如何使用SSH加密MySQL復制

這篇文章將為大家詳細講解有關如何使用SSH加密MySQL復制，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

其實MySQL很受人歡迎的原因，有它的免費性與開源性，而且MySQL數據庫擁有比較詳細的文檔與內置支持數據MySQL復制等。
 
但是安全管理員會迅速指出它的一個缺陷：加密。政府對數據隱私保護的要求極為嚴格，通過局域網或廣域網MySQL復制數據都需要加密。
 
盡管可以通過編譯MySQL使其支持SSL，但許多二進制發行版并未激活該功能。打開一個SQL提示符，然后鍵入命令“show variables like ‘%ssl%”。如果“have_ssl”或“have_openssl”被設置為“No”，則很不幸該功能未被激活。幸運的是，我們還有另一種選擇來從源代碼重新編譯。安全外殼（SSH）支持數據隧道（data-tunneling），它可以建立一個類似VPN的迷你環境，來提供透明加密。首先，我們將使用一個用戶名/密碼建立一條SSH隧道。我們將通過使用RSA密鑰對遠端進行認證。一旦隧道正常運行后，我們將設置數據復制。
 
建立隧道
 
SSH隧道使用端口轉發技術來連接到從屬服務器上的一個TCP端口，在本文示例中該端口是7777，它通過SSH被轉發到主MySQL服務器上的TCP端口3306。確保MySQL主服務器端的SSH隧道被激活，默認情況下它一般都處于激活狀態。在MySQL從屬服務器上，執行以下命令“ssh -f user@master_ip -L 7777:master_ip:3306 -N”。使用主服務器的一個系統用戶賬號和IP地址分別替換user和master_ip。你可能希望使用一個僅用于數據MySQL復制的用戶，將其shell設定到/bin/false上。另外你可以使用從服務器上的任何可用端口替換7777。在主數據庫端，你將被提示輸入用戶賬號和密碼。
 
現在從MySQL1從服務器上運行“ -h 127.0.0.1 -P 7777”，來連接MySQL主服務器。切記不能使用localhost，因為在MySQL中它有別的含義。如果需要，可以在該命令后追加“-u -p”來指定一個MySQL賬號和密碼。如果你獲得一個“permission denied”消息，那么需要檢查MySQL主服務器上的授權聲明。
 
授權聲明應該被捆綁到主計算機的真實IP地址，因為它才是被轉發的MySQL1連接的真正源地址。被轉發的連接不是來自于localhost或127.0.0.1。
 
設置復制
 
現在隧道已經建好，接下來該設置數據復制了。這個過程與典型的MySQL復制設置完全相同。編輯主服務器上的my.cnf文件，增加以下兩行代碼：
 
log-bin=mysql-bin
 
server-id=1
 
接下來，創建復制賬號。在MySQL中，運行以下查詢語句：
 
 
 
CREATEUSER’replicationuser’@'master_ip’IDENTIFIEDBY’replicationpassword’; GRANTREPLICATIONSLAVEON*.*TO’replicationuser’@'master_ip’;
在從屬服務器端，將以下代碼增加到my.cnf文件中：
 
 
 
server-id=2 master-host=127.0.0.1
master-user=replicationuser master-password=replicationpassword
master-port=7777
重啟主服務器和從服務器上的MySQL服務。對于新創建的復制環境，你可能需要手動拷貝數據庫到從服務器上。參考MySQL指南（16.1章節），可以獲得創建數據快照和更多復制選項的詳細信息。這一切都做完后，檢查MySQL復制是否生效。
 
分別在主服務器和從服務器上執行一個“select”查詢；返回結果應該是相同的。在主服務器上執行insert、update或delete數據，改變“select”返回結果的記錄集。等待幾秒鐘后，重新執行“select”查詢。如果復制功能已經生效，主從服務器上得到結果應該仍然是相同的。
 
你可能希望使用預共享的RSA密鑰來取代必須鍵入密碼。通過使用密鑰，你可以設置看門狗shell腳本，來確保SSH通道處于激活狀態，而且如果該通道失效，它將自動重啟。另外，考慮在主服務器上創建一個Cron守護進程，來使用當前的unix時間戳來更新數據表。
 
從服務器可以增加一個檢查該值的Cron守護進程。如果它滯后當前時間戳太大，復制功能可能已被破壞，管理員應該收到告警郵件。
 
明確MySQL復制相關的兩點重要事項
 
關于MySQL復制，有兩點重要事項需要記住。首先，其主要目的是災難恢復和高可用性，而非備份。在主服務器上執行的每一條數據更改語句，都將在從服務器端重復執行。因此如果你無意鍵入了“DELETE FROM mytables”語句，并忘記了使用WHERE子句來限定范圍，那么你的數據將會同時在主服務器和從服務器上丟失。
 
第二件需要記住的事情是，你能夠在從服務器上創建、更新和刪除數據。我遇到過有的開發者為了實現高可用性，創建了同時運行在主服務器和從服務器上的應用程序，并更新了一個被復制的表，每次都破壞了復MySQL制功能的正常運行。
 
因此你需要在應用程序中加入檢查邏輯，檢查它是否是運行在一個未激活的從屬系統上，不要向被復制的表寫數據。然后在它上面進行開發者單元測試

關于“如何使用SSH加密MySQL復制”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，使各位可以學到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。