Ssh

Galera Rsync SST 通過 SSL/SSH 保護

  • February 11, 2016

是否可以通過rsyncSSL/SSH 保護 Galera Cluster SST?此頁面表明它不是,特別是以下引用:

與 不同rsyncxtrabackup包括對內置 SSL 加密的支持。

我已按照所有步驟保護數據庫和複製

[mysqld]
ssl-ca = /path/to/ca-cert.pem
ssl-key = /path/to/server-key.pem
ssl-cert = /path/to/server-cert.pem
wsrep_provider_options="socket.ssl_key=/path/to/server-key.pem;socket.ssl_cert=/path/to/server-cert.pem;socket.ssl_ca=/path/to/cacert.pem;socket.checksum=2;socket.ssl_cipher=AES128-SHA"

[mysql]
ssl-ca = /path/to/ca-cert.pem
ssl-key = /path/to/client-key.pem
ssl-cert = /path/to/client-cert.pem

這些設置會保護我的 SSTrsync嗎?還是沒有辦法保護rsyncSST?

我熟悉如何rsync通過 SSH 和rsync -e ssh. 但是,我找不到答案是如何為 Galera 指定該選項。這是我能找到的唯一選擇:

wsrep_sst_method=rsync

這很重要,因為 - 在最壞的情況下 - 我可能需要通過 WAN 執行 SST。

我正在使用 MariaDB 10.1.11 和 Galera 25.3.12。

編輯:也許你可以看看 rsync 目前的工作方式,然後製作你自己的版本。目前方法駐留在文件中/usr/bin/wsrep_sst_rsync,並且有多個簡單rsync的行,您可能可以對其進行微調以滿足您的需要。


我碰巧遇到了同樣的問題,偶然發現了這個看起來很有希望的安全 rsync 腳本(GitHub)。

雖然我最終決定使用 xtrabackup 是因為它似乎更適合我們的需求,但我希望這對您有所幫助。看起來它已經有一段時間沒有更新了,所以它可能根本不起作用。但是,即使您不能按原樣使用它,它也可能會回答您的另一個問題,“如何指定

$$ -e $$加萊拉的選擇”。 簡而言之,根據頁面上提供的資訊,似乎如果您配置wsrep_sst_method=[something],Galera 看起來會執行一個文件/usr/bin/wsrep_sst_[something]。因此,如果您編寫了一個新腳本(或修改了 secure_rsync 腳本,因為它完全可以工作),您也許可以解決您的頭痛問題——而且我的頭痛也可以從幾個小時前開始!

很抱歉給出如此模糊的非答案。我本來只是發表評論,但我缺乏這樣做的尊重。

引用自:https://serverfault.com/questions/753518