问题一：在安装 KingbaseES 时，安装用户对于安装路径需有“读”、“写”、“执行”的权限。

在 Linux 系统中，需要以非 root 用户执行安装程序，且该用户要有标准的 home 目录，您可以先使用 root 用户运行如下命令创建 kingbase 用户

useradd -m kingbase
//继续运行如下命令设置 kingbase 用户的密码：
passwd kingbase
//把kingbase用户添加到wheel组（centos、银河麒麟os等）
sudo usermod -aG wheel kingbase

问题二：默认数据库兼容模式为：ORACLE（可选 PG、MySQL）

如果是从MySQL数据库迁移，需要选择数据库模式为MySQL，当选择MySQL模式时大小写敏感智能选择否

问题三：允许远程访问kingbase数据库

1. 配置Kingbase数据库监听地址

1）找到kingbase.conf文件的位置。通常，它位于Kingbase数据库的数据目录中

/opt/Kingbase/ES/V8/data/kingbase.conf

2）编辑kingbase.conf文件，找到listen_addresses参数，并将其值修改为'*'

listen_addresses = '*'

2.配置防火墙，确保防火墙允许来自远程主机的连接。你需要打开Kingbase数据库使用的端口（默认是54321）。

使用firewalld（适用于CentOS、银行麒麟OS等）

sudo firewall-cmd --permanent --add-port=54321/tcp

sudo firewall-cmd --reload

3. 配置访问控制

找到sys_hba.conf文件的位置。通常，它位于Kingbase数据库的数据目录中，例如：

/opt/Kingbase/ES/V8/data/sys_hba.conf

使用文本编辑器打开sys_hba.conf文件

sudo vim /opt/Kingbase/ES/V8/data/sys_hba.conf

在文件末尾添加或修改以下行，允许特定IP地址或所有IP段访问数据库：

host all all 0.0.0.0/0 scram-sha-256

4. 重启Kingbase数据库服务

sudo systemctl restart kingbase

问题四：KingbaseES 备份与恢复

1.对于硬件故障、误操作和恶意破坏等无法自动恢复的场景，KingbaseES 提供的备份还原方式可以分为两种：

• 一种是基于日志的物理备份还原。KingbaseES 通过备份磁盘中数据目录下的物理文件（数据文件、控制文件和日志文件），依靠还原数据文件和日志恢复技术来保护数据。目前只支持数据库实例整体备份，不支持单个数据库或数据表备份。sys_rman 工具属于物理备份还原。
• 另一种是基于 SQL 语句的逻辑备份还原。指的是利用备份的数据库对象把数据库从一个快照转化到另一个快照的过程（数据库在某个时刻的一个状态称为一个快照）。借助 sys_dump 可以导出指定数据库的所有对象定义和内容，也可以导出指定模式或指定表的对象定义和内容。

这两种方式技术原理不一样，各有特点，适用于不同的场合。

2.本章节列举物理备份常用的四种场景的备份架构。

2.1 单机 + 外部备份

此场景为单机数据库节点和 REPO 备份服务器节点。备份服务器是一个单独的物理设备，相对独立，具有较高的冗余度，备份不会随着数据库节点故障而失效。

2.2 单机 + 内部备份

此场景为单机数据库节点内部备份，方便部署和操作，但备份 REPO 与数据库实例处于同一个物理主机，冗余度较低。

2.3 一主一备 + 外部备份

此场景为主备双机常规环境设计，其中 REPO 节点位于独立的服务器。可选配置从备库拷贝数据文件，极大地减少备份为主库带来的性能损耗，且增加了第三方专用存储服务器，用于存放和管理备份文件。

