华为云用户手册

自动锁定和解锁帐户 为了保证帐户安全，如果用户输入密码次数超过一定次数（failed_login_attempts），系统将自动锁定该帐户，默认值为10。次数设置越小越安全，但是在使用过程中会带来不便。 当帐户被锁定时间超过设定值（password_lock_time），则当前帐户自动解锁，默认值为1天。时间设置越长越安全，但是在使用过程中会带来不便。 参数password_lock_time的整数部分表示天数，小数部分可以换算成时、分、秒，如：password_lock_time=1.5，表示1天零12小时。 当failed_login_attempts设置为0时，表示不限制密码错误次数。当password_lock_time设置为0时，表示即使超过密码错误次数限制导致帐户锁定，也会在短时间内自动解锁。因此，只有两个配置参数都为正数时，才可以进行常规的密码失败检查、帐户锁定和解锁操作。 这两个参数的默认值都符合安全标准，用户可以根据需要重新设置参数，提高安全等级。建议用户使用默认值。 由于配置对外提供接口服务的CN数量不同，数据库在帐户锁定上提供两种模式供用户选择： 单CN模式：集群部署时配置一个CN对外提供接口服务。 多CN模式：集群部署时配置多个CN对外提供接口服务。 安全模式下单CN具备帐户锁定机制。高并发模式下提供多个CN，每个节点都具备帐户锁定机制，但各个节点的帐户锁定信息并不共享，每个节点帐户锁定是独立裁定的，在高并发的需求下，用户可以选择此模式，但要控制CN个数，以控制密码暴力破解风险。另外各节点的自动解锁时间依据的是各节点操作系统的时钟，用户集群部署时要确保各集群节点时间同步保持一致性，可以使用NTP来配置，否则会有各节点帐户解锁时间不一致的风险。

手动锁定和解锁帐户 若管理员发现某帐户被盗、非法访问等异常情况，可手动锁定该帐户。当管理员认为帐户恢复正常后，可手动解锁该帐户。 以手动锁定和解锁用户joe为例，用户的创建请参见用户，命令格式如下： 手动锁定 12 openGauss=# ALTER USER joe ACCOUNT LOCK;ALTER ROLE 手动解锁 12 openGauss=# ALTER USER joe ACCOUNT UNLOCK;ALTER ROLE

私有用户 对于有多个业务部门，各部门间使用不同的数据库用户进行业务操作，同时有一个同级的数据库维护部门使用数据库管理员进行维护操作的场景下，业务部门可能希望在未经授权的情况下，管理员用户只能对各部门的数据进行控制操作（DROP、ALTER、TRUNCATE），但是不能进行访问操作（INSERT、DELETE、UPDATE、SELECT、COPY）。即针对管理员用户，表对象的控制权和访问权要能够分离，提高普通用户数据安全性。 三权分立情况下，管理员对其他用户放在属于各自模式下的表无权限。但是，这种无权限包含了无控制权限，因此不能满足上面的诉求。为此， GaussDB 提供了私有用户方案。即在非三权分立模式下，创建具有INDEPENDENT属性的私有用户。具备CREATEROLE权限或者是系统管理员权限的用户可以创建私有用户或者修改普通用户的属性为私有用户，普通用户也可以修改自己的属性为私有用户。 1 openGauss=# CREATE USER user_independent WITH INDEPENDENT IDENTIFIED BY "1234@abc"; 针对该用户的表对象，系统管理员在未经其授权前，只能进行控制操作（DROP、ALTER、TRUNCATE），无权进行INSERT、DELETE、SELECT、UPDATE、COPY、GRANT、REVOKE、ALTER OWNER操作。 PG_STATISTIC系统表和PG_STATISTIC_EXT系统表存储了统计对象的一些敏感信息，如高频值MCV。系统管理员仍然可以通过访问这两张系统表，得到私有用户所属表的统计信息里的这些信息。

创建、修改和删除用户 要创建用户，请使用SQL语句CREATE USER。 例如：创建用户joe，并设置用户拥有CREATEDB属性。 12 openGauss=# CREATE USER joe WITH CREATEDB PASSWORD "xxxxxxxxxxx";CREATE ROLE 要创建系统管理员，请使用带有SYSADMIN选项的CREATE USER语句 。 要删除现有用户，请使用DROP USER。 要更改用户帐户（例如，重命名用户或更改密码），请使用ALTER USER。 要查看用户列表，请查询视图PG_USER： 1 openGauss=# SELECT * FROM pg_user; 要查看用户属性，请查询系统表PG_AUTHID： 1 openGauss=# SELECT * FROM pg_authid;

操作步骤 参考连接数据库，连接数据库。 创建用户并制定用户的有效开始时间和有效结束时间。 1 openGauss=# CREATE USER joe WITH PASSWORD 'xxxxxxxxxxx' VALID BEGIN '2015-10-10 08:00:00' VALID UNTIL '2016-10-10 08:00:00'; 显示如下信息表示创建用户成功。 CREATE ROLE 用户已不在有效使用期内，需要重新设定帐号的有效期，这包括有效开始时间和有效结束时间。 1 openGauss=# ALTER USER joe WITH VALID BEGIN '2016-11-10 08:00:00' VALID UNTIL '2017-11-10 08:00:00'; 显示如下信息表示重新设定成功。 ALTER ROLE 若在“CREATE ROLE”或“ALTER ROLE”语法中不指定“VALID BEGIN”，表示不对用户的开始操作时间做限定；若不指定“VALID UNTIL”，表示不对用户的结束操作时间做限定；若两者均不指定，表示该用户一直有效。

创建、修改和删除Schema 要创建Schema，请使用CREATE SCHEMA。默认初始用户和系统管理员可以创建Schema，其他用户需要具备数据库的CREATE权限才可以在该数据库中创建Schema，赋权方式请参考GRANT中将数据库的访问权限赋予指定的用户或角色中的语法。 要更改Schema名称或者所有者，请使用ALTER SCHEMA。Schema所有者可以更改Schema。 要删除Schema及其对象，请使用DROP SCHEMA。Schema所有者可以删除Schema。 要在Schema内创建表，请以schema_name.table_name格式创建表。不指定schema_name时，对象默认创建到搜索路径中的第一个Schema内。 要查看Schema所有者，请对系统表PG_NAMESPACE和PG_USER执行如下关联查询。语句中的schema_name请替换为实际要查找的Schema名称。 1 openGauss=# SELECT s.nspname,u.usename AS nspowner FROM pg_namespace s, pg_user u WHERE nspname='schema_name' AND s.nspowner = u.usesysid; 要查看所有Schema的列表，请查询PG_NAMESPACE系统表。 1 openGauss=# SELECT * FROM pg_namespace; 要查看属于某Schema下的表列表，请查询系统视图PG_TABLES。例如，以下查询会返回Schema PG_CATA LOG 中的表列表。 1 openGauss=# SELECT distinct(tablename),schemaname from pg_tables where schemaname = 'pg_catalog';

