MySQL 主从复制加密以及binlog的加密实现

时间 2021-06-29

标签 html mysql sql docker vim bash 服务器 ide 测试栏目 MySQL 繁體版

原文原文链接

1 概述

本文主要讲述了如何在主从复制的过程当中使用SSL进行加密，还有binlog加密（MySQL 8.0.14+）的实现。html

2 环境

MySQL 8.0.25
Docker
一主一从

3 准备容器

先拉取镜像并启动，主库3306，从库3307，还须要加上--ssl参数，以开启SSL加密链接的功能：mysql

docker pull mysql
docker run -itd -p 3306:3306 -e MYSQL_ROOT_PASSWORD=123456 --name mysql-master mysql --ssl
docker run -itd -p 3307:3306 -p 33061:33060 -e MYSQL_ROOT_PASSWORD=123456 --name mysql-slave mysql --ssl

启动容器以后进入容器并安装vim和net-tools：sql

apt install vim net-tools

同时进入MySQL准备好数据源：docker

create database test;
use test;
create table user(
    id int primary key auto_increment,
    name varchar(30) not null,
    age int not null
);

4 `SSL`链接准备

4.1 确保`SSL`开启

首先能够进入MySQL确保SSL功能开启：vim

show variables like '%ssl%';

4.2 生成`CA`和私钥

默认状况下，在/var/lib/mysql下已经有生成的证书和私钥文件，若是不想用默认的，能够从新生成：bash

sudo mkdir /mysql
sudo chown mysql:mysql /mysql
mysql_ssl_rsa_setup --datadir=/mysql

生成的文件包括：服务器

ca-key.pem：CA私钥
ca.pem：自签名的CA证书
client-key.pem：客户端链接时使用的私钥
client-cert.pem：客户端链接时使用的证书
server-key.pem：服务器端私钥
server-cert.pem：服务器端证书
public_key.pem/private_key.pem：密钥对的公钥和私钥

实际使用只须要用到ca.pem、服务端私钥证书、客户端私钥证书这五个文件。因为主从复制的时候，主库做为服务端，从库做为客户端，所以ca.pem/server-key.pem/server-client.pem只须要在主库中配置，而ca.pem/client-key.pem/client-cert.pem须要经过scp传到从库中。ide

4.3 修改权限

权限错误会致使MySQL没法正常使用SSL的功能：测试

sudo chown mysql:mysql /mysql/*.pem
sudo chmod 400 /mysql/*.pem
sudo chmod 444 /mysql/ca.pem

4.4 修改配置文件

修改主库的配置文件，以下所示：ui

[mysqld]
ssl_ca=/mysql/ca.pem
ssl_cert=/mysql/server-cert.pem
ssl_key=/mysql/server-key.pem

而从库配置文件修改以下：

[client]
ssl-ca=/mysql/ca.pem
ssl-cert=/mysql/client-cert.pem
ssl-key=/mysql/client-key.pem

此时从库是没办法链接本身的，只能链接主库，若是须要链接本身，须要将主库的server-key.pem/server-cert.pem拷贝到从库中，并配置从库的[mysqld]：

[mysqld]
ssl_ca=/mysql/ca.pem
ssl_cert=/mysql/server-cert.pem
ssl_key=/mysql/server-key.pem

5 主从复制的其余配置

下面是一些主从复制的最常规最简单的配置，主库仅配置了id和须要复制的库：

[mysqld]
server-id=1                
binlog-do-db=test

从库的配置以下：

[mysqld]
server-id=2            
replicate-do-db=test

修改完后重启主库和从库。

6 建立主从复制的用户

在主库中建立主从复制的用户（具体ip请使用ifconfig查看）：

create user 'repl'@'172.17.0.3' identified with mysql_native_password by '123456' require ssl;
grant replication slave on *.* to 'repl'@'172.17.0.3';

7 修改从库配置指向主库

首先查看主库的状态：

show master status;

把File和Position记录下来，并在从库中使用change master to/change replication source to（8.0.23+）设置主库信息：

change master to
master_host = '172.17.0.2',
master_user = 'repl',
master_password = '123456',
master_log_file = 'binlog.000005',
master_log_pos = 156,
master_ssl = 1;

或

change replication source to
source_host = '172.17.0.2',
source_user = 'repl',
source_password = '123456',
source_log_file = 'binlog.000005',
source_log_pos = 156;  
source_ssl = 1;

8 启动从库并测试

能够使用start slave/start replica（8.0.22+）启动从库开启复制功能：

start slave
# 或
start replica

启动完成后使用

show slave stauts\G

查看从库状态：

须要显示两个Yes才算成功，若是Slave_IO_Running一直显示Connecting，可能缘由是：

在从库中配置的主库地址、端口、用户名、密码等错误
SSL配置错误，好比使用了错误的client-key.pem
防火墙问题

请查看日志自行检查，日志位置可经过

show variables like 'log_error'

查看。

没有问题后，尝试在主库中插入数据：

use test;
insert into user values('111',1);

在从库中就能够查询到了：

use test;
select * from user;

9 `binlog`的加密

从8.0.14开始，MySQL提供了对binlog的加密功能，默认状况下，binlog是没有加密的，加密须要使用keyring插件或者组件：

实现步骤以下：

安装keyring_file插件
修改配置
测试

9.1 安装插件

MySQL提供了如下插件的安装：

因为使用的是社区版，社区版只支持keyring_file插件，以此为例。

主库和从库修改配置文件以下：

[mysqld]
early-plugin-load=keyring_file.so
keyring_file_data=/mysql/keyring

重启后，进入MySQL查看：

select plugin_name,plugin_status from information_schema.plugins where plugin_name like 'keyring%';

须要处于ACTIVE状态，这样就是成功了。

9.2 修改配置

binlog的加密经过一个系统变量binlog_encryption控制，须要手动开启：

set global binlog_encryption=ON;
set persist binlog_encryption=ON;

开启后查看日志：

show binary logs;

能够看到是加密了的binlog：

而以前没有加密的binlog能够手动迁移数据后进行删除。

加密完binlog后并不须要修改主从复制的配置，主从复制依然生效，以下图所示：

主库插入了一个用户从库依然能select到。