关于mysql:MySQL-主从复制加密以及binlog的加密实现

39次阅读

共计 3713 个字符,预计需要花费 10 分钟才能阅读完成。

1 概述

本文次要讲述了如何在主从复制的过程中应用 SSL 进行加密,还有 binlog 加密(MySQL 8.0.14+)的实现。

2 环境

  • MySQL 8.0.25
  • Docker
  • 一主一从

3 筹备容器

先拉取镜像并启动,主库 3306,从库3307,还须要加上--ssl 参数,以开启 SSL 加密连贯的性能:

docker pull mysql
docker run -itd -p 3306:3306 -e MYSQL_ROOT_PASSWORD=123456 --name mysql-master mysql --ssl
docker run -itd -p 3307:3306 -p 33061:33060 -e MYSQL_ROOT_PASSWORD=123456 --name mysql-slave mysql --ssl

启动容器之后进入容器并装置 vimnet-tools

apt install vim net-tools

同时进入 MySQL 筹备好数据源:

create database test;
use test;
create table user(
    id int primary key auto_increment,
    name varchar(30) not null,
    age int not null
);

4 SSL连贯筹备

4.1 确保 SSL 开启

首先能够进入 MySQL 确保 SSL 性能开启:

show variables like '%ssl%';

4.2 生成 CA 和私钥

默认状况下,在 /var/lib/mysql 下曾经有生成的证书和私钥文件,如果不想用默认的,能够从新生成:

sudo mkdir /mysql
sudo chown mysql:mysql /mysql
mysql_ssl_rsa_setup --datadir=/mysql

生成的文件包含:

  • ca-key.pemCA私钥
  • ca.pem:自签名的 CA 证书
  • client-key.pem:客户端连贯时应用的私钥
  • client-cert.pem:客户端连贯时应用的证书
  • server-key.pem:服务器端私钥
  • server-cert.pem:服务器端证书
  • public_key.pem/private_key.pem:密钥对的公钥和私钥

理论应用只须要用到 ca.pem、服务端私钥证书、客户端私钥证书这五个文件。因为主从复制的时候,主库作为服务端,从库作为客户端,因而ca.pem/server-key.pem/server-client.pem 只须要在主库中配置,而 ca.pem/client-key.pem/client-cert.pem 须要通过 scp 传到从库中。

4.3 批改权限

权限谬误会导致 MySQL 无奈失常应用 SSL 的性能:

sudo chown mysql:mysql /mysql/*.pem
sudo chmod 400 /mysql/*.pem
sudo chmod 444 /mysql/ca.pem

4.4 批改配置文件

批改主库的配置文件,如下所示:

[mysqld]
ssl_ca=/mysql/ca.pem
ssl_cert=/mysql/server-cert.pem
ssl_key=/mysql/server-key.pem

而从库配置文件 批改如下:

[client]
ssl-ca=/mysql/ca.pem
ssl-cert=/mysql/client-cert.pem
ssl-key=/mysql/client-key.pem

此时从库是没方法连贯本人的,只能连贯主库,如果须要连贯本人,须要将主库的 server-key.pem/server-cert.pem 拷贝到从库中,并配置从库的[mysqld]

[mysqld]
ssl_ca=/mysql/ca.pem
ssl_cert=/mysql/server-cert.pem
ssl_key=/mysql/server-key.pem

5 主从复制的其余配置

上面是一些主从复制的最惯例最简略的配置,主库仅配置了 id 和须要复制的库:

[mysqld]
server-id=1                
binlog-do-db=test         

从库的配置如下:

[mysqld]
server-id=2            
replicate-do-db=test   

批改完后重启主库和从库。

6 创立主从复制的用户

在主库中创立主从复制的用户(具体 ip 请应用 ifconfig 查看):

create user 'repl'@'172.17.0.3' identified with mysql_native_password by '123456' require ssl;
grant replication slave on *.* to 'repl'@'172.17.0.3';

7 批改从库配置指向主库

首先查看主库的状态:

show master status;

FilePosition记录下来,并在从库中应用change master to/change replication source to8.0.23+)设置主库信息:

change master to
master_host = '172.17.0.2',
master_user = 'repl',
master_password = '123456',
master_log_file = 'binlog.000005',
master_log_pos = 156,
master_ssl = 1;

change replication source to
source_host = '172.17.0.2',
source_user = 'repl',
source_password = '123456',
source_log_file = 'binlog.000005',
source_log_pos = 156;  
source_ssl = 1;

8 启动从库并测试

能够应用start slave/start replica8.0.22+)启动从库开启复制性能:

start slave
# 或
start replica

启动实现后应用

show slave stauts\G

查看从库状态:

须要显示两个 Yes 才算胜利,如果 Slave_IO_Running 始终显示Connecting,可能起因是:

  • 在从库中配置的主库地址、端口、用户名、明码等谬误
  • SSL配置谬误,比方应用了谬误的client-key.pem
  • 防火墙问题

请查看日志自行查看,日志地位可通过

show variables like 'log_error'

查看。

没有问题后,尝试在主库中插入数据:

use test;
insert into user values('111',1);

在从库中就能够查问到了:

use test;
select * from user;

9 binlog的加密

8.0.14 开始,MySQL提供了对 binlog 的加密性能,默认状况下,binlog是没有加密的,加密须要应用 keyring 插件或者组件:

实现步骤如下:

  • 装置 keyring_file 插件
  • 批改配置
  • 测试

9.1 装置插件

MySQL提供了以下插件的装置:

因为应用的是社区版,社区版只反对 keyring_file 插件,以此为例。

主库和从库批改配置文件如下:

[mysqld]
early-plugin-load=keyring_file.so
keyring_file_data=/mysql/keyring

重启后,进入 MySQL 查看:

select plugin_name,plugin_status from information_schema.plugins where plugin_name like 'keyring%';

须要处于 ACTIVE 状态,这样就是胜利了。

9.2 批改配置

binlog的加密通过一个零碎变量 binlog_encryption 管制,须要手动开启:

set global binlog_encryption=ON;
set persist binlog_encryption=ON;

开启后查看日志:

show binary logs;

能够看到是加密了的binlog

而之前没有加密的 binlog 能够手动迁徙数据后进行删除。

加密完 binlog 后并不需要批改主从复制的配置,主从复制仍然失效,如下图所示:

主库插入了一个用户从库仍然能 select 到。

10 参考链接

  • MySQL-17.3.2 Encrypting Binary Log Files and Relay Log Files
  • MySQL-6.3.1 Configuring MySQL to Use Encrypted Connections
  • MySQL-4.4.3 mysql_ssl_rsa_setup — Create SSL/RSA Files
  • MySQL-6.4.4.6 Using the keyring_file File-Based Keyring Plugin
  • MySQL-6.4.4.3 Keyring Plugin Installation
  • MySQL-6.4.4.2 Keyring Component Installation
  • MySQL-5.6.2 Obtaining Server Plugin Information
  • MySQL High Availablity-Binary log encryption at rest
  • StackOverflow-MySQL – SSL is required but the server doesn’t support it

正文完
 0