搜索路径 搜索路径定义在search_path参数中，参数取值形式为采用逗号分隔的Schema名称列表。如果创建对象时未指定目标Schema，则将该对象会被添加到搜索路径中列出的第一个Schema中。当不同Schema中存在同名的对象时，查询对象未指定Schema的情况下，将从搜索路径中包含该对象的第一个Schema中返回对象。 要查看当前搜索路径，请使用SHOW。 12345 openGauss=# SHOW SEARCH_PATH; search_path---------------- "$user",public(1 row) search_path参数的默认值为："$user"，public。$user表示与当前会话用户名同名的Schema名，如果这样的模式不存在，$user将被忽略。所以默认情况下，用户连接数据库后，如果数据库下存在同名Schema，则对象会添加到同名Schema下，否则对象被添加到Public Schema下。 要更改当前会话的默认Schema，请使用SET命令。 执行如下命令将搜索路径设置为myschema、public，首先搜索myschema。 12 openGauss=# SET SEARCH_PATH TO myschema, public;SET

用户权限设置 给用户直接授予某对象的权限，请使用GRANT。 将Schema中的表或者视图对象授权给其他用户或角色时，需要将表或视图所属Schema的USAGE权限同时授予该用户或角色。否则用户或角色将只能看到这些对象的名称，并不能实际进行对象访问。 例如，下面示例将Schema tpcds的权限赋给用户joe后，将表tpcds.web_returns的select权限赋给用户joe。 12 openGauss=# GRANT USAGE ON SCHEMA tpcds TO joe;openGauss=# GRANT SELECT ON TABLE tpcds.web_returns to joe; 给用户指定角色，使用户继承角色所拥有的对象权限。 创建角色。 新建一个角色lily，同时给角色指定系统权限CREATEDB： 1 openGauss=# CREATE ROLE lily WITH CREATEDB PASSWORD "xxxxxxxxxxx"; 给角色赋予对象权限，请使用GRANT。 例如，将模式tpcds的权限赋给角色lily后，将表tpcds.web_returns的select权限赋给角色lily。 12 openGauss=# GRANT USAGE ON SCHEMA tpcds TO lily;openGauss=# GRANT SELECT ON TABLE tpcds.web_returns to lily; 将角色的权限赋予用户。 1 openGauss=# GRANT lily to joe; 当将角色的权限赋予用户时，角色的属性并不会传递到用户。 回收用户权限，请使用REVOKE。 父主题： 管理用户及权限

内置角色 GaussDB提供了一组默认角色，以gs_role_开头命名。它们提供对特定的、通常需要高权限的操作的访问，可以将这些角色GRANT给数据库内的其他用户或角色，让这些用户能够使用特定的功能。在授予这些角色时应当非常小心，以确保它们被用在需要的地方。表1描述了内置角色允许的权限范围： 表1 内置角色权限描述 角色 权限描述 gs_role_copy_files 具有执行copy … to/from filename 的权限，但需要先打开GUC参数enable_copy_server_files。 gs_role_signal_backend 具有调用函数pg_cancel_backend、pg_terminate_backend和pg_terminate_session来取消或终止其他会话的权限，但不能操作属于初始用户和PERSISTENCE用户的会话。 gs_role_tablespace 具有创建表空间（tablespace）的权限。 gs_role_replication 具有调用逻辑复制相关函数的权限，例如kill_snapshot、pg_create_logical_replication_slot、pg_create_physical_replication_slot、pg_drop_replication_slot、pg_replication_slot_advance、pg_create_physical_replication_slot_extern、pg_logical_slot_get_changes、pg_logical_slot_peek_changes、pg_logical_slot_get_binary_changes、pg_logical_slot_peek_binary_changes。 gs_role_account_lock 具有加解锁用户的权限，但不能加解锁初始用户和PERSISTENCE用户。 gs_role_pldebugger 具有执行dbe_pldebugger下调试函数的权限。 gs_role_directory_create 具有执行创建directory对象的权限，但需要先打开GUC参数enable_access_server_directory。 gs_role_directory_drop 具有执行删除directory对象的权限，但需要先打开GUC参数enable_access_server_directory。 关于内置角色的管理有如下约束： 以gs_role_开头的角色名作为数据库的内置角色保留名，禁止新建以“gs_role_”开头的用户/角色，也禁止将已有的用户/角色重命名为以“gs_role_”开头； 禁止对内置角色的ALTER和DROP操作； 内置角色默认没有LOGIN权限，不设预置密码； gsql元命令\du和\dg不显示内置角色的相关信息，但若显示指定了pattern为特定内置角色则会显示。 三权分立关闭时，初始用户、具有SYSADMIN权限的用户和具有内置角色ADMIN OPTION权限的用户有权对内置角色执行GRANT/REVOKE管理。三权分立打开时，初始用户和具有内置角色ADMIN OPTION权限的用户有权对内置角色执行GRANT/REVOKE管理。例如： 12 GRANT gs_role_signal_backend TO user1;REVOKE gs_role_signal_backend FROM user1;

创建、修改和删除角色 非三权分立时，只有系统管理员和具有CREATEROLE属性的用户才能创建、修改或删除角色。三权分立下，只有初始用户和具有CREATEROLE属性的用户才能创建、修改或删除角色。 要创建角色，请使用CREATE ROLE。 要在现有角色中添加或删除用户，请使用ALTER ROLE。 要删除角色，请使用DROP ROLE。DROP ROLE只会删除角色，并不会删除角色中的成员用户帐户。

