Можно ли защитить Galera Cluster SST через rsync
с SSL / SSH? Эта страница предполагает, что это не так, в частности, следующая цитата:
в отличие
rsync
,xtrabackup
включает встроенную поддержку SSL-шифрования.
Я выполнил все шаги, чтобы защитить базу данных и репликацию.
[mysqld]
ssl-ca = /path/to/ca-cert.pem
ssl-key = /path/to/server-key.pem
ssl-cert = /path/to/server-cert.pem
wsrep_provider_options="socket.ssl_key=/path/to/server-key.pem;socket.ssl_cert=/path/to/server-cert.pem;socket.ssl_ca=/path/to/cacert.pem;socket.checksum=2;socket.ssl_cipher=AES128-SHA"
[mysql]
ssl-ca = /path/to/ca-cert.pem
ssl-key = /path/to/client-key.pem
ssl-cert = /path/to/client-cert.pem
Будут ли эти настройки защищать мой SST за пределами rsync
? Или нет способа обезопасить rsync
SST?
Я знаю, как обезопасить rsync
переводы через SSH с rsync -e ssh
. Однако я не могу найти ответа, как указать эту опцию Galera. Это единственный вариант, который я могу найти:
wsrep_sst_method=rsync
Это важно, потому что в худшем случае мне может потребоваться выполнить SST через WAN.
Я использую MariaDB 10.1.11 с Galera 25.3.12.
Изменить: возможно, вы могли бы просто посмотреть, как в настоящее время работает rsync, и сделать из этого свою собственную версию. Текущий метод находится в файле /usr/bin/wsrep_sst_rsync
и имеет несколько простых rsync
строки, которые вы, вероятно, могли бы настроить для своих нужд.
У меня была такая же проблема, и я наткнулся на это Безопасный сценарий rsync (GitHub), что выглядело многообещающе.
Хотя в конце концов я решил использовать xtrabackup, потому что он, казалось, больше соответствует нашим потребностям, я надеюсь, что это может вам немного помочь. Похоже, что прошло много времени с тех пор, как он был обновлен, поэтому он может вообще не работать. Однако, даже если вы не можете использовать его как есть, возможно, он ответит на другой ваш вопрос: «как указать параметр [-e] для Galera».
Короче, исходя из информации, представленной на странице, кажется, что если настроить wsrep_sst_method=[something]
, Galera запускает файл /usr/bin/wsrep_sst_[something]
. Так что, если вы написали новый сценарий (или изменили сценарий secure_rsync, учитывая, что он вообще работает), вы сможете решить свою головную боль - и мою тоже несколько часов назад!
Простите за такой неопределенный ответ. Вместо этого я бы просто прокомментировал, но мне не хватает уважения к этому.