Spec-Zone .ru
спецификации, руководства, описания, API
|
Чтобы использовать SSL для того, чтобы зашифровать передачу двоичного журнала, требуемого во время репликации, и ведущее устройство и ведомое устройство должны поддерживать соединения сети SSL. Если или узел не поддерживает соединения SSL (потому что он не был скомпилирован или сконфигурирован для SSL), репликация через соединение SSL не возможна.
Установка репликации, используя соединение SSL подобна установке сервера и клиента, использующего SSL. Следует получить (или создать), подходящий сертификат безопасности, который можно использовать на ведущем устройстве, и подобном сертификате (от того же самого центра сертификации) на каждом ведомом устройстве.
Для получения дополнительной информации по установке сервера и клиента для связи SSL, см. Раздел 6.3.9.2, "Конфигурируя MySQL для SSL".
Чтобы включить SSL на ведущем устройстве, следует создать или получить подходящие сертификаты, и затем добавить
следующие параметры конфигурации к конфигурации ведущего устройства в пределах [mysqld]
раздел ведущего устройства my.cnf
файл:
[mysqld]ssl-ca=cacert.pem
ssl-cert=server-cert.pem
ssl-key=server-key.pem
Пути к сертификатам могут быть относительными или абсолютными; мы рекомендуем, чтобы Вы всегда использовали полные пути с этой целью.
Опции следующие:
ssl-ca
идентифицирует Центр сертификации (CA)
сертификат.
ssl-cert
идентифицирует открытый ключ сервера. Это
может быть отправлено клиенту и аутентифицироваться против сертификата CA, который это имеет.
ssl-key
идентифицирует закрытый ключ сервера.
На ведомом устройстве Вы имеете две опции в наличии для того, чтобы установить информацию о SSL. Можно или
добавить ведомые сертификаты [client]
раздел ведомого устройства my.cnf
файл, или можно явно определить информацию о SSL, используя CHANGE MASTER TO
оператор:
Чтобы добавить ведомые сертификаты, используя файл опции, добавьте следующие строки
к [client]
раздел ведомого устройства my.cnf
файл:
[client]ssl-ca=cacert.pem
ssl-cert=client-cert.pem
ssl-key=client-key.pem
Перезапустите ведомый сервер, используя --skip-slave-start
опция, чтобы препятствовать тому, чтобы ведомое
устройство соединилось с ведущим устройством. Использовать CHANGE MASTER TO
определить основную конфигурацию, используя
MASTER_SSL
опция, чтобы включить связи SSL:
mysql>CHANGE MASTER TO
->MASTER_HOST='master_hostname',
->MASTER_USER='replicate',
->MASTER_PASSWORD='password',
->MASTER_SSL=1;
Определить опции сертификата SSL, используя CHANGE MASTER TO
оператор, добавьте опции SSL:
mysql>CHANGE MASTER TO
->MASTER_HOST='master_hostname',
->MASTER_USER='replicate',
->MASTER_PASSWORD='password',
->MASTER_SSL=1,
->MASTER_SSL_CA = 'ca_file_name',
->MASTER_SSL_CAPATH = 'ca_directory_name',
->MASTER_SSL_CERT = 'cert_file_name',
->MASTER_SSL_KEY = 'key_file_name';
После того, как основная информация была обновлена, запустите ведомый процесс репликации:
mysql> START SLAVE;
Можно использовать SHOW SLAVE STATUS
оператор, чтобы подтвердить, что соединение SSL было установлено успешно.
Для получения дополнительной информации по CHANGE
MASTER TO
оператор, см. Раздел 13.4.2.1,"CHANGE MASTER TO
Синтаксис".
Если Вы хотите осуществить использование соединений SSL во время репликации, то создайте пользователя с REPLICATION SLAVE
полномочие и использование REQUIRE SSL
опция для того пользователя. Например:
mysql>CREATE USER 'repl'@'%.mydomain.com' IDENTIFIED BY 'slavepass';
mysql>GRANT REPLICATION SLAVE ON *.*
->TO 'repl'@'%.mydomain.com' REQUIRE SSL;
Если учетная запись уже существует, можно добавить REQUIRE SSL
к этому с этим
оператором:
mysql>GRANT USAGE ON *.*
->TO 'repl'@'%.mydomain.com' REQUIRE SSL;