Назад | Перейти на главную страницу

Galera Rsync SST с защитой через SSL / SSH

Можно ли защитить Galera Cluster SST через rsync с SSL / SSH? Эта страница предполагает, что это не так, в частности, следующая цитата:

в отличие rsync, xtrabackup включает встроенную поддержку SSL-шифрования.

Я выполнил все шаги, чтобы защитить базу данных и репликацию.

[mysqld]
ssl-ca = /path/to/ca-cert.pem
ssl-key = /path/to/server-key.pem
ssl-cert = /path/to/server-cert.pem
wsrep_provider_options="socket.ssl_key=/path/to/server-key.pem;socket.ssl_cert=/path/to/server-cert.pem;socket.ssl_ca=/path/to/cacert.pem;socket.checksum=2;socket.ssl_cipher=AES128-SHA"

[mysql]
ssl-ca = /path/to/ca-cert.pem
ssl-key = /path/to/client-key.pem
ssl-cert = /path/to/client-cert.pem

Будут ли эти настройки защищать мой SST за пределами rsync? Или нет способа обезопасить rsync SST?

Я знаю, как обезопасить rsync переводы через SSH с rsync -e ssh. Однако я не могу найти ответа, как указать эту опцию Galera. Это единственный вариант, который я могу найти:

wsrep_sst_method=rsync

Это важно, потому что в худшем случае мне может потребоваться выполнить SST через WAN.

Я использую MariaDB 10.1.11 с Galera 25.3.12.

Изменить: возможно, вы могли бы просто посмотреть, как в настоящее время работает rsync, и сделать из этого свою собственную версию. Текущий метод находится в файле /usr/bin/wsrep_sst_rsync и имеет несколько простых rsync строки, которые вы, вероятно, могли бы настроить для своих нужд.


У меня была такая же проблема, и я наткнулся на это Безопасный сценарий rsync (GitHub), что выглядело многообещающе.

Хотя в конце концов я решил использовать xtrabackup, потому что он, казалось, больше соответствует нашим потребностям, я надеюсь, что это может вам немного помочь. Похоже, что прошло много времени с тех пор, как он был обновлен, поэтому он может вообще не работать. Однако, даже если вы не можете использовать его как есть, возможно, он ответит на другой ваш вопрос: «как указать параметр [-e] для Galera».

Короче, исходя из информации, представленной на странице, кажется, что если настроить wsrep_sst_method=[something], Galera запускает файл /usr/bin/wsrep_sst_[something]. Так что, если вы написали новый сценарий (или изменили сценарий secure_rsync, учитывая, что он вообще работает), вы сможете решить свою головную боль - и мою тоже несколько часов назад!

Простите за такой неопределенный ответ. Вместо этого я бы просто прокомментировал, но мне не хватает уважения к этому.