💡 站外导读:在数字化转型浪潮下,企业数据库架构日趋复杂,多数据源并存成为常态。DBA、开发与运维团队面临数据查询分散、SQL变更风险高、权限管控粗放、敏感数据泄露风险大等核心痛点。传统工具往往功能单一或依赖商业软件,难以满足一体化、精细化的治理需求。ClouGence团队开源的CloudDM,正为此提供了破局之道。
CloudDM是什么
CloudDM 是 ClouGence 团队开源的数据库研发与管控平台。CloudDM将数据查询、SQL 审核、权限管控等数据库核心能力集成于统一平台,支持 30 种数据源,覆盖 MySQL、PostgreSQL、ClickHouse、Redis、StarRocks 及阿里云、AWS、Azure 等云数据库,为 DBA、开发、运维人员提供一站式数据库协作与治理解决方案。
阅读目录
CloudDM的主要功能
-
统一数据查询:Web 控制台支持 30 种数据源,提供语法高亮、智能提示、执行计划、结果导出、表结构获取、事务与隔离级别控制等能力。
-
SQL 变更管控:内置 54 条 SQL 审核规则引擎,支持 Rule Script 自定义扩展,规则生效范围可精确到实例、数据库、表和列;审批流程集成飞书、钉钉、企业微信。
-
细粒度权限管理:采用功能权限与资源权限分离的 RBAC 模型,授权粒度覆盖实例、数据库、Schema、表,支持 DDL 与 DML 分离授权。
-
数据脱敏保护:提供列级脱敏能力,内置 5 条脱敏规则并支持自定义,可对单个值或整行进行脱敏,保护范围精确到列。
-
统一身份认证:支持 OpenLDAP、Windows AD、OIDC 以及钉钉、飞书、企业微信 SSO,方便团队统一账号体系。
-
数据库对象管理:可视化编辑器支持库、模式、表、列、索引、视图、函数、存储过程、触发器等对象的创建、删除、修改与属性查看。
-
审计与合规:提供操作审计和 SQL 执行审计,支持手动执行、立即执行、定时执行三种方式。
-
CI/CD 集成:支持 Git Push、WebHook、HttpCall 三种方式触发变更发布流程,检查、审批、执行节点可自由启停。
-
DDL 转换:支持 18 种数据源到 MySQL、ClickHouse、达梦、Oracle、PostgreSQL 等 12 种目标库共 192 种转换。
CloudDM的技术原理
-
Web 控制台架构:采用前后端分离设计,通过浏览器即可统一访问与管理多种数据源,无需安装本地客户端。
-
SQL 规则引擎:内置规则引擎对变更语句进行静态分析与安全检测,基于 Rule Script 实现规则的可扩展定义,支持精确、前缀、后缀、包含四种范围匹配模式。
-
RBAC 双层权限模型:将功能权限(菜单与操作)与资源权限(数据源对象)解耦,通过角色定义实现实例、数据库、Schema、表、列级别的细粒度访问控制。
-
多协议数据源适配:通过标准 JDBC/ODBC 协议连接底层数据库,统一抽象 30 种异构数据源的查询与管理接口。
-
弹性部署架构:支持单机模式与集群模式,提供 Docker 与 Kubernetes 两种容器化部署方式,跨机房管理无需暴露公网端口。
-
脱敏与审计机制:在数据返回链路中植入列级脱敏层,同时对操作行为与 SQL 执行记录进行持久化审计存储。
如何使用CloudDM
-
一键部署:执行 Docker 命令
docker run -d --name cgdm-alone -p 8222:8222 bladepipe/cgdm-alone:3.0.7,10 秒内完成启动(国内可使用阿里云镜像加速地址)。 -
访问控制台:浏览器打开
http://localhost:8222,完成初始配置。 -
接入数据源:在数据源管理中添加 MySQL、PostgreSQL 等 30 种支持的数据库连接。
-
配置权限:创建角色并分配功能权限与资源权限,精确控制到数据库、表或列级别。
