1 概述
本文次要讲述了如何在主从复制的过程中应用SSL进行加密,还有binlog加密(MySQL 8.0.14+)的实现。
2 环境
MySQL 8.0.25Docker- 一主一从
3 筹备容器
先拉取镜像并启动,主库3306,从库3307,还须要加上--ssl参数,以开启SSL加密连贯的性能:
docker pull mysqldocker run -itd -p 3306:3306 -e MYSQL_ROOT_PASSWORD=123456 --name mysql-master mysql --ssldocker run -itd -p 3307:3306 -p 33061:33060 -e MYSQL_ROOT_PASSWORD=123456 --name mysql-slave mysql --ssl启动容器之后进入容器并装置vim和net-tools:
apt install vim net-tools同时进入MySQL筹备好数据源:
create database test;use test;create table user( id int primary key auto_increment, name varchar(30) not null, age int not null);4 SSL连贯筹备
4.1 确保SSL开启
首先能够进入MySQL确保SSL性能开启:
show variables like '%ssl%';4.2 生成CA和私钥
默认状况下,在/var/lib/mysql下曾经有生成的证书和私钥文件,如果不想用默认的,能够从新生成:
sudo mkdir /mysqlsudo chown mysql:mysql /mysqlmysql_ssl_rsa_setup --datadir=/mysql生成的文件包含:
ca-key.pem:CA私钥ca.pem:自签名的CA证书client-key.pem:客户端连贯时应用的私钥client-cert.pem:客户端连贯时应用的证书server-key.pem:服务器端私钥server-cert.pem:服务器端证书public_key.pem/private_key.pem:密钥对的公钥和私钥
理论应用只须要用到ca.pem、服务端私钥证书、客户端私钥证书这五个文件。因为主从复制的时候,主库作为服务端,从库作为客户端,因而ca.pem/server-key.pem/server-client.pem只须要在主库中配置,而ca.pem/client-key.pem/client-cert.pem须要通过scp传到从库中。
4.3 批改权限
权限谬误会导致MySQL无奈失常应用SSL的性能:
sudo chown mysql:mysql /mysql/*.pemsudo chmod 400 /mysql/*.pemsudo chmod 444 /mysql/ca.pem4.4 批改配置文件
批改主库的配置文件,如下所示:
[mysqld]ssl_ca=/mysql/ca.pemssl_cert=/mysql/server-cert.pemssl_key=/mysql/server-key.pem而从库配置文件 批改如下:
[client]ssl-ca=/mysql/ca.pemssl-cert=/mysql/client-cert.pemssl-key=/mysql/client-key.pem此时从库是没方法连贯本人的,只能连贯主库,如果须要连贯本人,须要将主库的server-key.pem/server-cert.pem拷贝到从库中,并配置从库的[mysqld]:
[mysqld]ssl_ca=/mysql/ca.pemssl_cert=/mysql/server-cert.pemssl_key=/mysql/server-key.pem5 主从复制的其余配置
上面是一些主从复制的最惯例最简略的配置,主库仅配置了id和须要复制的库:
[mysqld]server-id=1 binlog-do-db=test 从库的配置如下:
[mysqld]server-id=2 replicate-do-db=test 批改完后重启主库和从库。
6 创立主从复制的用户
在主库中创立主从复制的用户(具体ip请应用ifconfig查看):
create user 'repl'@'172.17.0.3' identified with mysql_native_password by '123456' require ssl;grant replication slave on *.* to 'repl'@'172.17.0.3';7 批改从库配置指向主库
首先查看主库的状态:
show master status;把File和Position记录下来,并在从库中应用change master to/change replication source to(8.0.23+)设置主库信息:
change master tomaster_host = '172.17.0.2',master_user = 'repl',master_password = '123456',master_log_file = 'binlog.000005',master_log_pos = 156,master_ssl = 1;或
change replication source tosource_host = '172.17.0.2',source_user = 'repl',source_password = '123456',source_log_file = 'binlog.000005',source_log_pos = 156; source_ssl = 1;8 启动从库并测试
能够应用start slave/start replica(8.0.22+)启动从库开启复制性能:
start slave# 或start replica启动实现后应用
show slave stauts\G查看从库状态:
须要显示两个Yes才算胜利,如果Slave_IO_Running始终显示Connecting,可能起因是:
- 在从库中配置的主库地址、端口、用户名、明码等谬误
SSL配置谬误,比方应用了谬误的client-key.pem- 防火墙问题
请查看日志自行查看,日志地位可通过
show variables like 'log_error'查看。
没有问题后,尝试在主库中插入数据:
use test;insert into user values('111',1);在从库中就能够查问到了:
use test;select * from user;9 binlog的加密
从8.0.14开始,MySQL提供了对binlog的加密性能,默认状况下,binlog是没有加密的,加密须要应用keyring插件或者组件:
实现步骤如下:
- 装置
keyring_file插件 - 批改配置
- 测试
9.1 装置插件
MySQL提供了以下插件的装置:
因为应用的是社区版,社区版只反对keyring_file插件,以此为例。
主库和从库批改配置文件如下:
[mysqld]early-plugin-load=keyring_file.sokeyring_file_data=/mysql/keyring重启后,进入MySQL查看:
select plugin_name,plugin_status from information_schema.plugins where plugin_name like 'keyring%';须要处于ACTIVE状态,这样就是胜利了。
9.2 批改配置
binlog的加密通过一个零碎变量binlog_encryption管制,须要手动开启:
set global binlog_encryption=ON;set persist binlog_encryption=ON;开启后查看日志:
show binary logs;能够看到是加密了的binlog:
而之前没有加密的binlog能够手动迁徙数据后进行删除。
加密完binlog后并不需要批改主从复制的配置,主从复制仍然失效,如下图所示:
主库插入了一个用户从库仍然能select到。
10 参考链接
- MySQL-17.3.2 Encrypting Binary Log Files and Relay Log Files
- MySQL-6.3.1 Configuring MySQL to Use Encrypted Connections
- MySQL-4.4.3 mysql_ssl_rsa_setup — Create SSL/RSA Files
- MySQL-6.4.4.6 Using the keyring_file File-Based Keyring Plugin
- MySQL-6.4.4.3 Keyring Plugin Installation
- MySQL-6.4.4.2 Keyring Component Installation
- MySQL-5.6.2 Obtaining Server Plugin Information
- MySQL High Availablity-Binary log encryption at rest
- StackOverflow-MySQL - SSL is required but the server doesn't support it