概述

本文主要讲述了如何在主从复制的过程中使用SSL
进行加密，还有binlog
加密（MySQL 8.0.14+
）的实现。

环境

• MySQL 8.0.25
  
• Docker
  
• 一主一从

准备容器

先拉取镜像并启动，主库3306
，从库3307
，还需要加上--ssl
参数，以开启SSL
加密连接的功能：

docker pull mysql
docker run -itd -p 3306:3306 -e MYSQL_ROOT_PASSWORD=123456 --name mysql-master mysql --ssl
docker run -itd -p 3307:3306 -p 33061:33060 -e MYSQL_ROOT_PASSWORD=123456 --name mysql-slave mysql --ssl

复制

启动容器之后进入容器并安装vim
和net-tools
：

apt install vim net-tools

复制

同时进入MySQL
准备好数据源：

create database test;
use test;
create table user(
 id int primary key auto_increment,
 name varchar(30) not null,
 age int not null
);

复制

SSL
连接准备

确保SSL
开启

首先可以进入MySQL
确保SSL
功能开启：

show variables like '%ssl%';

复制

生成CA
和私钥

默认情况下，在/var/lib/mysql
下已经有生成的证书和私钥文件，如果不想用默认的，可以重新生成：

sudo mkdir /mysql
sudo chown mysql:mysql /mysql
mysql_ssl_rsa_setup --datadir=/mysql

复制

生成的文件包括：

• ca-key.pem
  ：CA
  私钥
• ca.pem
  ：自签名的CA
  证书
• client-key.pem
  ：客户端连接时使用的私钥
• client-cert.pem
  ：客户端连接时使用的证书
• server-key.pem
  ：服务器端私钥
• server-cert.pem
  ：服务器端证书
• public_key.pem
  /private_key.pem
  ：密钥对的公钥和私钥

实际使用只需要用到ca.pem
、服务端私钥证书、客户端私钥证书这五个文件。由于主从复制的时候，主库作为服务端，从库作为客户端，因此ca.pem
/server-key.pem
/server-client.pem
只需要在主库中配置，而ca.pem
/client-key.pem
/client-cert.pem
需要通过scp
传到从库中。

修改权限

权限错误会导致MySQL
无法正常使用SSL
的功能：

sudo chown mysql:mysql /mysql/*.pem
sudo chmod 400 /mysql/*.pem
sudo chmod 444 /mysql/ca.pem

复制

修改配置文件

修改主库的配置文件，如下所示：

[mysqld]
ssl_ca=/mysql/ca.pem
ssl_cert=/mysql/server-cert.pem
ssl_key=/mysql/server-key.pem

复制

而从库配置文件 修改如下：

[client]
ssl-ca=/mysql/ca.pem
ssl-cert=/mysql/client-cert.pem
ssl-key=/mysql/client-key.pem

复制

此时从库是没办法连接自己的，只能连接主库，如果需要连接自己，需要将主库的server-key.pem
/server-cert.pem
拷贝到从库中，并配置从库的[mysqld]
：

[mysqld]
ssl_ca=/mysql/ca.pem
ssl_cert=/mysql/server-cert.pem
ssl_key=/mysql/server-key.pem

复制

主从复制的其他配置

下面是一些主从复制的最常规最简单的配置，主库仅配置了id
和需要复制的库：

[mysqld]
server-id=1                
binlog-do-db=test         

复制

从库的配置如下：

[mysqld]
server-id=2            
replicate-do-db=test   

复制

修改完后重启主库和从库。

创建主从复制的用户

在主库中创建主从复制的用户（具体ip
请使用ifconfig
查看）：

create user 'repl'@'172.17.0.3' identified with mysql_native_password by '123456' require ssl;
grant replication slave on *.* to 'repl'@'172.17.0.3';

复制

修改从库配置指向主库

首先查看主库的状态：

show master status;

