排障路径
DBNginx 排障建议从主体、资源、策略和证据开始,不要只看 SQL 文本或连接错误。
通用排障顺序
- 主体是谁?
- 从哪个入口、来源地址或业务系统进入?
- 访问哪个数据库资源?
- SQL 动作是什么?
- 命中了哪些策略?
- 最终动作是什么?
- 审计 trace 是否完整?
- 是否涉及链路动态扩展、密码设备或上游资源异常?
常见问题
| 问题 | 观察项 | 处理建议 |
|---|---|---|
| 访问被拒绝 | 主体、角色、来源、资源、时间窗口、命中策略 | 查看策略解释,确认是权限缺失、时间过期还是防火墙拦截 |
| 查询变慢 | 上游池、连接等待、慢查询、路由结果、审计写入 | 分离报表流量,调整资源池和限流策略 |
| 水印回溯 | watermark key、trace id、导出主体、访问资源 | 按水印线索查询审计 trace |
| 国密设备异常 | 设备连接、密钥别名、调用耗时、失败策略 | 切换备用设备或进入降级路径 |
| 链路动态扩展异常 | 扩展版本、输入摘要、耗时、返回结果、灰度范围 | 切回默认策略或上一版本扩展配置 |
| 审计缺失 | 审计目录、写入权限、轮转状态、直连绕行 | 检查写入权限并确认是否绕过 DBNginx |
| 发布失败 | 配置校验、引用关系、扩展版本、上游状态 | 阻断发布,修复后重新校验 |
必备证据
排障时建议保留:
- 访问时间。
- trace id。
- 主体和来源。
- 目标资源。
- 策略版本。
- 错误信息。
- 审计事件。
- 最近一次发布记录。
什么时候升级处理
以下情况应进入正式事件处理:
- 高危 SQL 或异常批量查询持续出现。
- 审计缺失或写入失败。
- 水印外泄样本已出现。
- 国密设备调用异常影响核心业务。
- 生产访问因策略误判被大面积拒绝。