MySQL基于SSL的主从复制、半同步复制
(一)主从复制的架构图
1.在主数据库上,每执行一个有可能引起数据库发生改变的的语句,都会记录到二进制日志文件中,并把它们保存为事件。
2.每保存一个事件,我们就通过mysql的服务器3306端口发送给另外一台服务器
3.另外一台服务器把这个事件接收下来,接收的时候先保存到本地的中继日志里面
4.然后,mysql从中继日志文件里读一个事件,然后保存到数据文件
(二)一主多从 半同步架构图
1.Master和Slave-1在同一个机房
2.Slave-2和Slave-3在其它机房
3.半同步指的是Master只保证Slave-1同步完成,Slave-2和Slave-3就不管了,异步完成,只要Slave-1返回信息确认成功了,就可以了
一:Master配置
二:Slave配置
三:错误
四:验证是否主从复制
五:半同步复制
六:基于SSL的复制
七:skip-slave-start参数
八:复制过滤
1.1修改/etc/my.cnf
log_bin=/MySQL_BIN_LOG/master-bin log_bin_index=/MySQL_BIN_LOG/maste-bin.index binlog_format=mixed server-id= 1 innodb_file_per_table=1
1.2创建具有复制权限的用户
GRANTR EPLICATION SLAVE ON *.* TO 'repluser'@'192.168.1.112' IDENTIFIEDBY 'replpass';
2.1修改/etc/my.cnf
2.1.1添加配置(中继日志)
relay_log=/MySQL_BIN_LOG/relay-log relay_log_index=/MySQL_BIN_LOG/relay-log.index server-id= 2
2.1.2关闭二进制日志
#log_bin=/MySQL_BIN_LOG/mysql-bin
2.2连接到主服务器执行复制,并指定相关条件
2.2.1查看主服务器使用的是哪个二进制日志和事件位置
2.2.2执行连接到主服务器,并指定从什么地方复制
mysql>CHANGE MASTER TO MASTER_HOST='192.168.1.111', MASTER_USER='repluser', MASTER_PASSWORD='replpass', MASTER_LOG_FILE='master-bin.000001', MASTER_LOG_POS=342;
2.2.3查看从服务器状态
mysql>SHOW SLAVE STATUS \G
2.3启动从服务器
mysql >START SLAVE; 等价于 mysql >START SLAVE IO_Thread; mysql >START SLAVE SQL_Thread;
2.4再次查看从服务器状态
3.分析以及解决错误
3.1重新到Master服务器修改密码,并执行FLUSH PRIVILEGES;并在Slave重启从服务器STOP SLAVE; START SLAVE;发现问题并没有解决,说明不是密码错误原因导致的
3.2查看selinux的状态,如果是enabled,则执行setenforce 0临时关闭,永久关闭需要编辑/etc/sysconfig/selinux文件进行修改
# /usr/sbin/sestatus -v
3.3在Slave服务器上使用repluser连接主服务器看是否能连接上
确定问题是repluser不能由从服务器连接到主服务器,于是想到是否是防火墙没有打开3306端口的原因,于是关闭防火墙service iptables stop临时关闭,(chkconfig iptables off永久关闭),再次在Slave登录,可以登录了,再次重启从服务器,发现问题解决
4.1在Master上创建caoytDB数据库
CREATE DATABASEcaoytDB;
4.2查看Slave的POSITION是否改变
4.3查看Slave上的数据库
4.4把从服务器设置为只读,但对于SUPER权限用户不生效
mysql>SET GLOBAL read_only=1;
4.5在主服务器上某一个事物已经提交了,事务提交以后,相关的二进制日志事件应该写到二进制日志文件中,但是二进制日志有缓存区,那也就意味着,事务提交以后,可能有些事件依然在缓冲区里,还没有写到二进制日志里面去,万一这个时候,主服务器奔溃了,从服务器上,就不能得到相关的事件,也就意味着跟这个事务相关的某些操作还没有复制过来,因为它没有保存到二进制日志当中,二进制没有,那么中继日志就没有,中继日志没有,那么这个事件就不能完整的执行,所以需要在主服务器上设置只要事务提交,就必须立即写到二进制日志当中,不要在缓冲区做任何停留,这样就降低了主从不一致的可能性
sync_binlog=1
5.1要实现半同步需要在Master和Slave各自安装一个插件,这个插件是由Google提供的,在数据库的安装目录的lib/plugin/目录下
5.2 Master上安装rpl_semi_sync_master
mysql>INSTALL PLUGIN rpl_semi_sync_master SONAME 'semisync_master.so';
mysql>SET GLOBAL rpl_semi_sync_master_enabled=1;
5.3 Slave安装rpl_semi_sync_slave
mysql>INSTALL PLUGIN rpl_semi_sync_slave SONAME 'semisync_slave.so';
mysql>SET GLOBAL rpl_semi_sync_slave_enabled=1;
5.4 查看Master服务器的状态
mysql> SHOW GLOBAL STATUS LIKE 'rpl%';
5.5当Rpl_semi_sync_master_clients为0的时候,需要重启Slave的IO_THREAD;
mysql> STOPSLAVE IO_THREAD;
mysql> STARTSLAVE IO_THREAD;
6.1启动Master/Slave的SSL功能
在【mysqld】节点下添加ssl
