[ACDU翻译] MySQL PMM 安全

您可以通过以下方式提高 PMM 安装的安全性：

• SSL 加密以保护客户端和服务器之间的流量；

• Grafana HTTPS 安全 cookie

要查看启用了哪些安全功能：

pmm-admin status
复制

提示

如果可能，您可以通过将 PMM 服务器与 Internet 隔离来获得额外的安全级别。

SSL加密

您需要有效的 SSL 证书来加密客户端和服务器之间的流量。

使用我们的 Docker、OVF 和 AMI 映像，自签名证书位于/srv/nginx.

要使用自己的，您可以：

• 将本地证书目录挂载到同一位置，或者，

• 将您的证书复制到正在运行的 PMM 服务器容器。

挂载证书

例如，如果您自己的证书位于/etc/pmm-certs：

docker run -d -p 443:443 --volumes-from pmm-data \
  --name pmm-server -v /etc/pmm-certs:/srv/nginx \
  --restart always percona/pmm-server:2
复制

• 证书必须由 root 拥有。你可以这样做：chown 0:0 /etc/pmm-certs/*

• 所安装的证书目录（/etc/pmm-certs在本例中）必须包含的文件certificate.crt，certificate.key，ca-certs.pem和dhparam.pem。

• 对于 SSL 加密，容器必须在端口 443 而不是 80 上发布。

复制证书

如果 PMM 服务器作为 Docker 映像运行，则用于docker cp复制证书。此示例将证书文件从当前工作目录复制到正在运行的 PMM 服务器 docker 容器。

docker cp certificate.crt pmm-server:/srv/nginx/certificate.crt
docker cp certificate.key pmm-server:/srv/nginx/certificate.key
docker cp ca-certs.pem pmm-server:/srv/nginx/ca-certs.pem
docker cp dhparam.pem pmm-server:/srv/nginx/dhparam.pem
复制

将 PMM 客户端连接到 PMM 服务器时启用 SSL

pmm-admin config --server-url=https://<user>:<password>@<server IP>
复制

Grafana HTTPS 安全 cookie

启用：

1. 在 Docker 容器中启动一个 shell。

   docker exec -it pmm-server bash
   复制

2. 编辑/etc/grafana/grafana.ini。

3. 启用cookie_secure并将值设置为true。

4. 重新启动 Grafana。

   supervisorctl restart grafana
   复制

• 页面更新 2021-06-29