1 概述
本文主要讲述了如何在主从复制的过程中使用
SSL
进行加密,还有
binlog
加密(
MySQL 8.0.14+
)的实现。
2 环境
-
MySQL 8.0.25
-
Docker
- 一主一从
3 准备容器
先拉取镜像并启动,主库
3306
,从库
3307
,还需要加上
--ssl
参数,以开启
SSL
加密连接的功能:
docker pull mysql
docker run -itd -p 3306:3306 -e MYSQL_ROOT_PASSWORD=123456 --name mysql-master mysql --ssl
docker run -itd -p 3307:3306 -p 33061:33060 -e MYSQL_ROOT_PASSWORD=123456 --name mysql-slave mysql --ssl
启动容器之后进入容器并安装
vim
和
net-tools
:
apt install vim net-tools
同时进入
MySQL
准备好数据源:
create database test;
use test;
create table user(
id int primary key auto_increment,
name varchar(30) not null,
age int not null
);
4 SSL
连接准备
SSL
4.1 确保 SSL
开启
SSL
首先可以进入
MySQL
确保
SSL
功能开启:
4.2 生成 CA
和私钥
CA
默认情况下,在
/var/lib/mysql
下已经有生成的证书和私钥文件,如果不想用默认的,可以重新生成:
sudo mkdir /mysql
sudo chown mysql:mysql /mysql
mysql_ssl_rsa_setup --datadir=/mysql
生成的文件包括:
-
:ca-key.pem
私钥CA
-
:自签名的ca.pem
证书CA
-
:客户端连接时使用的私钥client-key.pem
-
:客户端连接时使用的证书client-cert.pem
-
:服务器端私钥server-key.pem
-
:服务器端证书server-cert.pem
-
/public_key.pem
:密钥对的公钥和私钥private_key.pem
实际使用只需要用到
ca.pem
、服务端私钥证书、客户端私钥证书这五个文件。由于主从复制的时候,主库作为服务端,从库作为客户端,因此
ca.pem
/
server-key.pem
/
server-client.pem
只需要在主库中配置,而
ca.pem
/
client-key.pem
/
client-cert.pem
需要通过
scp
传到从库中。
4.3 修改权限
权限错误会导致
MySQL
无法正常使用
SSL
的功能:
sudo chown mysql:mysql /mysql/*.pem
sudo chmod 400 /mysql/*.pem
sudo chmod 444 /mysql/ca.pem
4.4 修改配置文件
修改主库的配置文件,如下所示:
[mysqld]
ssl_ca=/mysql/ca.pem
ssl_cert=/mysql/server-cert.pem
ssl_key=/mysql/server-key.pem
而从库配置文件 修改如下:
[client]
ssl-ca=/mysql/ca.pem
ssl-cert=/mysql/client-cert.pem
ssl-key=/mysql/client-key.pem
此时从库是没办法连接自己的,只能连接主库,如果需要连接自己,需要将主库的
server-key.pem
/
server-cert.pem
拷贝到从库中,并配置从库的
[mysqld]
:
[mysqld]
ssl_ca=/mysql/ca.pem
ssl_cert=/mysql/server-cert.pem
ssl_key=/mysql/server-key.pem
5 主从复制的其他配置
下面是一些主从复制的最常规最简单的配置,主库仅配置了
id
和需要复制的库:
[mysqld]
server-id=1
binlog-do-db=test
从库的配置如下:
[mysqld]
server-id=2
replicate-do-db=test
修改完后重启主库和从库。
6 创建主从复制的用户
在主库中创建主从复制的用户(具体
ip
请使用
ifconfig
查看):
create user 'repl'@'172.17.0.3' identified with mysql_native_password by '123456' require ssl;
grant replication slave on *.* to 'repl'@'172.17.0.3';
7 修改从库配置指向主库
首先查看主库的状态:
把
File
和
Position
记录下来,并在从库中使用
change master to
/
change replication source to
(
8.0.23+
)设置主库信息:
change master to
master_host = '172.17.0.2',
master_user = 'repl',
master_password = '123456',
master_log_file = 'binlog.000005',
master_log_pos = 156,
master_ssl = 1;
或
change replication source to
source_host = '172.17.0.2',
source_user = 'repl',
source_password = '123456',
source_log_file = 'binlog.000005',
source_log_pos = 156;
source_ssl = 1;
8 启动从库并测试
可以使用
start slave
/
start replica
(
8.0.22+
)启动从库开启复制功能:
start slave
# 或
start replica
启动完成后使用
show slave stauts\G
查看从库状态:
需要显示两个
Yes
才算成功,如果
Slave_IO_Running
一直显示
Connecting
,可能原因是:
- 在从库中配置的主库地址、端口、用户名、密码等错误
-
配置错误,比如使用了错误的SSL
client-key.pem
- 防火墙问题
请查看日志自行检查,日志位置可通过
查看。
没有问题后,尝试在主库中插入数据:
use test;
insert into user values('111',1);
在从库中就可以查询到了:
use test;
select * from user;
9 binlog
的加密
binlog
从
8.0.14
开始,
MySQL
提供了对
binlog
的加密功能,默认情况下,
binlog
是没有加密的,加密需要使用
keyring
插件或者组件:
实现步骤如下:
- 安装
插件keyring_file
- 修改配置
- 测试
9.1 安装插件
MySQL
提供了以下插件的安装:
由于使用的是社区版,社区版只支持
keyring_file
插件,以此为例。
主库和从库修改配置文件如下:
[mysqld]
early-plugin-load=keyring_file.so
keyring_file_data=/mysql/keyring
重启后,进入
MySQL
查看:
需要处于
ACTIVE
状态,这样就是成功了。
9.2 修改配置
binlog
的加密通过一个系统变量
binlog_encryption
控制,需要手动开启:
set global binlog_encryption=ON;
set persist binlog_encryption=ON;
开启后查看日志:
可以看到是加密了的
binlog
:
而之前没有加密的
binlog
可以手动迁移数据后进行删除。
加密完
binlog
后并不需要修改主从复制的配置,主从复制依然生效,如下图所示:
主库插入了一个用户从库依然能
select
到。
10 参考链接
- MySQL-17.3.2 Encrypting Binary Log Files and Relay Log Files
- MySQL-6.3.1 Configuring MySQL to Use Encrypted Connections
- MySQL-4.4.3 mysql_ssl_rsa_setup — Create SSL/RSA Files
- MySQL-6.4.4.6 Using the keyring_file File-Based Keyring Plugin
- MySQL-6.4.4.3 Keyring Plugin Installation
- MySQL-6.4.4.2 Keyring Component Installation
- MySQL-5.6.2 Obtaining Server Plugin Information
- MySQL High Availablity-Binary log encryption at rest
- StackOverflow-MySQL - SSL is required but the server doesn’t support it
如果觉得文章好看,欢迎点赞。
同时欢迎关注微信公众号:氷泠之路。