У меня есть ферма производственных серверов mysql, которые в настоящее время защищены ограниченными паролями.
Я бы предпочел ограничить доступ к этим системам на сетевом уровне, но должен учитывать тот факт, что некоторым членам сообщества разработчиков требуется доступ только для чтения для устранения проблем с приложениями.
Я знаю, что могу сделать это, создавая пользователей mysql, которые могут аутентифицироваться на разных уровнях из разных подсетей IP (например, 'user'@'10.0.0.8'), но мне бы хотелось избежать необходимости реорганизации кода для введения новых пользователей в приложение (что потребует значительных усилий по обеспечению качества).
В идеале я просто хочу разорвать сетевое соединение между серверами mysql (в выделенной подсети) и разработчиками (в выделенной подсети) и позволить серверам приложений продолжать обращаться к серверам mysql, как и раньше.
Казалось бы, для этой цели подойдет какой-то прокси на основе TCP с аутентификацией. Таким образом, я мог создавать пользовательские учетные записи на прокси-сервере, которые создавали бы контрольный журнал и предоставляли краткосрочный доступ по запросу разработчикам без необходимости возиться с пользовательской базой данных на серверах MySQL.
Однако возможности аутентификации в таких программах, как HAProxy и MySQL proxy, довольно ограничены.
Кто-нибудь реализовал нечто подобное?