如何使用SSH加密MySQL复制

32次阅读

共计 2373 个字符，预计需要花费 6 分钟才能阅读完成。

这篇文章将为大家详细讲解有关如何使用 SSH 加密 MySQL 复制，丸趣 TV 小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。

其实 MySQL 很受人欢迎的原因，有它的免费性与开源性，而且 MySQL 数据库拥有比较详细的文档与内置支持数据 MySQL 复制等。

但是安全管理员会迅速指出它的一个缺陷：加密。政府对数据隐私保护的要求极为严格，通过局域网或广域网 MySQL 复制数据都需要加密。

尽管可以通过编译 MySQL 使其支持 SSL，但许多二进制发行版并未激活该功能。打开一个 SQL 提示符，然后键入命令“show variables like lsquo;%ssl%”。如果“have_ssl”或“have_openssl”被设置为“No”，则很不幸该功能未被激活。幸运的是，我们还有另一种选择来从源代码重新编译。安全外壳（SSH）支持数据隧道（data-tunneling），它可以建立一个类似 VPN 的迷你环境，来提供透明加密。首先，我们将使用一个用户名 / 密码建立一条 SSH 隧道。我们将通过使用 RSA 密钥对远端进行认证。一旦隧道正常运行后，我们将设置数据复制。

建立隧道

SSH 隧道使用端口转发技术来连接到从属服务器上的一个 TCP 端口，在本文示例中该端口是 7777，它通过 SSH 被转发到主 MySQL 服务器上的 TCP 端口 3306。确保 MySQL 主服务器端的 SSH 隧道被激活，默认情况下它一般都处于激活状态。在 MySQL 从属服务器上，执行以下命令“ssh -f user@master_ip -L 7777:master_ip:3306 -N”。使用主服务器的一个系统用户账号和 IP 地址分别替换 user 和 master_ip。你可能希望使用一个仅用于数据 MySQL 复制的用户，将其 shell 设定到 /bin/false 上。另外你可以使用从服务器上的任何可用端口替换 7777。在主数据库端，你将被提示输入用户账号和密码。

现在从 MySQL1 从服务器上运行“-h 127.0.0.1 -P 7777”，来连接 MySQL 主服务器。切记不能使用 localhost，因为在 MySQL 中它有别的含义。如果需要，可以在该命令后追加“-u -p”来指定一个 MySQL 账号和密码。如果你获得一个“permission denied”消息，那么需要检查 MySQL 主服务器上的授权声明。

授权声明应该被捆绑到主计算机的真实 IP 地址，因为它才是被转发的 MySQL1 连接的真正源地址。被转发的连接不是来自于 localhost 或 127.0.0.1。

设置复制

现在隧道已经建好，接下来该设置数据复制了。这个过程与典型的 MySQL 复制设置完全相同。编辑主服务器上的 my.cnf 文件，增加以下两行代码：

log-bin=mysql-bin

server-id=1

接下来，创建复制账号。在 MySQL 中，运行以下查询语句：

CREATEUSER rsquo;replicationuser rsquo;@ master_ip rsquo;IDENTIFIEDBY rsquo;replicationpassword rsquo;; GRANTREPLICATIONSLAVEON*.*TO rsquo;replicationuser rsquo;@ master_ip rsquo;;
在从属服务器端，将以下代码增加到 my.cnf 文件中：

server-id=2 master-host=127.0.0.1
master-user=replicationuser master-password=replicationpassword
master-port=7777
重启主服务器和从服务器上的 MySQL 服务。对于新创建的复制环境，你可能需要手动拷贝数据库到从服务器上。参考 MySQL 指南（16.1 章节），可以获得创建数据快照和更多复制选项的详细信息。这一切都做完后，检查 MySQL 复制是否生效。

分别在主服务器和从服务器上执行一个“select”查询；返回结果应该是相同的。在主服务器上执行 insert、update 或 delete 数据，改变“select”返回结果的记录集。等待几秒钟后，重新执行“select”查询。如果复制功能已经生效，主从服务器上得到结果应该仍然是相同的。

你可能希望使用预共享的 RSA 密钥来取代必须键入密码。通过使用密钥，你可以设置看门狗 shell 脚本，来确保 SSH 通道处于激活状态，而且如果该通道失效，它将自动重启。另外，考虑在主服务器上创建一个 Cron 守护进程，来使用当前的 unix 时间戳来更新数据表。

从服务器可以增加一个检查该值的 Cron 守护进程。如果它滞后当前时间戳太大，复制功能可能已被破坏，管理员应该收到告警邮件。

明确 MySQL 复制相关的两点重要事项

关于 MySQL 复制，有两点重要事项需要记住。首先，其主要目的是灾难恢复和高可用性，而非备份。在主服务器上执行的每一条数据更改语句，都将在从服务器端重复执行。因此如果你无意键入了“DELETE FROM mytables”语句，并忘记了使用 WHERE 子句来限定范围，那么你的数据将会同时在主服务器和从服务器上丢失。

第二件需要记住的事情是，你能够在从服务器上创建、更新和删除数据。我遇到过有的开发者为了实现高可用性，创建了同时运行在主服务器和从服务器上的应用程序，并更新了一个被复制的表，每次都破坏了复 MySQL 制功能的正常运行。

因此你需要在应用程序中加入检查逻辑，检查它是否是运行在一个未激活的从属系统上，不要向被复制的表写数据。然后在它上面进行开发者单元测试