三权分立 默认权限机制和管理员两节的描述基于的是集群创建之初的默认情况。从前面的介绍可以看出，默认情况下拥有SYSADMIN属性的系统管理员，具备系统最高权限。 在实际业务管理中，为了避免系统管理员拥有过度集中的权利带来高风险，可以设置三权分立，将系统管理员的用户管理和审计管理的权限分别分给安全管理员和审计管理员。 三权分立后，系统管理员将不再具有CREATEROLE属性（安全管理员）和AUDITADMIN属性（审计管理员）能力，即不再拥有创建角色和用户的权限，也不再拥有查看和维护数据库审计日志的权限。关于CREATEROLE属性和AUDITADMIN属性的更多信息请参考CREATE ROLE。 初始用户的权限不受三权分立设置影响。因此建议仅将此初始用户作为DBA管理用途，而非业务应用。 三权分立的设置办法为：将参数enableSeparationOfDuty设置为on。 如需使用三权分立权限管理模型，应在数据库初始化阶段指定，不建议来回切换权限管理模型。特别的，如需从非三权分立权限管理模型切换至三权分立权限管理模型，应重新审视已有用户的权限集合。如用户具备系统管理员权限和审计管理员权限，则需要进行权限裁剪。 三权分立后，系统管理员对其他用户的非系统模式不再具有权限，因此在未被授予其他用户模式的权限前，也不能访问放在其他用户模式下的对象。三权分立前的权限详情及三权分立后的权限变化，请分别参见表1和表2。 表1 默认的用户权限 对象名称 初始用户（id为10） 系统管理员 安全管理员 审计管理员 普通用户 表空间 具有除私有用户表对象访问权限外，所有的权限。 对表空间有创建、修改、删除、访问、分配操作的权限。 不具有对表空间进行创建、修改、删除、分配的权限，访问需要被赋权。 模式 对除dbe_perf以外的所有模式有所有的权限。 对自己的模式有所有的权限，对其他用户的非系统模式无权限。 自定义函数 对所有用户自定义函数有所有的权限。 对自己的函数有所有的权限，对其他用户的函数仅有调用权限。 自定义表或视图 对所有用户自定义表或视图有所有的权限。 对自己的表或视图有所有的权限，对其他用户的表或视图无权限。 表2 三权分立较非三权分立权限变化说明 对象名称 初始用户（id为10） 系统管理员 安全管理员 审计管理员 普通用户 表空间 无变化。 依然具有除私有用户表对象访问权限外，所有的权限。 无变化 无变化 模式 权限缩小。 对自己的模式有所有的权限，对其他用户的非系统模式无权限。 无变化 自定义函数 在未被授予其他用户的非系统模式的权限前，不能访问放在其他用户模式下的函数。 无变化 自定义表或视图 在未被授予其他用户的非系统模式的权限前，不能访问放在其他用户模式下的表或视图。 无变化 PG_STATISTIC系统表和PG_STATISTIC_EXT系统表存储了统计对象的一些敏感信息，如高频值MCV。进行三权分立后系统管理员仍可以通过访问这两张系统表，得到统计信息里的这些信息。 父主题： 管理用户及权限

监控管理员 监控管理员是指具有MONADMIN属性的帐户，具有查看dbe_perf模式下视图和函数的权限，亦可以对dbe_perf模式的对象权限进行授予或收回。 要创建新的监控管理员，请以系统管理员身份连接数据库，并使用带MONADMIN选项的CREATE USER语句或 ALTER USER语句进行设置。 1 openGauss=# CREATE USER monadmin WITH MONADMIN password "xxxxxxxxxxx"; 或者 1 openGauss=# ALTER USER joe MONADMIN; ALTER USER时，要求用户已存在。

运维管理员 运维管理员是指具有OPRADMIN属性的帐户，具有使用Roach工具执行备份恢复的权限。 要创建新的运维管理员，请以初始用户身份连接数据库，并使用带OPRADMIN选项的CREATE USER语句或 ALTER USER语句进行设置。 1 openGauss=# CREATE USER opradmin WITH OPRADMIN password "xxxxxxxxxxx"; 或者 1 openGauss=# ALTER USER joe OPRADMIN; ALTER USER时，要求用户已存在。

系统管理员 系统管理员是指具有SYSADMIN属性的帐户，默认安装情况下具有与对象所有者相同的权限，但不包括dbe_perf模式的对象权限和使用Roach工具执行备份恢复的权限。 要创建新的系统管理员，请以初始用户或者系统管理员用户身份连接数据库，并使用带SYSADMIN选项的CREATE USER语句或ALTER USER语句进行设置。 1 openGauss=# CREATE USER sysadmin WITH SYSADMIN password "xxxxxxxxxxx"; 或者 1 openGauss=# ALTER USER joe SYSADMIN; ALTER USER时，要求用户已存在。

初始用户 集群安装过程中自动生成的帐户称为初始用户。初始用户也是系统管理员、监控管理员、运维管理员和安全策略管理员，拥有系统的最高权限，能够执行所有的操作。如果安装时不设置初始用户名称则该帐户与进行集群安装的操作系统用户同名。如果在安装集群时不设置初始用户的密码，安装完成后密码为空，在执行其他操作前需要通过gsql客户端设置初始用户的密码。如果初始用户密码为空，则除修改密码外无法执行其他SQL操作以及升级、扩容、节点替换等操作。 初始用户会绕过所有权限检查。建议仅将此初始用户作为DBA管理用途，而非业务应用。

安全策略管理员 安全策略管理员是指具有POLADMIN属性的帐户，具有创建资源标签，脱敏策略和统一审计策略的权限。 要创建新的安全策略管理员，请以系统管理员用户身份连接数据库，并使用带POLADMIN选项的CREATE USER语句或 ALTER USER语句进行设置。 1 openGauss=# CREATE USER poladmin WITH POLADMIN password "xxxxxxxxxxx"; 或者 1 openGauss=# ALTER USER joe POLADMIN; ALTER USER时，要求用户已存在。

默认权限机制 数据库对象创建后，进行对象创建的用户就是该对象的所有者。集群安装后的默认情况下，未开启三权分立，数据库系统管理员具有与对象所有者相同的权限。也就是说对象创建后，默认只有对象所有者或者系统管理员可以查询、修改和销毁对象，以及通过GRANT将对象的权限授予其他用户。 为使其他用户能够使用对象，必须向用户或包含该用户的角色授予必要的权限。 GaussDB支持以下的权限：SELECT、INSERT、UPDATE、DELETE、TRUNCATE、REFEREN CES 、CREATE、CONNECT、EXECUTE、USAGE、ALTER、DROP、COMMENT、INDEX和VACUUM。不同的权限与不同的对象类型关联。有关各权限的详细信息，请参见GRANT。 要撤消已经授予的权限，可以使用REVOKE。对象所有者的权限（例如ALTER、DROP、COMMENT、INDEX、VACUUM、GRANT和REVOKE）是隐式拥有的，即只要拥有对象就可以执行对象所有者的这些隐式权限。对象所有者可以撤消自己的普通权限，例如，使表对自己以及其他人只读。 系统表和系统视图要么只对系统管理员可见，要么对所有用户可见。标识了需要系统管理员权限的系统表和视图只有系统管理员可以查询。有关信息，请参考Schema。 数据库提供对象隔离的特性，对象隔离特性开启时，用户只能查看有权限访问的对象(表、视图、字段、函数)，系统管理员不受影响。有关信息，请参考ALTER DATABASE。 不建议用户修改系统表和系统视图的权限。 父主题： 管理用户及权限

