Galera Rsync SST 通过 SSL/SSH 保护

Galera Rsync SST 通过 SSL/SSH 保护

是否可以通过rsyncSSL/SSH 保护 Galera Cluster SST?这一页这表明事实并非如此,特别是以下引用:

与之不同的是rsyncxtrabackup它包含对内置 SSL 加密的支持。

我已按照所有步骤保护数据库和复制

[mysqld]
ssl-ca = /path/to/ca-cert.pem
ssl-key = /path/to/server-key.pem
ssl-cert = /path/to/server-cert.pem
wsrep_provider_options="socket.ssl_key=/path/to/server-key.pem;socket.ssl_cert=/path/to/server-cert.pem;socket.ssl_ca=/path/to/cacert.pem;socket.checksum=2;socket.ssl_cipher=AES128-SHA"

[mysql]
ssl-ca = /path/to/ca-cert.pem
ssl-key = /path/to/client-key.pem
ssl-cert = /path/to/client-cert.pem

这些设置能保证我的 SST 安全吗rsync?还是说没有办法保证rsyncSST 安全?

我熟悉如何使用 保护rsync通过 SSH 进行的传输rsync -e ssh。然而,我找不到答案,即如何向 Galera 指定该选项。这是我能找到的唯一选项:

wsrep_sst_method=rsync

这很重要,因为 - 在最坏的情况下 - 我可能需要通过 WAN 执行 SST。

我正在使用 MariaDB 10.1.11 和 Galera 25.3.12。

答案1

编辑:也许您可以看看 rsync 当前的工作方式,然后根据这种方式制作自己的版本。当前方法位于文件中/usr/bin/wsrep_sst_rsync,并且有多行简单的rsync代码,您可以对其进行微调以满足您的需求。


我碰巧遇到了同样的问题,并偶然发现了这一点安全 rsync 脚本(GitHub)看起来很有希望。

虽然我最终决定使用 xtrabackup,因为它似乎更适合我们的需求,但我希望这能对你有所帮助。看起来它已经有一段时间没有更新了,所以它可能根本不起作用。然而,即使你不能按原样使用它,也许它会回答你的另一个问题,“如何为 Galera 指定 [-e] 选项”。

简而言之,根据页面上提供的信息,似乎如果您配置wsrep_sst_method=[something],Galera 就会运行文件/usr/bin/wsrep_sst_[something]。因此,如果您编写了一个新脚本(或修改了 secure_rsync 脚本,假设它可以正常工作),您也许能够解决您的头痛问题 - 以及我几个小时前的问题!

抱歉,我给出了如此模糊的答案。我本来应该只给出评论,但我缺乏这样做的尊重。

相关内容