我有一组生产 mysql 服务器,目前受到限制密码的保护。
我希望在网络级别限制对这些系统的访问,但必须考虑到开发社区的一些成员需要只读访问权限来调试应用程序问题。
我知道我可以通过创建可以从不同 IP 子网在不同级别进行身份验证的 mysql 用户来实现这一点(例如'user'@'10.0.0.8'),但我想避免重构代码以将新用户引入应用程序(这需要相当大的 QA 工作)。
理想情况下,我只想断开 mysql 服务器(在专用子网中)和开发人员(在专用子网中)之间的网络链接,并允许应用程序服务器继续像以前一样访问 mysql 服务器。
某种基于 TCP 的、具有身份验证功能的代理似乎适合此目的。这样,我就可以在代理上创建用户特定帐户,这些帐户将创建审计跟踪,并向开发人员提供短期按需访问权限,而无需修改 MySQL 服务器上的用户数据库。
但是,HAProxy 和 MySQL 代理等软件中的身份验证选项似乎相当有限。
有没有人实现过类似的东西?