复制

把File
和Position
记录下来，并在从库中使用change master to
/change replication source to
（8.0.23+
）设置主库信息：

change master to
master_host = '172.17.0.2',
master_user = 'repl',
master_password = '123456',
master_log_file = 'binlog.000005',
master_log_pos = 156,
master_ssl = 1;

复制

或

change replication source to
source_host = '172.17.0.2',
source_user = 'repl',
source_password = '123456',
source_log_file = 'binlog.000005',
source_log_pos = 156;  
source_ssl = 1;

复制

启动从库并测试

可以使用start slave
/start replica
（8.0.22+
）启动从库开启复制功能：

start slave
# 或
start replica

复制

启动完成后使用

show slave stauts\G

复制

查看从库状态：

需要显示两个Yes
才算成功，如果Slave_IO_Running
一直显示Connecting
，可能原因是：

• 在从库中配置的主库地址、端口、用户名、密码等错误
• SSL
  配置错误，比如使用了错误的client-key.pem
  
• 防火墙问题

请查看日志自行检查，日志位置可通过

show variables like 'log_error'

复制

查看。

没有问题后，尝试在主库中插入数据：

use test;
insert into user values('111',1);

复制

在从库中就可以查询到了：

use test;
select * from user;

复制

binlog
的加密

从8.0.14
开始，MySQL
提供了对binlog
的加密功能，默认情况下，binlog
是没有加密的，加密需要使用keyring
插件或者组件：

实现步骤如下：

• 安装keyring_file
  插件
• 修改配置
• 测试

安装插件

MySQL
提供了以下插件的安装：

由于使用的是社区版，社区版只支持keyring_file
插件，以此为例。

主库和从库修改配置文件如下：

[mysqld]
early-plugin-load=keyring_file.so
keyring_file_data=/mysql/keyring

复制

重启后，进入MySQL
查看：

select plugin_name,plugin_status from information_schema.plugins where plugin_name like 'keyring%';

复制

需要处于ACTIVE
状态，这样就是成功了。

修改配置

binlog
的加密通过一个系统变量binlog_encryption
控制，需要手动开启：

set global binlog_encryption=ON;
set persist binlog_encryption=ON;

复制

开启后查看日志：

show binary logs;

复制

可以看到是加密了的binlog
：

而之前没有加密的binlog
可以手动迁移数据后进行删除。

加密完binlog
后并不需要修改主从复制的配置，主从复制依然生效，如下图所示：

主库插入了一个用户从库依然能select
到。

参考链接

• MySQL-17.3.2 Encrypting Binary Log Files and Relay Log Files-https://dev.mysql.com/doc/refman/8.0/en/replication-binlog-encryption.html
  
• MySQL-6.3.1 Configuring MySQL to Use Encrypted Connections-https://dev.mysql.com/doc/refman/8.0/en/using-encrypted-connections.html#using-encrypted-connections-client-side-configuration
  
• MySQL-4.4.3 mysql_ssl_rsa_setup — Create SSL/RSA Files-https://dev.mysql.com/doc/refman/8.0/en/mysql-ssl-rsa-setup.html
  
• MySQL-6.4.4.6 Using the keyring_file File-Based Keyring Plugin-https://dev.mysql.com/doc/refman/8.0/en/keyring-file-plugin.html
  
• MySQL-6.4.4.3 Keyring Plugin Installation-https://dev.mysql.com/doc/refman/8.0/en/keyring-plugin-installation.html
  
• MySQL-6.4.4.2 Keyring Component Installation-https://dev.mysql.com/doc/refman/8.0/en/keyring-component-installation.html
  
• MySQL-5.6.2 Obtaining Server Plugin Information-https://dev.mysql.com/doc/refman/8.0/en/obtaining-plugin-information.html
  
• MySQL High Availablity-Binary log encryption at rest-https://mysqlhighavailability.com/binary-log-encryption-at-rest/
  
• StackOverflow-MySQL - SSL is required but the server doesn't support it-https://stackoverflow.com/questions/59036777/mysql-ssl-is-required-but-the-server-doesnt-support-it