本文详细介绍了MySQLGroupReplication(MGR)的安全配置,包括IP地址白名单和SSL支持。MGR通过group_replication_ip_whitelist配置项控制成员资格,确保只有预设的IP地址能加入复制组。默认情况下,MGR会自动将本地网络接口地址加入白名单。同时,文章简述了SSL在MGR中的应用。
https://dev.mysql.com/doc/refman/8.0/en/group-replication-security.html
18.5.1 IP Address Whitelisting
MGR有个配置项可以决定哪些server可以被GR接受,它就是group_replication_ip_whitelist
如果你在s1设置了这个选项,然后s2给s1发送连接想要加入这个组,那么s1就会去whitelist中检查,如果s2在选项中,那么允许,如果不在选项中,那么拒绝
如果你没有显示的配置whitelist,那么MGR引擎(XCom)就会自动根据host的活跃接口自动配置一个私有的子网
这些地址和localhost ip地址会被自动创建
自动生产的whitelist因此包括host中发现的任意网段
IPv4 (as defined in RFC 1918)
10/8 prefix (10.0.0.0 - 10.255.255.255) - Class A
172.16/12 prefix (172.16.0.0 - 172.31.255.255) - Class B
192.168/16 prefix (192.168.0.0 - 192.168.255.255) - Class C
IPv6 (as defined in RFC 4193 and RFC 5156)
fc00:/7 prefix - unique-local addresses
fe80::/10 prefix - link-local unicast addresses
127.0.0.1 - localhost for IPv4
::1 - localhost for IPv6
如果你要手动指定某些whitelist,就需要使用 group_replication_ip_whitelist 选项,必须先停止MGR
mysql> STOP GROUP_REPLICATION;
mysql> SET GLOBAL group_replication_ip_whitelist="192.0.2.21/24,198.51.100.44,203.0.113.0/24,2001:db8:85a3:8d3:1319:8a2e:370:7348,example.org,www.example.com/24";
mysql> START GROUP_REPLICATION;
为了方便,推荐每个服务器都配置相同的whitelist,并且都包括所有 group_replication_group_seeds 的成员
18.5.2 Secure Socket Layer Support (SSL)
这个用的不多,暂时不讲,有需要自己看官方文档
扫一扫
1112
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
