1. Mycat相关文章
Linux安装Mycat1.6.7.4并实现Mysql数据库读写分离简单配置Linux安装Mysql8.0.20并配置主从复制(一主一从,双主双从)Docker部署Mysql8.0.20并配置主从复制Mycat配置分库分表(垂直分库、水平分表)、全局序列
2. 环境准备
- 服务器划分
服务器IP | 备注 |
---|---|
192.168.133.130 | 数据库-1 |
192.168.133.131 | 数据库-2 |
192.168.133.132 | Mycat |
- 表结构
数据库和表依据博客:Mycat配置分库分表(垂直分库、水平分表)、全局序列环境。其中,Mycat连接两个Mysql数据库education
的逻辑库为TESTDB
,Mysql-1中表为mycat_sequence
(Mycat全局序列表)、t_schedule
(课程表)、t_subject_dict
(课程字典表)等,Mysql-2中表为t_student
(学生表)、t_schedule
(课程表)、t_subject_dict
(课程字典表)。
3. 权限配置
- user标签权限控制
在server.xml中,进行用户级别的权限设置:
# server.xml中用户设置
123456
TESTDB
TESTDB
user
TESTDB
true
TESTDB
属性说明如下:
标签属性 | 说明 |
---|---|
user > name | 连接逻辑库用户名 |
password | 连接逻辑库密码 |
schemas | 逻辑库名称:TESTDB |
defaultSchema | 默认逻辑库 |
readOnly | 该用户是否只读,默认:false |
测试:
# 启动Mycat
# 进入Mycat的bin目录
./mycat cosole
# 测试1:user用户(只读)
# 连接Mycat
mysql -uuser -puser -h192.168.133.132 -P8066
# 切换数据库
use TESTDB;
# 查询数据(查询成功)
select * from t_schedule;
# 插入数据
# 插入失败,提示:User readonly
insert into t_student(id, username) values(1, '张三');
# 测试2:root用户(可读可写)
# 连接Mycat
mysql -uroot -p123456 -h192.168.133.132 -P8066
# 切换数据库
use TESTDB;
# 查询数据(查询成功)
select * from t_schedule;
# 插入数据(插入成功)
insert into t_student(id, username) values(1, '张三');
# 查询插入的数据
select * from t_student;
- privileges标签权限控制
在user标签下的privileges标签可以对逻辑库(schema)、表(table)进行更加精确的DML权限控制。
privileges标签的check属性为true则开启权限检查,为false则不开启权限检查,默认为false。
由于Mycat一个用户的schemas属性可配置多个逻辑库(schema),所以privileges标签的下级节点schema同样可配置多个,同时对多库多表进行精确的DML权限控制。
123456
TESTDB
TESTDB
DML权限说明如下:
DML权限 | 新增 | 更新 | 查询 | 删除 |
---|---|---|---|---|
0000 | 禁止 | 禁止 | 禁止 | 禁止 |
0010 | 禁止 | 禁止 | 允许 | 禁止 |
1110 | 允许 | 允许 | 允许 | 禁止 |
1111 | 允许 | 允许 | 允许 | 允许 |
... | ... | ... | ... | ... |
测试:
# 启动Mycat
# 进入Mycat的bin目录
./mycat cosole
# 连接Mycat
mysql -uroot -p123456 -h192.168.133.132 -P8066
# 测试表t_student(0000)
# 查询报错:3012 - The statement DML privilege check is not passed, reject for user 'root'
select * from t_student;
# 新增报错:3012 - The statement DML privilege check is not passed, reject for user 'root'
insert into t_student(id, username) values(4 , '李四');
# 测试表t_schedule(1111)
# 查询正常:OK
select * from t_schedule;
# 更新正常:Affected rows: 1
update t_schedule set subject_code = 'SW' where id = 1;
# 其他权限请自行测试
4. SQL拦截
Mycat的server.xml配置文件中的firewall标签用来定义防火墙,其中firewall标签下的whitehost 标签用来定义IP白名单,firewall标签下的blacklist标签用来定义SQL黑名单。
- 白名单
通过白名单可以指定某个或某些主机可以访问Mycat,其他主机禁止访问。
白名单可以使用通配符%
或*
,这些配置情况下对于127.0.0.1都能以root账户登录。
# 例如
配置指定IP访问:
测试:
# 启动Mycat
# 进入Mycat的bin目录
./mycat cosole
# 其他主机连接Mycat
# root用户
# 连接失败:Access denied for user 'root' with host '192.168.133.131'
mysql -uroot -p123456 -h192.168.133.132 -P8066
# user用户
# 连接成功
mysql -uuer -puser -h192.168.133.132 -P8066
- 黑名单
通过黑名单,可以实现对SQL操作(例如增删改查等)的拦截。
server.xml配置文件下的firewall标签下的blacklist标签用来定义SQL黑名单,它的check属性标识是否开启权限拦截,true为开启,false为不开启,默认为false。
配置黑名单并开启权限检查:
false
黑名单SQL拦截配置属性说明:
配置项 | 默认值 | 说明 |
---|---|---|
selelctAllow | true | 是否允许执行SELECT语句 |
deleteAllow | true | 是否允许执行DELETE语句 |
updateAllow | true | 是否允许执行UPDATE语句 |
insertAllow | true | 是否允许执行INSERT语句 |
createTableAllow | true | 是否允许创建表 |
setAllow | true | 是否允许使用SET语法 |
alterTableAllow | true | 是否允许执行Alter Table语句 |
dropTableAllow | true | 是否允许修改表 |
commitAllow | true | 是否允许执行commit操作 |
rollbackAllow | true | 是否允许执行roll back操作 |
测试:
# 启动Mycat
# 进入Mycat的bin目录
./mycat cosole
# 连接Mycat
mysql -uroot -p123456 -h192.168.133.132 -P8066
# 测试删除
# 删除失败:3012 - The statement is unsafe SQL, reject for user 'root'
delete from t_schedule where id = '123456';