mysql+ssl主從復(fù)制

主從復(fù)制原理

1. 作為主服務(wù)器Master， 會把自己的每一次改動都記錄到 二進(jìn)制日志 Binarylog 中。 （從服務(wù)器I/O thread會負(fù)責(zé)來讀取master binary log， 然后寫入自身relay log中然后在用自身的sql thread讀取relay log并在自身服務(wù)器執(zhí)行一遍。）
   到這里主服務(wù)器上的更改就同步到從服務(wù)器上了。

環(huán)境：
|centos7| master | slave |

mysql5.7 | 192.168.41.10 | 192.168.41.20 |

1、實(shí)現(xiàn)基于 ssl 安全連接的主從復(fù)制
1） 在主 mysql 創(chuàng)建 SSL/RSA 文件



注：啟用 mysql 支持 ssl 安全連接主要用于 mysql 主從復(fù)制（局域網(wǎng)可以非 ssh 連接即明文
復(fù)制，但 internet 復(fù)制建議采用 ssl 連接）
在主 mysql 上的操作完成，再生成一個復(fù)制帳號：REQUIRE SSL
mysql>grant replication slave on . to 'rep'@'192.168.41.%' identified by '123456' require ssl;

在master上啟用二進(jìn)制日志并重啟mysql服務(wù)
vim /etc/my.cnf
添加log-bin = mysql-bin
systemctl restart mysqld

防火墻規(guī)則3306/tcp通信
[root@localhost bin]# firewall-cmd --permanent --add-port=3306/tcp
success
[root@localhost bin]# firewall-cmd --reload
success

2）從服務(wù)器配置
slave的/etc/my.cnf

注：server_id 要唯一，不能和其他 mysql 主機(jī)的重復(fù)
在master主機(jī)把主 mysql 生成的證書給了從服務(wù)器

設(shè)置 slave client-key.pem 的 r 權(quán)限

繼續(xù)在從上配置 SSL：修改/etc/my.cnf 文件，添加如下內(nèi)容

重啟mysqld服務(wù)
systemctl restart mysqld
ss -napt |grep 3306
進(jìn)入mysql查看ssl是否持久化

那么在配置主從復(fù)制之前可以在從 mysql 上用 SSL 連接主服務(wù)器試試：


SSL 測試連接成功，并且登入的 SSL 協(xié)議是： Cipher in use is DHE-RSA-AES256-SHA
最后開始配置主從 replicate， 登錄slave mysql
在從上 change master to

start slave \啟動從同步進(jìn)程：
查看從的狀態(tài)，以下兩個值必須為 yes,代表從服務(wù)器能正常連接主服務(wù)器
Slave_IO_Running:Yes
Slave_SQL_Running:Yes

測試：
master：

slave：

注意：
主從同步slave同步master，master不同步slave
SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全（Transport Layer Security， TLS）
是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。復(fù)制默認(rèn)是明文進(jìn)行傳輸?shù)?，通過
SSL 加密可以大大提高數(shù)據(jù)的安全性。