示例：常用操作 import psycopg2#创建连接对象conn=psycopg2.connect(database="postgres",user="user",password="password",host="localhost",port=port)cur=conn.cursor() #创建指针对象#创建连接对象（SSl连接）conn = psycopg2.connect(dbname="postgres", user="user", password="password", host="localhost", port=port, sslmode="verify-ca", sslcert="client.crt",sslkey="client.key",sslrootcert="cacert.pem")注意： 如果sslcert, sslkey,sslrootcert没有填写，默认取当前用户.postgresql目录下对应的client.crt， client.key， root.crt# 创建表cur.execute("CREATE TABLE student(id integer,name varchar,sex varchar);")#插入数据cur.execute("INSERT INTO student(id,name,sex) VALUES(%s,%s,%s)",(1,'Aspirin','M'))cur.execute("INSERT INTO student(id,name,sex) VALUES(%s,%s,%s)",(2,'Taxol','F'))cur.execute("INSERT INTO student(id,name,sex) VALUES(%s,%s,%s)",(3,'Dixheral','M'))# 获取结果cur.execute('SELECT * FROM student')results=cur.fetchall()print (results)# 关闭连接conn.commit()cur.close()conn.close()psycopg2常用链接方式1. conn = psycopg2.connect(dbname="postgres", user="user", password="password", host="localhost", port=port)2. conn = psycopg2.connect("dbname=postgres user=user password=password host=localhost port=port")3. 使用日志import loggingimport psycopg2from psycopg2.extras import LoggingConnectionlogging.basicConfig(level=logging.DEBUG) # 日志级别logger = logging.getLogger(__name__)db_settings = { "user": "user", "password": "password", "host": "localhost", "database": "postgres", "port": port}conn = psycopg2.connect(connection_factory=LoggingConnection, **db_settings)conn.initialize(logger) 父主题： 基于Psycopg开发

操作步骤 参考连接数据库，连接数据库。 查看全局会话连接数限制。 12345 openGauss=# SHOW max_connections; max_connections----------------- 800(1 row) 其中800是最大会话连接数。 查看已使用的会话连接数。 具体命令请参见表1。 除了创建的时候用双引号引起的数据库和用户名称外，以下命令中用到的数据库名称和用户名称，其中包含的英文字母必须使用小写。 表1 查看会话连接数 描述 命令 查看指定用户的会话连接数上限。 执行如下命令查看连接到指定用户omm的会话连接数上限。其中-1表示没有对用户omm设置连接数的限制。 12345 openGauss=# SELECT ROLNAME,ROLCONNLIMIT FROM PG_ROLES WHERE ROLNAME='omm'; rolname | rolconnlimit----------+-------------- omm | -1(1 row) 查看指定用户已使用的会话连接数。 执行如下命令查看指定用户omm已使用的会话连接数。其中，1表示omm已使用的会话连接数。 123456 openGauss=# SELECT COUNT(*) FROM dv_sessions WHERE USERNAME='omm'; count------- 1(1 row) 查看指定数据库的会话连接数上限。 执行如下命令查看连接到指定数据库postgres的会话连接数上限。其中-1表示没有对数据库postgres设置连接数的限制。 123456 openGauss=# SELECT DATNAME,DATCONNLIMIT FROM PG_DATABASE WHERE DATNAME='postgres'; datname | datconnlimit----------+-------------- postgres | -1(1 row) 查看指定数据库已使用的会话连接数。 执行如下命令查看指定数据库postgres上已使用的会话连接数。其中，1表示数据库postgres上已使用的会话连接数。 12345 openGauss=# SELECT COUNT(*) FROM PG_STAT_ACTIVITY WHERE DATNAME='postgres'; count ------- 1(1 row) 查看所有用户已使用会话连接数。 执行如下命令查看所有用户已使用的会话连接数。 12345 openGauss=# SELECT COUNT(*) FROM dv_sessions; count------- 10(1 row)

背景信息 当用户连接数达到上限后，无法建立新的连接。因此，当数据库管理员发现某用户无法连接到数据库时，需要查看是否连接数达到了上限。控制数据库连接的主要以下几种选项。 全局的最大连接数：由运行参数max_connections指定。 某用户的连接数：在创建用户时由CREATE ROLE命令的CONNECTION LIMIT connlimit子句直接设定，也可以在设定以后用ALTER ROLE的CONNECTION LIMIT connlimit子句修改。 某数据库的连接数：在创建数据库时，由CREATE DATABASE的CONNECTION LIMIT connlimit参数指定。 预留连接供gs_clean使用：需要预留连接给gs_clean工具进行残留事务清理，以免由于残留事务长期阻塞系统正常运行，对于有n个CN的集群环境，那么需要至少预留n个连接给各个CN上的gs_clean进行残留事务清理。

