户（id为10） 系统管理员 安全管理员 审计管理员 普通用户 表空间 具有除私有用户表对象访问权限外，所有的权限。 对表空间有创建、修改、删除、访问、分配操作的权限。 不具有对表空间进行创建、修改、删除、分配的权限，访问需要被赋权。 模式 对除dbe_perf以外的所有模式有所有权限。 对自己的模式有所有的权限，对其他用户的非系统模式无权限。 自定义函数 对所有用户自定义函数有所有的权限。 对自己的函数有所有的权限，对其他用户的函数仅有调用权限。 自定义表或视图 对所有用户自定义表或视图有所有的权限。 对自己的表或视图有所有的权限，对其他用户的表或视图无权限。 表2 三权分立较非三权分立权限变化说明 对象名称 初始用户（id为10） 系统管理员 安全管理员 审计管理员 普通用户 表空间 无变化。 依然具有除私有用户表对象访问权限外，所有的权限。 无变化 无变化 模式 权限缩小。 对自己的模式有所有的权限，对其他用户的非系统模式无权限。 无变化 自定义函数 在未被授予其他用户的非系统模式的权限前，不能访问放在其他用户模式下的函数。 无变化 自定义表或视图 在未被授予其他用户的非系统模式的权限前，不能访问放在其他用户模式下的表或视图。 无变化 PG_STATISTIC系统表和PG_STATISTIC_EXT系统表存储了统计对象的一些敏感信息，如高频值MCV。进行三权分立后系统管理员仍可以通过访问这两张系统表，得到统计信息里的这些信息。 父主题： 用户及权限

安全策略管理员 安全策略管理员是指具有POLADMIN属性的账户，具有创建资源标签，脱敏策略和统一审计策略的权限。 要创建新的安全策略管理员，请以系统管理员用户身份连接数据库，并使用带POLADMIN选项的CREATE USER语句或 ALTER USER语句进行设置。 1 gaussdb=# CREATE USER poladmin WITH POLADMIN password "xxxxxxxxxxx"; 或者 1 gaussdb=# ALTER USER joe POLADMIN; ALTER USER时，要求用户已存在。

初始用户 集群安装过程中自动生成的账户称为初始用户。初始用户也是系统管理员、监控管理员、运维管理员和安全策略管理员，拥有系统的最高权限，能够执行所有的操作。如果安装时不设置初始用户名称则该账户与进行集群安装的操作系统用户同名。如果在安装集群时不设置初始用户的密码，安装完成后密码为空，在执行其他操作前需要通过gsql客户端设置初始用户的密码。如果初始用户密码为空，则除修改密码外无法执行其他SQL操作以及升级、扩容、节点替换等操作。 初始用户会绕过所有权限检查。建议仅将此初始用户作为DBA管理用途，而非业务应用。