centos7.2安装mysql5.7.13实现 ssl 安全连接的主从复制

2018-06-08 17:37 更新

防伪码:不要和我比懒,我懒得和你比。

一、MySQL 5.7 主要特性:

原生支持 Systemd

更好的性能:对于多核 CPU、固态硬盘、锁有着更好的优化

更好的 InnoDB 存储引擎

更为健壮的复制功能:复制带来了数据完全不丢失的方案,传统金融客户也可以选择使用

MySQL 数据库。

注:mysql-5.6.3 已经支持了多线程的主从复制

新增 sys 库:以后这会是 DBA 访问最频繁的库

二、安装 mysql5.7.13

1、系统环境:centos7.2 x86_64

因为 centos7.2 默认安装了 mariadb-libs,所以先要卸载掉

查看是否安装 mariadb

#rpm -qa | grep mariadb

卸载 mariadb

rpm -e --nodeps mariadb-libs

2、安装依赖包

注: 相关依赖包的作用

cmake:由于从 MySQL5.5 版本开始弃用了常规的 configure 编译方法,所以需要 CMake 编译

器,用于设置 mysql 的编译参数。如:安装目录、数据存放目录、字符编码、排序规则等。

Boost #从 MySQL 5.7.5 开始 Boost 库是必需的,mysql 源码中用到了 C++的 Boost 库,要求

必须安装 boost1.59.0 或以上版本

GCC 是 Linux 下的 C 语言编译工具,mysql 源码编译完全由 C 和 C++编写,要求必须安装

GCC

bison:Linux 下 C/C++语法分析器

ncurses:字符终端处理库

1) 安装文件准备

下载 cmake-3.5.tar.gz http://www.cmake.org/download/

下载 ncurses-5.9.tar.gz ftp://ftp.gnu.org/gnu/ncurses/

下载 bison-3.0.4.tar.gz http://ftp.gnu.org/gnu/bison/

下载 mysql-5.7.13.tar.gz

wget http://cdn.mysql.com/Downloads/MySQL-5.7/mysql-5.7.13.tar.gz

下载 Boost_1_59_0.tar.gz

wget http://nchc.dl.sourceforge.net/project/boost/boost/1.59.0/boost_1_59_0.tar.gz

2)安装 CMAKE 及必要的软件

安装 cmake

cmake –version ---查看 cmake 版本

安装 ncurses

安装 bison

安装 bootst

3)创建 mysql 用户和用户组及目录

# groupadd -r mysql && useradd -r -g mysql -s /bin/false -M mysql ---新建 msyql 组和 msyql 用

户禁止登录 shell

#mkdir /usr/local/mysql   ---创建目录

#mkdir /usr/local/mysql/data   ---数据库目录

3、编译安装 mysql

解压 mysql 源码包:

执行 cmake 命令进行编译前的配置:

开始编译、编译安装:

make && make install

注 1:配置解释:

-DCMAKE_INSTALL_PREFIX=/usr/local/mysql  [MySQL 安 装 的 根 目

录] 

-DMYSQL_DATADIR=/usr/local/mysql /data   [MySQL 数据库文件存放目录]

-DSYSCONFDIR=/etc   [MySQL 配置文件所在目录]

-DWITH_MYISAM_STORAGE_ENGINE=1   [添加 MYISAM 引擎支持 ]

-DWITH_INNOBASE_STORAGE_ENGINE=1   [添加 InnoDB 引擎支持 ]

-DWITH_ARCHIVE_STORAGE_ENGINE=1   [添加 ARCHIVE 引擎支持 ]

-DMYSQL_UNIX_ADDR=/usr/local/mysql /mysql.sock   [指定 mysql.sock 位置 ]

-DWITH_PARTITION_STORAGE_ENGINE=1   [安装支持数据库分区 ]

-DEXTRA_CHARSETS=all   [使 MySQL 支持所有的扩展字符]

-DDEFAULT_CHARSET=utf8   [设置 MySQL 的默认字符集为国际编码]

utf8] -DDEFAULT_COLLATION=utf8_general_ci   [设置默认字符集校对规则 ]

-DWITH-SYSTEMD=1   [可以使用 systemd 控制 mysql 服务]

-DWITH_BOOST=/usr/local/boost   [指向 boost 库所在目录]

更多参数执行 [root@localhost mysql-5.7.13]# cmake . –LH

注 2 :为了加快编译速度可以按下面的方式编译安装

make -j $(grep processor /proc/cpuinfo | wc –l) 