链接参数 表1 链接参数 参数 描述 host 要链接的主机名。如果主机名以斜杠开头，则它声明使用Unix域套接字通讯而不是TCP/IP通讯；该值就是套接字文件所存储的目录。如果没有声明host，那么默认是与位于/tmp目录（或者安装GaussDB的时候声明的套接字目录）里面的Unix-域套接字链接。在没有Unix域套接字的机器上，默认与localhost链接。 hostaddr 与之链接的主机的IP地址，是标准的IPv4地址格式，比如，172.28.40.9。如果声明了一个非空的字符串，那么使用TCP/IP通讯机制。 使用hostaddr取代host可以让应用避免一次主机名查找，这一点对于那些有时间约束的应用来说可能是非常重要的。不过，GSSAPI或SSPI认证方法要求主机名（host）。因此，应用下面的规则： 如果声明了不带hostaddr的host那么就强制进行主机名查找。 如果声明中没有host，hostaddr的值给出服务器网络地址；如果认证方法要求主机名，那么链接尝试将失败。 如果同时声明了host和hostaddr，那么hostaddr的值作为服务器网络地址。host的值将被忽略，除非认证方法需要它，在这种情况下它将被用作主机名。 须知： 要注意如果host不是网络地址hostaddr处的服务器名，那么认证很有可能失败。 如果主机名（host）和主机地址都没有，那么libpq将使用一个本地的Unix域套接字进行链接；或者是在没有Unix域套接字的机器上，它将尝试与localhost链接。 port 主机服务器的端口号，或者在Unix域套接字链接时的套接字扩展文件名。 user 要链接的用户名，缺省是与运行该应用的用户操作系统名同名的用户。 dbname 数据库名，缺省和用户名相同。 password 如果服务器要求口令认证，所用的口令。 connect_timeout 链接的最大等待时间，以秒计（用十进制整数字符串书写），0或者不声明表示无穷。不建议把链接超时的值设置得小于2秒。 client_encoding 为这个链接设置client_encoding配置参数。除了对应的服务器选项接受的值，可以使用auto从客户端中的当前环境中确定正确的编码（Unix系统上是LC_CTYPE环境变量）。 tty 忽略（以前，该参数指定了发送服务器调试输出的位置）。 options 添加命令行选项以在运行时发送到服务器。 application_name 为application_name配置参数指定一个值，表明当前用户身份。 fallback_application_name 为application_name配置参数指定一个后补值。如果通过一个连接参数或PGAPPNAME环境变量没有为application_name给定一个值，将使用这个值。在希望设置一个默认应用名但不希望它被用户覆盖的一般工具程序中指定一个后补值很有用。 keepalives 控制客户端侧的TCP保持激活是否使用。缺省值是1，意思为打开，但是如果不想要保持激活，可以更改为0，意思为关闭。通过Unix域套接字做的链接忽略这个参数。 keepalives_idle 在TCP应该发送一个保持激活的信息给服务器之后，控制不活动的秒数。0值表示使用系统缺省。通过Unix域套接字做的链接或者如果禁用了保持激活则忽略这个参数。 keepalives_interval 在TCP保持激活信息没有被应该传播的服务器承认之后，控制秒数。0值表示使用系统缺省。通过Unix域套接字做的链接或者如果禁用了保持激活则忽略这个参数。 keepalives_count 控制TCP发送保持激活信息的次数。0值表示使用系统缺省。通过Unix域套接字做的链接或者如果禁用了保持激活则忽略这个参数。 tcp_user_timeout 在支持TCP_USER_TIMEOUT套接字选项的操作系统上，指定传输的数据在TCP连接被强制关闭之前可以保持未确认状态的最大时长。0值表示使用系统缺省。通过Unix域套接字做的链接忽略这个参数。 rw_timeout 设置客户端连接读写超时时间。 sslmode 启用SSL加密的方式： disable：不使用SSL安全连接。 allow：如果数据库服务器要求使用，则可以使用SSL安全加密连接，但不验证数据库服务器的真实性。 prefer：如果数据库支持，那么首选使用SSL安全加密连接，但不验证数据库服务器的真实性。 require：必须使用SSL安全连接，但是只做了 数据加密 ，而并不验证数据库服务器的真实性。 verify-ca：必须使用SSL安全连接，当前windows odbc不支持cert方式认证。 verify-full：必须使用SSL安全连接，当前windows odbc不支持cert方式认证。 sslcompression 如果设置为1（默认），SSL连接之上传送的数据将被压缩（这要求OpenSSL版本为0.9.8或更高）。如果设置为0，压缩将被禁用（这要求OpenSSL版本为1.0.0或更高）。如果建立的是一个没有SSL的连接，这个参数会被忽略。如果使用的OpenSSL版本不支持该参数，它也会被忽略。压缩会占用CPU时间，但是当瓶颈为网络时可以提高吞吐量。如果CPU性能是限制因素，禁用压缩能够改进响应时间和吞吐量。 sslcert 这个参数指定客户端SSL证书的文件名，它替换默认的~/.postgresql/postgresql.crt。如果没有建立SSL连接，这个参数会被忽略。 sslkey 这个参数指定用于客户端证书的密钥位置。它能指定一个会被用来替代默认的~/.postgresql/postgresql.key的文件名，或者它能够指定一个从外部“引擎”（引擎是OpenSSL的可载入模块）得到的密钥。一个外部引擎说明应该由一个冒号分隔的引擎名称以及一个引擎相关的关键标识符组成。如果没有建立SSL连接，这个参数会被忽略。 sslrootcert 这个参数指定一个包含SSL证书机构（CA）证书的文件名称。如果该文件存在，服务器的证书将被验证是由这些机构之一签发。默认值是~/.postgresql/root.crt。 sslcrl 这个参数指定SSL证书撤销列表（CRL）的文件名。列在这个文件中的证书如果存在，在尝试认证该服务器证书时会被拒绝。默认值是~/.postgresql/root.crl。 requirepeer 这个参数指定服务器的操作系统用户，例如requirepeer=postgres。当建立一个Unix域套接字连接时，如果设置了这个参数，客户端在连接开始时检查服务器进程是否运行在指定的用户名之下。如果发现不是，该连接会被一个错误中断。这个参数能被用来提供与TCP/IP连接上SSL证书相似的服务器认证（注意，如果Unix域套接字在/tmp或另一个公共可写的位置，任何用户能启动一个在那里侦听的服务器。使用这个参数来保证你连接的是一个由可信用户运行的服务器）。这个选项只在实现了peer认证方法的平台上受支持。 krbsrvname 当用GSSAPI认证时，要使用的Kerberos服务名。为了让Kerberos认证成功，这必须匹配在服务器配置中指定的服务名。 gsslib 用于GSSAPI认证的GSS库。只用在Windows上。设置为gssapi可强制libpq用GSSAPI库来代替默认的SSPI进行认证。 service 用于附加参数的服务名。它指定保持附加连接参数的pg_service.conf中的一个服务名。这允许应用只指定一个服务名，这样连接参数能被集中维护。 authtype 不再使用“authtype”，因此将其标记为“不显示”。我们将其保留在数组中，以免拒绝旧应用程序中的conninfo字符串，这些应用程序可能仍在尝试设置它。 remote_nodename 指定连接本地节点的远端节点名称。 localhost 指定在一个连接通道中的本地地址。 localport 指定在一个连接通道中的本地端口。 fencedUdfRPCMode 控制fenced UDF RPC协议是使用unix域套接字或特殊套接字文件名。缺省值是0，意思为关闭。使用unix domain socket模式，文件类型为“.s.PGSQL.%d”；但是要使用fenced udf ，文件类型为.s.fencedMaster_unixdomain，可以更改为1，意思为开启。 replication 这个选项决定是否该连接应该使用复制协议而不是普通协议。这是PostgreSQL的复制连接以及pg_basebackup之类的工具在内部使用的协议，但也可以被第三方应用使用。支持下列值，大小写无关： true、on、yes、1 连接进入到物理复制模式。 database 连接进入到逻辑复制模式，连接到dbname参数中指定的数据库。 false、off、no、0 该连接是一个常规连接，这是默认行为。 在物理或者逻辑复制模式中，仅能使用简单查询协议。 backend_version 传递到远端的后端版本号。 prototype 设置当前协议级别，默认：PROTO_TCP。 enable_ce 控制是否允许客户端连接全密态数据库。默认0，如果需要开启，则修改为1。 connection_info Connection_info是一个包含driver_name、driver_version、driver_path和os_user的json字符串。 如果不为NULL，使用connection_info 忽略connectionExtraInf。 如果为NULL，生成与libpq相关的连接信息字符串，当connectionExtraInf为false时connection_info只有driver_name和driver_version。 connectionExtraInf 设置connection_info是否存在扩展信息，默认值为0，如果包含其他信息，则需要设置为1。 父主题： 基于libpq开发