2.4 一主一备 + 内部备份

此场景为主备双机常规环境设计，其中 repo 节点位于当前数据库服务器的主节点。可选配置从备库拷贝数据文件，极大地减少备份为主库带来的性能损耗。

3.以单机 + 外部备份为例，介绍KingbaseES物理备份恢复最佳实践

3.1 备份工具的构成

工具不需要额外安装，由 KingbaseES 安装包统一部署。

3.2 准备工作

1）数据库节点与外部备份节点之间以相应的 OS 用户，需要互相进行免密SSH 登录

• 免密登陆要求：所有即将部署集群的设备之间，root 用户和 root 用户、root 用户和普通用户、普通用户和普通用户免密登陆，同一主机的root 用户免密登陆、root 用户和普通用户免密登陆、普通用户免密登陆。以下为使用trust_cluster.sh配置免密方法：
• 防火墙配置：建议关闭防火墙，如果用户确认无法关闭防火墙，那么在防火墙添加数据库白名单，不同系统命令不同，数据库端口默认 54321。
• 首先，把/opt/Kingbase/ES/V8/ClientTools/guitools/DeployTools/zip目录下的文件拷贝到用户目录下

[kingbase@kb2 ~]$ mkdir r6_install

[kingbase@kb2 ~]$ cd /opt/Kingbase/ES/V8/ClientTools/guitools/DeployTools

[kingbase@kb2 ~]$ sudo cp ./zip ~/r6_install

[kingbase@kb2 ~]$ cd ~/r6_install

[kingbase@kb2 r6_install]$ ls

cluster_install.sh install.conf trust_cluster.sh db.zip securecmdd.zip

• 其次，把license.dat #授权文件 拷贝到此目录
• 然后，修改install.conf文件，查找并修改配置all_ip、execute_user和super_user三个参数

vim install.conf

## 把其中的all_ip 修改为正确的主机和备份机的ip地址
all_ip=(192.168.139.153 192.168.139.150)
## super user, defaults is root
super_user="root"
## ordinary user, defaults is kingbase
execute_user="kingbase"

• 使用super_user用户执行trust_cluster.sh
• 执行过程中需要输入每个节点super_user的密码，请输入
• 免密完成

2）此配置项指明的数据库用户需要配置为 ksql 免密登录

cd /opt/Kingbase/ES/V8/Server/bin
./sys_encpwd -H \* -P 54321 -D \* -U system -W your_password

3.3 在sys_backup.shinit前，执行初始化操作

• 确保 kingbase.conf 中以下两项配置：

archive_mode=on
archive_command 没有被注释，内容将被脚本自动修改

• 确保sys_backup.conf中以下配置

# target db style enum: single/cluster/single-pro
_target_db_style="single"
_one_db_ip="192.168.139.153" # 主机 地址
_repo_ip="192.168.139.150" # repo 地址

• 在REPO服务器上，执行sys_backup.sh init

# generate single sys_rman.conf...DONE
# update single archive_command with sys_rman.archive-push...DONE
# create stanza and check...(maybe 60+ seconds)
# create stanza and check...DONE
# initial first full backup...(maybe several minutes)
# initial first full backup...DONE
# Initial sys_rman OK

可能遇到的问题：

如果create stanza and check...(maybe 60+ seconds) 一直没反应，然后报错如下：

ERROR: check stanza failed, check log file /opt/Kingbase/ES/V8/Server/log/sys_rman_check.log

经查看
/opt/Kingbase/ES/V8/Server/log/sys_rman_check.log文件可能看到如下报错信息：

ERROR: [103]: unable to find a valid repository: repo1: [unknown_err] remote-0 process on '192.168.139.150' terminated unexpectedly [1]: ssh: /opt/Kingbase/ES/V8/Server/lib/libcrypto.so.1.1: version `OPENSSL_1_1_1f' not found (required by ssh)

经验证确定kingbase（V008R006C008B0014）Server的lib目录中自带的libcrypto.so.1.1的版本和银河麒麟系统自带的`OPENSSL_1_1_1f'版本不一致，因此需要把系统中自带的版本覆盖Server的lib目录中的libcrypto.so.1.1即可解决问题