-
设置审核规则:在安全规则中启用或自定义 SQL 审核规则,配置提示或阻塞策略。
-
执行查询或变更:通过查询控制台编写 SQL,或通过工单系统提交变更,经审批后执行。
-
集成企业 IM:配置钉钉、飞书或企业 Webhook,实现工单通知与 SSO 登录。
CloudDM的核心优势
-
全面开源零限制:所有功能完全开放,无企业版阉割,权限管控与审计等高级能力均可免费使用。
-
数据源覆盖行业最广:支持 30 种数据源,涵盖国内外主流关系型数据库、OLAP、缓存及云数据库。
-
权限管控粒度极细:支持实例、数据库、Schema、表、列多级授权,DDL 与 DML 可分离控制,满足企业合规要求。
-
规则引擎高度灵活:54 条内置规则配合 Rule Script 自定义,范围精确到列级,适配不同团队的 SQL 规范。
-
部署与运维门槛低:Docker 一键启动,支持单机与集群,跨机房部署无需公网端口,降低私有化部署成本。
CloudDM的项目地址
- 项目官网:https://www.cdmgr.com/
- GitHub仓库:https://github.com/ClouGence/open-cdm
CloudDM的同类竞品对比
| 维度 | CloudDM | Archery | Yearning | Bytebase |
|---|---|---|---|---|
| 开源协议 | Apache 2.0(全功能) | Apache 2.0 | GPL | 部分开源/商业版 |
| 数据源支持 | 30 种(含云数据库) | 较少 | 较少 | 较多 |
| 数据查询 | ✅ Web 控制台 | ❌ | ❌ | ✅ |
| SQL 审核规则 | 54 条内置 + 自定义 | 有 | 有 | 有 |
| 权限粒度 | 实例/库/Schema/表/列 | 较粗 | 较粗 | 库/表级 |
| 数据脱敏 | ✅ 列级 | ❌ | ❌ | 部分支持 |
| SSO 集成 | LDAP/AD/OIDC/钉钉/飞书/企微 | 有限 | 有限 | OIDC/LDAP |
| CI/CD 集成 | Git Push/WebHook/HttpCall | 有限 | 有限 | GitOps |
| 部署方式 | Docker/K8s/安装包 | 较复杂 | 一般 | Docker/K8s |
CloudDM的应用场景
-
企业数据库统一管控:为 DBA 和开发团队提供统一的数据查询入口与变更流程,避免多工具切换。
-
SQL 审核与合规治理:通过自动化规则引擎拦截危险 SQL,满足金融、互联网等行业的合规审计要求。
-
敏感数据安全防护:对生产环境核心表的敏感列实施自动脱敏,防止数据泄露。
-
DevOps 数据库变更流水线:将数据库变更纳入 CI/CD 流程,实现 Git 驱动的自动化发布与回滚。
-
多租户权限隔离:通过细粒度 RBAC 为不同团队、项目分配独立的数据访问边界。
📝 站长洞察 (Editor’s Insight)
随着数据成为核心资产,数据库治理正从‘工具辅助’迈向‘平台化、工程化、安全一体化’的新阶段。CloudDM的开源,精准切中了企业在混合云、多数据源环境下对统一管控、左移安全(Shift-Left Security)和DevOps自动化的核心诉求。其将查询、审核、权限、脱敏、审计与CI/CD深度集成,并非功能堆砌,而是对数据库研发运维全链路的重构。尤其值得关注的是其在RBAC双层模型和列级脱敏上的设计,这直接回应了国内《数据安全法》下的合规强需求。对比同类开源工具,其‘全功能开源’策略极具破坏性,可能加速数据库管控平台的标准化与普及。在AI for DB趋势初现的当下,CloudDM积累的SQL审核规则与操作审计数据,未来有望成为训练AI模型、实现智能风控的基石。这不仅是工具,更是企业数据治理基座的关键拼图。
