访问官网
Github
文档Tiberius
适用于Rust的原生Microsoft SQL Server (TDS)客户端。
目标
- 完美实现TDS协议。
- 异步网络IO。
- 独立于网络协议。
- 支持最新版本的Linux、Windows和macOS。
非目标
支持的SQL Server版本
| 版本 | 支持级别 | 备注 |
|---|---|---|
| 2022 | CI测试 | |
| 2019 | CI测试 | |
| 2017 | CI测试 | |
| 2016 | 应该可用 | |
| 2014 | 应该可用 | |
| 2012 | 应该可用 | |
| 2008 | 应该可用 | |
| 2005 | 应该可用 | 需禁用tds73特性标志。 |
特性标志
| 标志 | 描述 | 默认 |
|---|---|---|
tds73 | 支持TDS 7.3版本中的新日期和时间类型。如使用7.2版本请禁用。 | 启用 |
native-tls | 使用操作系统的TLS库进行流量加密。 | 启用 |
rustls | 使用rustls内置的TLS实现而非链接到操作系统实现进行流量加密。 | 禁用 |
vendored-openssl | 静态链接OpenSSL而非动态链接到操作系统实现进行流量加密。 | 禁用 |
chrono | 使用chrono的类型读写日期和时间值。(对于新项目,建议使用time而非chrono) | 禁用 |
time | 使用time包的类型读写日期和时间值。 | 禁用 |
rust_decimal | 使用rust_decimal的Decimal读写numeric/decimal值。 | 禁用 |
bigdecimal | 使用bigdecimal的BigDecimal读写numeric/decimal值。 | 禁用 |
sql-browser-async-std | async-std的TcpStream的SQL浏览器实现。 | 禁用 |
sql-browser-tokio | Tokio的TcpStream的SQL浏览器实现。 | 禁用 |
sql-browser-smol | smol的TcpStream的SQL浏览器实现。 | 禁用 |
integrated-auth-gssapi | 支持通过GSSAPI使用集成认证 | 禁用 |
支持的协议
Tiberius在连接SQL Server实例时不依赖于任何特定协议。相反,Client接受一个实现了futures-rs包中AsyncRead和AsyncWrite特性的套接字。
目前,async-std、Tokio和Smol项目都提供了很好的TCP异步实现。
要在Windows平台上将它们与Tiberius一起使用SQL Server,你应确保启用了TCP协议,因为根据版本不同,这可能默认未启用。标准版和企业版默认启用此设置,而开发者版、快速版和Windows Server操作系统的Windows内部数据库功能则不会。 要启用TCP/IP协议,你可以使用服务器设置或命令行。 在官方Docker镜像中,TCP默认是启用的。 命名管道应该通过使用最新版本Tokio中的NamedPipeClient来工作。
共享内存协议没有文档记录,似乎也没有Rust crate实现它。
加密(TLS/SSL)
Tiberius可以设置使用两种不同的TLS连接加密实现。默认情况下,它使用native-tls,链接到操作系统提供的TLS库。这是一个良好的实践,如果出现安全漏洞,升级系统库就可以修复Tiberius中的漏洞,无需重新编译。在Linux上我们链接到OpenSSL,在Windows上链接到schannel,在macOS上链接到Security Framework。
另一种选择是使用rustls特性标志来使用Rust原生的TLS实现。这样就不会有对系统的动态依赖。这在某些安装环境中可能有用,但需要重新构建才能更新到新的TLS版本。由于某些原因,macOS上的Security Framework无法与SQL Server的TLS设置一起工作,因此在Apple平台上如果需要TLS,建议使用rustls而不是native-tls。另一个选择是使用vendored-openssl特性标志,这会静态链接到最新的OpenSSL实现。
这个crate也可以在不支持TLS的情况下编译,但不能同时启用两个特性。
Tiberius有三种运行时加密设置:
| 加密级别 | 描述 |
|---|---|
Required | 所有流量都加密。(默认) |
Off | 只有登录过程加密。 |
NotSupported | 所有流量都不加密。 |
可以在连接到数据库时设置加密级别。
在*nix上的集成认证(TrustedConnection)
启用integrated-auth-gssapi特性后,crate需要安装GSSAPI/Kerberos库/头文件:
- CentOS
- Arch
- Debian(构建时需要-dev包)
- Ubuntu
- NixOS:在仓库根目录运行
nix-shell shell.nix。 - Mac:从版本
0.4.2开始,用于此特性的libgssapi crate现在使用Apple的GSS Framework,该框架随MacOS 10.14+一起提供。
此外,您的运行时系统需要被SQL Server所属的Active Directory域信任并为其配置。特别是,您需要能够通过kinit或keytab为您的身份获取有效的TGT。这个设置因环境和操作系统而异,但您友好的网络/系统管理员应该能够帮助确定具体细节。
重定向
在某些Azure防火墙设置下,登录可能会返回Error::Routing { host, port }。这意味着用户必须创建一个新的TcpStream到给定地址,并重新连接。
一个简单的连接过程如下:
use tiberius::{Client, Config, AuthMethod, error::Error};
use tokio_util::compat::TokioAsyncWriteCompatExt;
use tokio::net::TcpStream;
#[tokio::main]
async fn main() -> Result<(), Box<dyn std::error::Error>> {
let mut config = Config::new();
config.host("0.0.0.0");
config.port(1433);
config.authentication(AuthMethod::sql_server("SA", "<Mys3cureP4ssW0rD>"));
let tcp = TcpStream::connect(config.get_addr()).await?;
tcp.set_nodelay(true)?;
let client = match Client::connect(config, tcp.compat_write()).await {
// 连接成功。
Ok(client) => client,
// 服务器要求我们重定向到不同的地址
Err(Error::Routing { host, port }) => {
let mut config = Config::new();
config.host(&host);
config.port(port);
config.authentication(AuthMethod::sql_server("SA", "<Mys3cureP4ssW0rD>"));
let tcp = TcpStream::connect(config.get_addr()).await?;
tcp.set_nodelay(true)?;
// 我们不应该有多于一次的重定向,所以在这里短路。
Client::connect(config, tcp.compat_write()).await?
}
Err(e) => Err(e)?,
};
Ok(())
}
安全
如果您有安全问题需要报告,请通过security@prisma.io联系我们。