连接数据库（SSL方式） 用户通过psycopy2连接GaussDB服务器时，可以通过开启SSL加密客户端和服务器之间的通讯。在使用SSL时，默认用户已经获取了服务端和客户端所需要的证书和私钥文件，关于证书等文件的获取请参考Openssl相关文档和命令。 使用*.ini文件（python的configparser包可以解析这种类型的配置文件）保存数据库连接的配置信息。 在连接选项中添加SSL连接相关参数：sslmode，sslcert，sslkey，sslrootcert。 sslmode：可选项见表1。 sslcert：客户端证书路径。 sslkey：客户端密钥路径。 sslrootcert：根证书路径。 使用psycopg2.connect函数获得connection对象。 使用connection对象创建cursor对象。 表1 sslmode的可选项及其描述 sslmode 是否会启用SSL加密 描述 disable 否 不适用SSL安全连接。 allow 可能 如果数据库服务器要求使用，则可以使用SSL安全加密连接，但不验证数据库服务器的真实性。 prefer 可能 如果数据库支持，那么首选使用SSL连接，但不验证数据库服务器的真实性。 require 是 必须使用SSL安全连接，但是只做了数据加密，而并不验证数据库服务器的真实性。 verify-ca 是 必须使用SSL安全连接。 verify-full 是 必须使用SSL安全连接，目前GaussDB暂不支持。 父主题： 基于Psycopg开发

加载驱动 在使用驱动之前，需要做如下操作： 先解压版本对应驱动包，使用root用户将psycopg2拷贝到python安装目录下的site-packages文件夹下。 修改psycopg2目录权限为755。 将psycopg2目录添加到环境变量$PYTHONPATH，并使之生效。 对于非数据库用户，需要将解压后的lib目录，配置在LD_LIBRARY_PATH中。 在创建数据库连接之前，需要先加载如下数据库驱动程序： import psycopg2 父主题： 基于Psycopg开发

基于Psycopg开发 Psycopg是一种用于执行SQL语句的PythonAPI，可以为PostgreSQL、 GaussDB数据库 提供统一访问接口，应用程序可基于它进行数据操作。Psycopg2是对libpq的封装，主要使用C语言实现，既高效又安全。它具有客户端游标和服务器端游标、异步通信和通知、支持“COPY TO/COPY FROM”功能。支持多种类型Python开箱即用，适配PostgreSQL数据类型；通过灵活的对象适配系统，可以扩展和定制适配。Psycopg2兼容Unicode和Python 3。 GaussDB数据库提供了对Psycopg2特性的支持，并且支持psycopg2通过SSL模式链接。 表1 Psycopg支持平台 操作系统 平台 EulerOS 2.5 x86_64位 EulerOS 2.8 ARM64位 Kylin x86_64位 Kylin ARM64位 psycopg2在编译过程中，会链接（link）GaussDB的openssl，GaussDB的openssl与操作系统自带的openssl可能不兼容。如果遇到不兼容现象，例如提示"version 'OPENSSL_1_1_1f' not found"，请使用环境变量LD_LIBRARY_PATH进行隔离，以避免混用操作系统自带的openssl与GaussDB依赖的openssl。 例如，在执行某个调用psycopg2的应用软件client.py时，将环境变量显性赋予该应用软件： export LD_LIBRARY_PATH=/path/to/gaussdb/libs:$LD_LIBRARY_PATH python client.py 其中，/path/to/pyscopg2/lib 表示GaussDB依赖的openssl库所在目录，需根据文件实际存储路径修改。 Psycopg包 开发流程 加载驱动 连接数据库 执行SQL语句 处理结果集 关闭连接 连接数据库（SSL方式） 示例：常用操作 Psycopg接口参考 父主题： 应用程序开发教程

常见问题处理 [UnixODBC][Driver Manager]Can't open lib 'xxx/xxx/psqlodbcw.so' : file not found. 此问题的可能原因： odbcinst.ini文件中配置的路径不正确 确认的方法：'ls'一下错误信息中的路径，以确保该psqlodbcw.so文件存在，同时具有执行权限。 psqlodbcw.so的依赖库不存在，或者不在系统环境变量中 确认的办法：ldd一下错误信息中的路径，如果是缺少libodbc.so.1等UnixODBC的库，那么按照“操作步骤”中的方法重新配置UnixODBC，并确保它的安装路径下的lib目录添加到了LD_LIBRARY_PATH中；如果重装仍无法解决，可以手动将数据库安装包下的unixodbc/lib下的内容拷贝到UnixODBC的安装路径下的lib目录；如果是缺少其他库，请将ODBC驱动包中的lib目录添加到LD_LIBRARY_PATH中。 [UnixODBC]connect to server failed: no such file or directory 此问题可能的原因： 配置了错误的/不可达的数据库地址，或者端口 请检查数据源配置中的Servername及Port配置项。 服务器侦听不正确 如果确认Servername及Port配置正确，请根据“操作步骤”中数据库服务器的相关配置，确保数据库侦听了合适的网卡及端口。 防火墙及网闸设备 请确认防火墙设置，将数据库的通信端口添加到可信端口中。 如果有网闸设备，请确认一下相关的设置。 [unixODBC]The password-stored method is not supported. 此问题可能原因： 数据源中未配置sslmode配置项。 解决办法： 请配置该选项至allow或以上选项。此配置的更多信息，见表3。 Server common name "xxxx" does not match host name "xxxxx" 此问题的原因： 使用了SSL加密的“verify-full”选项，驱动程序会验证证书中的主机名与实际部署数据库的主机名是否一致。 解决办法： 碰到此问题可以使用“verify-ca”选项，不再校验主机名；或者重新生成一套与数据库所在主机名相同的服务端证书。 Driver's SQLAllocHandle on SQL_HANDLE_DBC failed 此问题的可能原因： 可执行文件（比如UnixODBC的isql，以下都以isql为例）与数据库驱动（psqlodbcw.so）依赖于不同的odbc的库版本：libodbc.so.1或者libodbc.so.2。此问题可以通过如下方式确认： ldd `which isql` | grep odbcldd psqlodbcw.so | grep odbc 这时，如果输出的libodbc.so最后的后缀数字不同或者指向不同的磁盘物理文件，那么基本就可以断定是此问题。isql与psqlodbcw.so都会要求加载libodbc.so，这时如果它们加载的是不同的物理文件，便会导致两套完全同名的函数列表，同时出现在同一个可见域里（UnixODBC的libodbc.so.*的函数导出列表完全一致），产生冲突，无法加载数据库驱动。 解决办法： 确定一个要使用的UnixODBC，然后卸载另外一个（比如卸载库版本号为.so.2的UnixODBC），然后将剩下的.so.1的库，新建一个同名但是后缀为.so.2的软链接，便可解决此问题。 FATAL: Forbid remote connection with trust method! 由于安全原因，数据库CN禁止集群内部其他节点无认证接入。 如果要在集群内部访问CN，请将ODBC程序部署在CN所在机器，服务器地址使用"127.0.0.1"。建议业务系统单独部署在集群外部，否则可能会影响数据库运行性能。 [unixODBC][Driver Manager]Invalid attribute value 在使用SQL on other GaussDB功能时碰到此问题，有可能是unixODBC的版本并非推荐版本，建议通过“odbcinst --version”命令排查环境中的unixODBC版本。 authentication method 10 not supported. 使用开源客户端碰到此问题，可能原因： 数据库中存储的口令校验只存储了SHA256格式哈希，而开源客户端只识别MD5校验，双方校验方法不匹配报错。 数据库并不存储用户口令，只存储用户口令的哈希码。 数据库当用户更新用户口令或者新建用户时，会同时存储两种格式的哈希码，这时将兼容开源的认证协议。 但是当老版本升级到新版本时，由于哈希的不可逆性，所以数据库无法还原用户口令，进而生成新格式的哈希，所以仍然只保留了SHA256格式的哈希，导致仍然无法使用MD5做口令认证。 MD5加密算法安全性低，存在安全风险，建议使用更安全的加密算法。 要解决该问题，可以更新用户口令（参见ALTER USER）；或者新建一个用户（参见CREATE USER），赋于同等权限，使用新用户连接数据库。 unsupported frontend protocol 3.51: server supports 1.0 to 3.0 目标数据库版本过低，或者目标数据库为开源数据库。请使用对应版本的数据库驱动连接目标数据库。 isql: error while loading shared libraries: xxx 环境缺少该动态库，需要自行安装对应的库