6.2将Master服务器自己做成CA服务器
# cd /etc/pki/CA/ # (umask 077;openssl genrsa -out private/cakey.pem 2048)
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650
# touch index.txt # echo 01 > serial
6.3为Master创建证书申请并由CA服务器签发证书
# mkdir /usr/local/mysql/ssl # cd /usr/local/mysql/ssl/ # (umask 077;openssl genrsa -out master.key 2048)
# openssl req -new -key master.key -out master.csr -days 3650
# openssl ca -in master.csr -out master.crt -days 3650
说明:图片中标记的地方说要小写,其实大小写都行
6.4为Slave服务器创建证书申请
# mkdir /usr/local/mysql/ssl # cd /usr/local/mysql/ssl # (umask 077;openssl genrsa -out slave.key 2048)
# openssl req -new -key slave.key -out slave.csr -days 3650
6.5为Slave服务器签署证书
【Slave】
# scp slave.csr root@'Master IP':/tmp/
【Master】
# openssl ca -in /tmp/slave.csr -out /tmp/slave.crt -days 3650 # scp /tmp/slave.crt root@'Slave IP':/usr/local/mysql/ssl/
6.6将CA证书拷贝到Slave服务器并为Master拷贝一份
# scp /etc/pki/CA/cacert.pem root@'Slave IP':/usr/local/mysql/ssl/ # cp /etc/pki/CA/cacert.pem /usr/local/mysql/ssl/
6.7修改Master与Slave服务器证书属主、属组为"mysql"用户
# chown -R mysql.mysql /usr/local/mysql/ssl
【Master】
【Slave】
6.8在Master与Slave服务器修改主配置文件开启SSL加密功能
【Master】
ssl #开启SSL功能 ssl_ca = /usr/local/mysql/ssl/cacert.pem #指定CA文件位置 ssl_cert = /usr/local/mysql/ssl/master.crt #指定证书文件位置 ssl_key = /usr/local/mysql/ssl/master.key #指定密钥所在位置
【Slave】
ssl_ca = /usr/local/mysql/ssl/cacert.pem ssl_cert = /usr/local/mysql/ssl/slave.crt ssl_key = /usr/local/mysql/ssl/slave.key
6.9在Master服务器查看SSL加密是否开启;然后创建授权一个基于密钥认证的用户
mysql>GRANT REPLICATION SLAVE ON *.* TO 'repluser'@'192.168.1.112' IDENTIFIED BY'replpass' REQUIRE SSL;
6.10测试使用加密用户指定密钥连接Master服务器
# mysql -urepluser -preplpass -h 192.168.1.111 --ssl-ca=/usr/local/mysql/ssl/cacert.pem --ssl-cert=/usr/local/mysql/ssl/slave.crt --ssl-key=/usr/local/mysql/ssl/slave.key
6.11连接Master服务器
CHANGE MASTER TO MASTER_HOST='192.168.1.111', MASTER_USER='repluser', MASTER_PASSWORD='replpass', MASTER_LOG_FILE='master-bin.000006', MASTER_LOG_POS=107, MASTER_SSL=1, MASTER_SSL_CA='/usr/local/mysql/ssl/cacert.pem', MASTER_SSL_CERT='/usr/local/mysql/ssl/slave.crt', MASTER_SSL_KEY='/usr/local/mysql/ssl/slave.key';
7.从服务器启动起来以后会自动的启动从服务器线程连接到主服务器,万一从服务器奔溃了,下次一启动,它就会自动连接主服务器去复制数据,而有些数据是希望在从服务器上是想跳过去的,因为在主服务器上出现了误操作,比如DROP TABLE,所以不应该让从服务器一启动就去连接主服务器开始复制数据
skip-slave-start
8.1在Master端和Slave分别提供了两类服务器变量用于定义实现复制过滤功能
8.2【Master】
binlog-do-db= #白名单,仅将指定数据库的相关修改操作记录二进制日志 binlog-ignore-db= #黑名单,忽略哪些
虽然有这样的定义,但是不建议在Master端使用,这样会导致Master和Slave两端的二进制日志不一致
8.3【Slave】
replicate-do-db= #白名单,只复制那个数据库的事件 replicate-ignore-db= #黑名单,忽略哪些数据库的事件 replicate-do-table= #仅复制哪些表 replicate-do-table= #忽略哪些表 %和_ (百分号和下划线) replicate-wild-do-table= #通配符的方式定义哪些表复制 replicate-wild-ignore-table= #通配符的方式定义哪些表不复制