4. 备份任务的启停

4.1 sys_backup.sh start

• 脚本使用 crontab 命令增加定时任务，使用 sys_rman 进行定时备份；可以通过 crontab -l 查看定时任务。
• 全量备份、差异备份、增量备份，均为可选。
• 备份类型、备份周期和备份时间由配置文件 sys_backup.conf 指定。
• 在 sys_backup.conf 需要在所有 REPO 节点上执行;

# 自动执行全量备份的间隔天数
# count of days, interval to do FULL-backup
_crond_full_days=7
# 自动执行差异备份的间隔天数，0 表示不执行
# count of days, interval to do DIFF-backup
_crond_diff_days=0
# 自动执行增量备份的间隔天数
# count of days, interval to do INCR-backup
_crond_incr_days=1
# 自动执行全量备份的时间点，2 表示凌晨 2 点
# HOUR to do the FULL-backup
_crond_full_hour=2
# 自动执行差异备份的时间点，3 表示凌晨 3 点
# HOUR to do the DIFF-backup
_crond_diff_hour=3
# 自动执行增量备份的时间点，4 表示凌晨 4 点
# HOUR to do the INCR-backup
_crond_incr_hour=4

4.2 sys_backup.sh stop

停止定时备份动作。

sys_backup.sh stop
Disable all sys_rman in crontab-daemon

4.3 sys_backup.sh pause

暂时停止定时备份动作。

sys_backup.sh pause
Puase the sys_rman...DONE

4.4 sys_backup.sh unpause

恢复被暂停的定时备份动作。

sys_backup.sh unpause
Un-Puase the sys_rman...DONE

5.还原与恢复

物理还原即使用 sys_rman 将当时做备份的物理文件恢复回来，但由于物理备份时，数据库还是会有不断的数据写入，因此拷贝过程中，物理文件可能已经发生了变化。数据库在物理还原（以下简称还原）结束后，还要进行数据库自己的恢复（以下简称恢复）过程，才能最终达成数据库一致性状态，对外提供服务。因此，真正恢复数据库到用户所用状态，分为了还原和恢复两个部分。

5.1 还原

还原操作说明：

o 还原动作，只能在数据库节点上进行。

o 还原完成后，数据库启动后，请及时手动清除 kingbase.auto.conf 文件中还原过程写入的相关还原参数。

o 若是集群环境，还原后的数据库节点将成为集群的新主节点，利用该节点重做备库，参考《金仓数据守护集群和读写分离集群使用手册》；集群完整启动后，可选择新的主节点。

o 还原时，需要确保 kingbase 进程已经停止。

o 还原时，KB_DATA 目录下如果还有文件存在，需要--delta 选项进行选择性还原。

o 还原时，KB_DATA 目录下如果没有文件存在，以下的还原方式均可使用。

还原命令格式：

/opt/Kingbase/ES/V8/Server/bin/sys_rman
--config=<>
--stanza=<>
--<>
restore

基于最新备份的还原

/opt/Kingbase/ES/V8/Server/bin/sys_rman --config=/opt/Kingbase/ES/V8/repo_data/sys_rman.conf --stanza=kingbase restore

5.2 恢复（第一次启动时自动执行）

数据恢复过程，指的是经过还原动作后，新的数据库实例拥有了基本的数据文件，第一次启动数据库时，数据库根据恢复配置文件去拉取归档的 WAL 日志，进行 REDO 的过程。恢复配置文件位于/kingbase.auto.conf，涉及恢复的部分主要包含以下配置项：

o restore_command 配置为 sys_rman 工具 archive-get 命令，负责拉取归档的 WAL 日志，拉取的范围由后续参数确定。如果没有 recover_target_* 相关选项，将自动拉取所有的归档 WAL 文件并执行 REDO 动作，将数据还原到最新的状态。

o recovery_target_time 还原使用 PITR 功能--type=time 时，填充相关值。

o recovery_target_xid 还原使用 PITR 功能--type=xid 时，填充相关值。

o recovery_target_timeline 还原使用功能--target-timeline 时，填充相关值。

o recovery_target_action 还原使用功能--target-action 时，填充相关值。