操作步骤 获取unixODBC源码包。 获取参考地址：https://sourceforge.net/projects/unixodbc/files/unixODBC 下载后请先按照社区提供的完整性校验算法进行完整性校验。 安装unixODBC。如果机器上已经安装了其他版本的unixODBC，可以直接覆盖安装。 目前不支持unixODBC-2.2.1版本。以unixODBC-2.3.0版本为例，在客户端执行如下命令安装unixODBC。默认安装到“/usr/local”目录下，生成数据源文件到“/usr/local/etc”目录下，库文件生成在“/usr/local/lib”目录。 tar zxvf unixODBC-2.3.0.tar.gzcd unixODBC-2.3.0#修改configure文件，找到LIB_VERSION#将它的值修改为"1:0:0"，这样将编译出*.so.1的动态库，与psqlodbcw.so的依赖关系相同。vim configure./configure --enable-gui=no #如果要在ARM服务器上编译，请追加一个configure参数： --build=aarch64-unknown-linux-gnu make#安装可能需要root权限make install 替换客户端GaussDB驱动程序。 将GaussDB-Kernel-VxxxRxxxCxx-xxxxx-64bit-Odbc.tar.gz解压。解压后会得到两个文件夹：lib与odbc，在odbc文件夹中还会有一个lib文件夹。将解压后得到的/lib文件夹与/odbc/lib文件夹中的所有动态库都拷贝到“/usr/local/lib”目录下。 配置数据源。 配置ODBC驱动文件。 在“/usr/local/etc/odbcinst.ini”文件中追加以下内容。 [GaussMPP]Driver64=/usr/local/lib/psqlodbcw.sosetup=/usr/local/lib/psqlodbcw.so odbcinst.ini文件中的配置参数说明如表1所示。 表1 odbcinst.ini文件配置参数 参数 描述 示例 [DriverName] 驱动器名称，对应数据源DSN中的驱动名。 [DRIVER_N] Driver64 驱动动态库的路径。 Driver64=/usr/local/lib/psqlodbcw.so setup 驱动安装路径，与Driver64中动态库的路径一致。 setup=/usr/local/lib/psqlodbcw.so 配置数据源文件。 在“/usr/local/etc/odbc.ini ”文件中追加以下内容。 [gaussdb]Driver=GaussMPPServername=10.145.130.26（数据库Server IP）Database=postgres （数据库名）Username=omm （数据库用户名）Password= （数据库用户密码）Port=8000 （数据库侦听端口）Sslmode=allow odbc.ini文件配置参数说明如表2所示。 表2 odbc.ini文件配置参数 参数 描述 示例 [DSN] 数据源的名称。 [gaussdb] Driver 驱动名，对应odbcinst.ini中的DriverName。 Driver=DRIVER_N Servername 服务器的IP地址。可配置多个IP地址。 Servername=10.145.130.26 Database 要连接的数据库的名称。 Database=postgres Username 数据库用户名称。 Username=omm Password 数据库用户密码。 Password= 说明： ODBC驱动本身已经对内存密码进行过清理，以保证用户密码在连接后不会再在内存中保留。 但是如果配置了此参数，由于UnixODBC对数据源文件等进行缓存，可能导致密码长期保留在内存中。 推荐在应用程序连接时，将密码传递给相应API，而非写在数据源配置文件中。同时连接成功后，应当及时清理保存密码的内存段。 注意： 配置文件中填写密码时，需要遵循http规则： 字符应当采用URL编码规范，如"!"应写作"%21"，"%"应写作"%25"，因此应当注意特殊处理%。 "+"会被替换为空格" "。 Port 服务器的端口号。当开启负载均衡时，可配置多个端口号，且需与配置的多IP一一对应。如果开启负载均衡配置多个IP时，仍只配置一个端口号，则默认所有IP共有同一个端口号，即为配置的端口号。 Port=8000 Sslmode 开启SSL模式 Sslmode=allow Debug 设置为1时，将会打印psqlodbc驱动的mylog，日志生成目录为/tmp/。设置为0时则不会生成。 Debug=1 UseServerSidePrepare 是否开启数据库端扩展查询协议。 可选值0或1，默认为1，表示打开扩展查询协议。 UseServerSidePrepare=1 UseBatchProtocol 是否开启批量查询协议（打开可提高DML性能）；可选值0或者1，默认为1。 当此值为0时，不使用批量查询协议（主要用于与早期数据库版本通信兼容）。 当此值为1，并且数据库support_batch_bind参数存在且为on时，将打开批量查询协议。 UseBatchProtocol=1 ForExtensionConnector 这个开关控制着savepoint是否发送，savepoint相关问题可以注意这个开关。 ForExtensionConnector=1 ConnectionExtraInfo GUC参数connection_info（参见connection_info）中显示驱动部署路径和进程属主用户的开关。 ConnectionExtraInfo=1 说明： 默认值为0。当设置为1时，ODBC驱动会将当前驱动的部署路径、进程属主用户上报到数据库中，记录在connection_info参数（参见connection_info）里；同时可以在PG_STAT_ACTIVITY和PGXC_STAT_ACTIVITY中查询到。 BoolAsChar 设置为Yes是，Bools值将会映射为SQL_CHAR。如不设置将会映射为SQL_BIT。 BoolsAsChar = Yes RowVersioning 当尝试更新一行数据时，设置为Yes会允许应用检测数据有没有被其他用户进行修改。 RowVersioning=Yes ShowSystemTables 驱动将会默认系统表格为普通SQL表格。 ShowSystemTables=Yes AutoBalance ODBC控制负载均衡的开关，默认值为0，0为关闭，开启为1。即为除1以外均不生效。 AutoBalance=1 RefreshCNListTime 开启负载均衡时可配置该参数，该值为刷新CN列表的时间，默认值为10，整数型。 RefreshCNListTime=5 Priority 开启负载均衡时可配置该参数，默认值为0，0为关闭，开启为1。即为除1以外均不生效。当Priority开启时，应用程序发起的所有连接优先发送到配置文件中配置的CN上，当配置的CN全部不可用时，连接才会发送到剩余的CN上。 Priority=1 UsingEip 开启负载均衡时可配置该参数，默认值为0，0为关闭，开启为1。即为除1以外均不生效。此值用于控制是否使用弹性公网IP做负载均衡。当UsingEip开启时，表示使用弹性公网IP做负载均衡；关闭表示使用数据IP做负载均衡。 UsingEip=1 TcpUserTimeout 在支持TCP_USER_TIMEOUT套接字选项的操作系统上，指定传输的数据在TCP连接被强制关闭之前可以保持未确认状态的最大时长。0值表示使用系统缺省。通过Unix域套接字做的链接忽略这个参数。单位为毫秒，默认为0。 TcpUserTimeout=5000 其中关于Sslmode的选项的允许值，具体信息见下表： 表3 sslmode的可选项及其描述 sslmode 是否会启用SSL加密 描述 disable 否 不使用SSL安全连接。 allow 可能 如果数据库服务器要求使用，则可以使用SSL安全加密连接，但不验证数据库服务器的真实性。 prefer 可能 如果数据库支持，那么首选使用SSL安全加密连接，但不验证数据库服务器的真实性。 require 是 必须使用SSL安全连接，但是只做了数据加密，而并不验证数据库服务器的真实性。 verify-ca 是 必须使用SSL安全连接，并且验证数据库是否具有可信证书机构签发的证书。 verify-full 是 必须使用SSL安全连接，在verify-ca的验证范围之外，同时验证数据库所在主机的主机名是否与证书内容一致。如果不一致，需要使用root用户修改/etc/hosts文件，将连接的数据库节点的IP地址和主机名加入。

