證書準(zhǔn)備:
CA證書:
第一步:創(chuàng)建CA私鑰
[root@localhost CA]# (umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
第二步:生成自簽證書
[root@localhost CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
————————————————————————————–
mysql準(zhǔn)備私鑰及證書申請文件 :
第一步:創(chuàng)建mysql私鑰:
[root@localhost ~]# (umask 066;openssl genrsa -out /var/lib/mysql/ssl/mysql.key 2048)
第二步:生成證書申請文件及發(fā)送給CA服務(wù)端
[root@localhost ~]# openssl req -new -key /var/lib/mysql/ssl/mysql.key -days 365 -out /var/lib/mysql/ssl/mysql.csr
注意:國家���,省 �,公司名稱必須和CA一致
將證書申請文件發(fā)送至CA服務(wù)器
————————————————————————————–
在CA服務(wù)器端頒發(fā)證書:
[root@localhost CA]# openssl ca -in /tmp/mysql.csr -out /tmp/mysql.crt -days 365
附上查看證書中的信息命令:
openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|subject|serial|dates
————————————————————————————–
將證書發(fā)送至mysql服務(wù)器
以及將CA的自簽證書發(fā)送至從服務(wù)器
證書準(zhǔn)備動作到此結(jié)束
基于ssl功能實現(xiàn)主從復(fù)制,是主從雙方都需要互相驗證���,即從服務(wù)器也要有自己的證書����。
所以����,按照上述流程,生成slave服務(wù)器的證書
================================================
配置mysql服務(wù)端:
在主服務(wù)器端查看關(guān)于ssl有關(guān)的參數(shù) 及 主從復(fù)制–主服務(wù)器 的配置項:
MariaDB [(none)]> show variables like ‘%ssl%';
由于ssl功能配置項為全局配置參數(shù)���,所以 編輯 /etc/my.cnf 文件 :
由于是客戶端驗證服務(wù)端,所以只需要配置 ssl_cert(mysql服務(wù)器端的證書位置)�、ssl_key(mysql私鑰位置)與ssl_ca(CA證書位置)即可
開啟服務(wù)���,并檢查:
————————————————————————————–
創(chuàng)建一個基于ssl功能�,從服務(wù)器用于復(fù)制mysql主服務(wù)器數(shù)據(jù)庫的最小權(quán)限賬號:
MariaDB [(none)]> GRANT REPLICATION SLAVE,REPLICATION CLIENT ON *.* TO ‘slave1'@'10.1.35.25' IDENTIFIED BY ‘passwd' REQUIRE ssl ;
查看binlog位置���,并記錄����,用于從服務(wù)器配置:
MariaDB [(none)]> SHOW MASTER LOGS;
================================================
從服務(wù)器配置:
編輯 /etc/my.cnf �,由于是從服務(wù)器,所以需要開啟中繼日志(relay_log)���,且server_id不應(yīng)與同一層面的mysql服務(wù)器相同
啟動mysql服務(wù),并檢查:
————————————————————————————–
配置從服務(wù)器���,指向主服務(wù)器(這是是全局配置參數(shù),但是不建議寫在配置文件/etc/my.cnf 中,因為如果slave因意外宕機����,在為了檢查數(shù)據(jù)完整性的情況下����,再啟動mysql的時候,也會自動啟動復(fù)制功能�,不利于排查錯誤)
MariaDB [(none)]> CHANGE MASTER TO MASTER_HOST='10.1.35.1′,MASTER_USER='slave1′,MASTER_PASSWORD='passwd',MASTER_LOG_FILE=' master-log.000025 ‘,MASTER_LOG_POS= 245 , MASTER_SSL =1, MASTER_SSL_CA ='/var/lib/mysql/ssl/cacert.pem', MASTER_SSL_CERT ='/var/lib/mysql/ssl/slave.crt', MASTER_SSL_KEY ='/var/lib/mysql/ssl/slave.key';
MariaDB [(none)]> START SLAVE;
================================================
驗證主從效果:
————————————————————————————–
主服務(wù)器創(chuàng)建數(shù)據(jù)庫 mydb
————————————————————————————–
從服務(wù)器查看:
================================================
總結(jié):
復(fù)制時應(yīng)該注意的問題:
1�、從服務(wù)設(shè)定為“只讀”���;(雙主模式無需設(shè)置)
在從服務(wù)器啟動read_only���,但僅對非SUPER權(quán)限的用戶有效�;
阻止所有用戶:
mysql> FLUSH TABLES WITH READ LOCK;
2、盡量確保復(fù)制時的事務(wù)安全
在master節(jié)點啟用參數(shù):
sync_binlog = ON #每次事務(wù)提交的時候����,都立即將二進(jìn)制日志時間都重內(nèi)存同步到磁盤中�,能確保從服務(wù)器能立即得到事件�,而且能保護(hù)本地數(shù)據(jù)安全
如果用到的是InnoDB存儲引擎:
innodb_flush_logs_at_trx_commit=ON #在事務(wù)提交時,立即刷寫事務(wù)日志從內(nèi)存到磁盤上
innodb_support_xa=ON #支持分布式事務(wù)
#這兩項啟動起來����,能在一定程度上確保從服務(wù)器能夠立即得到主服務(wù)器的最新事件
3����、從服務(wù)器意外中止時 盡量避免自動啟動復(fù)制線程
由于數(shù)據(jù)是重要的���,服務(wù)器能意外終止的時間都是奇異的�,所以����,終止后不要讓從服務(wù)器自動啟動復(fù)制線程,等人工手動排查后才從新開啟復(fù)制線程;有可能復(fù)制線程復(fù)制到一半的時候出現(xiàn)意外����,復(fù)制線程或許沒有這種功能—–不知道時候需要再次復(fù)制上次中斷的事件
4���、從節(jié)點:設(shè)置參數(shù)
每一個從服務(wù)器都會保存一個文件 relay-log-info����,是記錄在主服務(wù)器上復(fù)制二進(jìn)制日志的位置���,以及本地中繼日志的位置�,為避免產(chǎn)生繁忙的IO操作,這些參數(shù)都是先保存在內(nèi)存上的,到一定程度才會同步到磁盤上的����, 所以不安全
sync_master_info=ON
sync_relay_log_info=ON
以上兩項為立即刷寫數(shù)據(jù)從內(nèi)存到磁盤
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識�,若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系�,我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com
