SSL安全套接层,即其继任者传输层安全是为网络通信提供安全即数据完整性的一种安全协议。复制默认是明文进行传输,通过SSL加密可以大大提高数据的安全性。
拓扑图:
在主mysql创建SSL/RSA文件
cd /usr/local/mysql/bin
mysql_ssl_rsa_setup --user=mysql --basedir=/usr/local/mysql --datadir=/usr/local/mysql/dsata 创建新的SSL文件
重启mysqld服务:
systemctl restart mysqld
查看错误日志:
vim /usr/local/mysql/data/mysqld.err
根据报错信息显示不能获得私钥,我们就可以查看这个文件,用命令ls
没有r权限,所以使用chmod设置权限。
chmod +r /usr/local/mysql/data/server-key.pem
然后设置完权限,重启mysql服务。登录mysql,执行show variables like '%ssl%';
注意:启用mysql支持ssl安全连接主要用于mysql主从复制,internet复制建议采用ssl连接。
在主mysql上的操作完成后,再生成一个复制账号:REQUIRE SSL
在mysql上启用二进制日志并重启mysql服务
vim /etc/my.cnf
log-bin=mysql-bin 在mysql主配置文件添加此行
systemct restart mysqld
查看主mysql的状态:show master status;
需要记住file和position的值,因为从服务器中需要
防火墙允许3306/tcp通信
firewall-cmd --permanent --add-port=3306/tcp
firewall-cmd --reload
从服务器上配置主配置文件
注意的是主从服务器的主配置文件中的server_id要唯一。不能重复
把主mysql生成的证书给了从服务器
scap ca.pem client-cert.pem client-key.pem [email protected]:/usr/local/mysql/data
设置client-key.pem的r权限
chmod +r client-key.pem
配置SSL:修改主配置文件/etc/my.cnf,添加内容
重启mysqld服务
然后查看是否有错误日志
查看SSL是否被支持
在配置主从复制之前可以在mysql上用SSL连接主服务器测试
cd /usr/local/mysql/data
mysql --ssl-ca=ca.pem --ssl-cert=client-cert.pem --ssk-key=client-key.pem -u rep -p123456 -h 10.0.0.1
SSL测试连接成功,并且登入的SSL协议是:Cipher in use is DHE-RSA-AES256-SHA
最后开始配置主从replicate,登录从mysql
启动从:
查看从的状态:
slave_IO_Running:Yes
Slave_SQL_Running:Yes
测试:可以在主服务器上创建一个表,表中插入一行数据。
create database db1 创建数据库
use db1 进入db1数据库
create table test (id int); 创建一个名为test的表
insert into test values(1); 向表test中插入数据1
select * from test; 查看test表
在从服务器上
show databases; 查看所有数据库
use db1; 进入db1数据库
show tables; 查看数据库中的所有表
select * from test; 查看test表中的数据