负载均衡场景 当应用程序有大并发场景时可开启负载均衡： 负载均衡即为将并发连接随机分发到所有CN上，避免单个CN负载过大，达到高性能的目的。 配置参数AutoBalance=1，开启负载均衡功能。 参数RefreshCNListTime=5可以选择性配置，默认刷新时间为10秒。 参数Priority=1可以选择性配置，意为并发连接优先发送到配置文件中配置的CN上，当配置的CN全部不可连接时，连接才会被分发到剩余CN上。 示例场景： 集群环境有6个CN，CN1，CN2，CN3，CN4，CN5和CN6；配置文件配置4个CN，为CN1，CN2，CN3和CN4。 配置文件示例： [gaussdb]Driver=GaussMPPServername=10.145.130.26,10.145.130.27,10.145.130.28,10.145.130.29（数据库Server IP）Database=postgres （数据库名）Username=omm （数据库用户名）Password= （数据库用户密码）Port=8000 （数据库侦听端口）Sslmode=allowAutoBalance=1RefreshCNListTime=3Priority=1 当配置文件和集群环境如示例时，并发连接会随机、平均发送到CN1，CN2，CN3和CN4上，连接数均衡。当CN1，CN2，CN3和CN4全部不可用时，并发连接会随机、平均发送到CN5和CN6上。如果此时CN1，CN2，CN3和CN4中有CN重新可用时，连接则不会再发送到CN5和CN6上，而重新发送到重新可用的CN上。

高性能场景 进行大量数据插入时，建议如下： 需要设置批量绑定odbc.ini设置UseBatchProtocol=1数据库设置support_batch_bind。 ODBC程序绑定类型要和数据库中类型一致。 客户端字符集和数据库字符集一致。 事务改成手动提交。 odbc.ini配置文件： [gaussdb]Driver=GaussMPPServername=10.10.0.13（数据库Server IP）...UseBatchProtocol=1 （默认打开）ConnSettings=set client_encoding=UTF8 （设置客户端字符编码，保证和server端一致）

日志诊断场景 ODBC日志分为unixODBC驱动管理器日志和psqlODBC驱动端日志。前者可以用于追溯应用程序API的执行成功与否，后者是底层实现过程中的一些DFX日志，用来帮助定位问题。 unixODBC日志需要在odbcinst.ini文件中配置： 1234567 [ODBC]Trace=YesTraceFile=/path/to/odbctrace.log[GaussMPP]Driver64=/usr/local/lib/psqlodbcw.sosetup=/usr/local/lib/psqlodbcw.so psqlODBC日志只需要在odbc.ini加上： [gaussdb]Driver=GaussMPPServername=10.10.0.13（数据库Server IP）...Debug=1（打开驱动端debug日志） unixODBC日志将会生成在TraceFile配置的路径下，psqlODBC会在系统/tmp/下生成mylog_xxx.log。

常见问题处理 connect to server failed: no such file or directory 此问题可能的原因： 配置了错误的/不可达的数据库地址，或者端口 请检查数据源配置中的Servername及Port配置项。 服务器侦听不正确 如果确认Servername及Port配置正确，请根据“操作步骤”中数据库服务器的相关配置，确保数据库侦听了合适的网卡及端口。 防火墙及网闸设备 请确认防火墙设置，将数据库的通信端口添加到可信端口中。 如果有网闸设备，请确认一下相关的设置。 The password-stored method is not supported. 此问题可能原因： 数据源中未配置sslmode配置项，请调整此项至allow或以上级别，允许SSL连接，此选项的更多说明，请见表1。 authentication method 10 not supported. 使用开源客户端碰到此问题，可能原因： 数据库中存储的口令校验只存储了SHA256格式哈希，而开源客户端只识别MD5校验，双方校验方法不匹配报错。 数据库并不存储用户口令，只存储用户口令的哈希码。 数据库当用户更新用户口令或者新建用户时，会同时存储两种格式的哈希码，这时将兼容开源的认证协议。 但是当老版本升级到新版本时，由于哈希的不可逆性，所以数据库无法还原用户口令，进而生成新格式的哈希，所以仍然只保留了SHA256格式的哈希，导致仍然无法使用MD5做口令认证。 MD5加密算法安全性低，存在安全风险，建议使用更安全的加密算法。 要解决该问题，可以更新用户口令（参见ALTER USER）；或者新建一个用户（参见CREATE USER），赋于同等权限，使用新用户连接数据库。 unsupported frontend protocol 3.51: server supports 1.0 to 3.0 目标数据库版本过低，或者目标数据库为开源数据库。请使用对应版本的数据库驱动连接目标数据库。