-j 参数表示根据 CPU 核数指定编译时的线程数,可以加快编译速度。默认为 1 个线程编译。

注 3:若要 重新运行 cmake 配置,需要删除 CMakeCache.txt 文件

# make clean

#rm -f CMakeCache.txt

优化 Mysql 的执行路径

4、设置权限并初始化 MySQL 系统授权表

# cd /usr/local/mysql

# chown -R mysql:mysql . ---更改所有者,属组,注意是 mysql .

# bin/mysqld --initialize --user=mysql --basedir=/usr/local/mysql

--datadir=/usr/local/mysql/data

注 1:以 root 初始化操作时要加--user=mysql 参数,生成一个随机密码(注意保存登录时用)

注 2:MySQL 5.7.6 之前的版本执行这个脚本初始化系统数据库

/usr/local/mysql/bin/mysql_install_db --user=mysql --basedir=/usr/local/mysql

--datadir=/usr/local/mysql/data

# 5.7.6 之后版本初始系统数据库脚本(本文使用此方式初始化)

#/usr/local/mysql/bin/mysqld --initialize-insecure --user=mysql --basedir=/usr/local/mysql

--datadir=/usr/local/mysql/data

注意:如果使用–initialize 参数初始化系统 数据库 之后,会生成 root 用户的一个临时密码,

如上图标记中所示。

# chown -R mysql:mysql . ---改所有者,注意是 root .

5、创建配置文件

# cd /usr/local/mysql/support-files ---进入 MySQL 安装目录支持文件目录

# cp my-default.cnf /etc/my.cnf ---复制模板为新的配置文件,

修改文件中配置选项,如下图所示,添加如下配置项

#vi /etc/my.cnf

6、配置 mysql 自动启动

若服务启动失败,查看错误日志文件

在 mysqld.service,把默认的 pid 文件指定到了/var/run/mysqld/目录,而并没有事先建立该

目录,因此要手动建立该目录并把权限赋给 mysql 用户。

或者修改/usr/lib/system/system/mysqld.service,修改内容如下:

#systemctl daemon-reload

再次启动 mysql 服务

查看端口号

服务启动成功

访问 MySQL 数据库

# mysql -u root -h 127.0.0.1 -p ---连接 mysql,输入初始化时生成的随机密码

设置数据库管理员用户 root 的密码

7、实现基于 ssl 安全连接的主从复制

1)在主 mysql 创建 SSL/RSA 文件

# cd /usr/local/mysql/bin ---切换目录

# mysql_ssl_rsa_setup --user=mysql --basedir=/usr/local/mysql

--datadir=/usr/local/mysql/data ---创建新的 SSL 文件

重启 mysqld 服务

查看 mysql 的错误日志

报错信息显示是不能获得私钥,执行 ls 查看 server-key.pem

发现没有 r 权限

重启 mysql 服务,这时错误日志中就没有报错了

登录 mysql,执行 mysql> show variables like '%ssl%';

从上图可以看到 mysql 支持了 ssl 安全连接

注:启用 mysql 支持 ssl 安全连接主要用于 mysql 主从复制(局域网可以非 ssh 连接即明文

复制,但 internet 复制建议采用 ssl 连接)

在主 mysql 上的操作完成,再生成一个复制帐号:REQUIRE SSL

在主 mysql 上启用二进制日志并重启 mysql 服务

vi /etc/my.cnf

添加下面的配置项

重启 mysql 服务

查看主 mysql 的状态

注:要记住上图所显示的 file 和 position 的值,配置从服务器要用到

防火墙允许 3306/tcp 通信

2)接着就去从服务器上配置

配置/etc/my.cnf 文件内容

注:server_id 要唯一,不能和其他 mysql 主机的重复

把主 mysql 生成的证书给了从服务器

注:192.168.1.2是从 mysql 的 IP 地址

查看从 主mysql 复制过来的证书

设置 client-key.pem 的 r 权限

继续在从上配置 SSL:修改/etc/my.cnf 文件,添加如下内容

重启 mysqld 服务

查看 SSL 是否被支持:

那么在配置主从复制之前可以在从 mysql 上用 SSL 连接主服务器试试:


注:192.168.1.1是主 mysql 的 ip 地址

SSL 测试连接成功,并且登入的 SSL 协议是: Cipher in use is DHE-RSA-AES256-SHA

最后开始配置主从 replicate, 登录从 mysql

在从上 change master to

启用从服务器

查看从的状态,以下两个值必须为 yes,代表从服务器能正常连接主服务器

Slave_IO_Running:Yes

Slave_SQL_Running:Yes

测试:

在主 mysql 上:

从服务器上

以上同步成功。

总结:

SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)

是为网络通信提供安全及数据完整性的一种安全协议。复制默认是明文进行传输的,通过

SSL 加密可以大大提高数据的安全性。


谢谢观看,真心的希望能帮到您!

本文出自 “一盏烛光” 博客,谢绝转载!

以上内容是否对您有帮助:
在线笔记
App下载
App下载

扫描二维码

下载编程狮App

公众号
微信公众号

编程狮公众号