教你构建MySQL主从结构，实现基于SSL加密的主从同步机制。

实验环境RHEL6.4

    admin1.tuchao.com    192.168.1.201    主服务器

    admin2.tuchao.com    192.168.1.202    从服务器

先在两个机器上安装mysql5.5.3,mysql的安装流程我这里就省略了。

主服务器配置&＃xff1a;

设置一个唯一的server_id,在配置文件中定义。

server_id &＃61; 10

启用二进制日志&＃xff0c;默认是启用的。

创建具有复制权限的用户

• grant replication slave,replication client on *.* to &＃39;tuchao&＃39;&＃64;&＃39;192.168.1.%&＃39; identified by &＃39;123456&＃39;;

  
  

注意这里在初始化MySQL完成后要滚动一下日志&＃xff08;flush logs&＃xff1b;&＃xff09;并记录当前的 show master status 状态&＃xff0c;在从服务器上指定同步的状态&＃xff0c;避免了主键重叠的错误。

我们先看下主服务器上的数据

接下来去配置从服务器&＃xff1a;

指定主服务器&＃xff0c;指定同步的二进制日志及

• change master to master_host&＃61;&＃39;192.168.1.201&＃39;,master_user&＃61;&＃39;tuchao&＃39;,master_password&＃61;&＃39;123456&＃39;,master_log_file&＃61;&＃39;mysql-bin.000004&＃39;,master_log_pos&＃61;107;

启动复制线程

• start slave;

• show slave status\G

Seconds_Behind_Master: 0    这个值表示从服务器比主服务器落后多长时间

复制线程正常工作了&＃xff0c;我们看看数据有没有同步过来。

我们还要了解下&＃xff0c;在从服务器数据目录的两个文件。

master.info

relay-log.info  而这个文件则记录了&＃xff0c;当前服务器的中继日志和主服务器的二进制日志及pos位置。

设置MySQL的半同步机制&＃xff0c;先来看看我为大家准备的图&＃xff0c;了解下什么是MySQL的半同步。

Master&＃xff1a;

安装semisync_master.so插件

• install plugin rpl_semi_sync_master soname &＃39;semisync_master.so&＃39;;

查看相关变量。

• show global variables like &＃39;%semi%&＃39;;

&＃43;------------------------------------&＃43;-------&＃43;

| Variable_name                      | Value |

&＃43;------------------------------------&＃43;-------&＃43;

| rpl_semi_sync_master_enabled       | OFF   |

| rpl_semi_sync_master_timeout       | 10000 |

| rpl_semi_sync_master_trace_level   | 32    |

| rpl_semi_sync_master_wait_no_slave | ON    |

&＃43;------------------------------------&＃43;-------&＃43;

默认是功能是关闭的&＃xff0c;需要启动起来。

• set global rpl_semi_sync_master_enabled &＃61; 1;

设置等待slave相应的时间

• set global rpl_semi_sync_master_timeout &＃61; 2000;

再查看验证一下。

> show global variables like &＃39;%semi%&＃39;;

&＃43;------------------------------------&＃43;-------&＃43;

| Variable_name                      | Value |

&＃43;------------------------------------&＃43;-------&＃43;

| rpl_semi_sync_master_enabled       | ON    |

| rpl_semi_sync_master_timeout       | 2000  |

| rpl_semi_sync_master_trace_level   | 32    |

| rpl_semi_sync_master_wait_no_slave | ON    |

&＃43;------------------------------------&＃43;-------&＃43;

Slave&＃xff1a;

安装semisync_slave.so插件

• install plugin rpl_semi_sync_slave soname &＃39;semisync_slave.so&＃39;;

启用功能

• set global rpl_semi_sync_slave_enabled &＃61; 1;

验证

• show global variables like &＃39;rpl_semi%&＃39;;

&＃43;---------------------------------&＃43;-------&＃43;

| Variable_name                   | Value |

&＃43;---------------------------------&＃43;-------&＃43;

| rpl_semi_sync_slave_enabled     | ON    |

| rpl_semi_sync_slave_trace_level | 32    |

&＃43;---------------------------------&＃43;-------&＃43;

重启IO线程&＃xff0c;或者重启Slave都可以。

• stop slave

• start slave

查看主服务器上的semi_sync是否开启&＃xff0c;注意clients 变为1 &＃xff0c;证明主从半同步复制连接成功:

show global status like &＃39;%semi%&＃39;;

可以写到my.cnf中永久生效。

Master  

[mysqld]  

rpl_semi_sync_master_enabled&＃61;1  

rpl_semi_sync_master_timeout&＃61;1000 # 1 second  

innodb_flush_logs_at_trx_commit&＃61;1  当有事务提交时&＃xff0c;会立即记录日志&＃xff0c;并同步到磁盘。

sync_binlog&＃61;1

Slave  

[mysqld]  

rpl_semi_sync_slave_enabled&＃61;1  

read_only&＃61;1

skip_slave_start&＃61;1    跳过自启动Slave

基于SSL加密的同步复制

先在主服务器上自建CA&＃xff0c;生成密钥&＃xff0c;创建自签名证书。

• (umask 077;openssl genrsa -out private/cakey.pem 2048)

• openssl req -new -x509 -key private/cakey.pem  -out cacert.pem -days 365

• touch index.txt

• echo &＃39;01&＃39; >serial

生成密钥&＃xff0c;创建服务证书申请&＃xff0c;签署服务证书。

• cd /usr/local/mysql

• mkdir ssl

• (umask 077;openssl genrsa -out ssl/master.key 2048)

• openssl req -new -key ssl/master.key  -out ssl/master.csr -days 100

• openssl ca -in ssl/master.csr -out ssl/master.crt -days 100

• chown -R mysql.mysql ssl

修改my.cnf添加如下内容&＃xff1a;

ssl

ssl-ca&＃61;/etc/pki/CA/cacert.pem

ssl-cert&＃61;/usr/local/mysql/ssl/master.crt

ssl-key&＃61;/usr/local/mysql/ssl/master.key

重启mysqld服务

来到从服务器&＃xff0c;生成密钥申请证书。

• mkdir ssl
  

• (umask 077;openssl genrsa -out ssl/mysql.key 2048)

• openssl req -new -key ssl/mysql.key  -out ssl/mysql.csr -days 100

把请求书&＃xff0c;复制到CA上。

scp ssl/mysql.csr admin1:/etc/pki/CA

CA签署证书&＃xff0c;并且把签好的证书和CA自己的证书复制到从服务器。

• openssl ca -in mysql.csr -out mysql.crt -days 100

• scp cacert.pem mysql.crt admin2:/usr/local/mysql/ssl/

修改权限

• chown -R mysql.mysql ssl

在从服务器my.cnf文件加入一行ssl。

重启mysql服务

主服务器授权openssl用户

• grant replication slave,replication client on *.* to openssl&＃64;&＃39;admin2.tuchao.com&＃39; identified by &＃39;123456&＃39;;

flush privileges;

切到从服务器&＃xff0c;指定master。

• change master to master_host&＃61;&＃39;admin1.tuchao.com&＃39;,master_user&＃61;&＃39;openssl&＃39;,master_password&＃61;&＃39;123456&＃39;,master_log_file&＃61;&＃39;mysql-bin.000003&＃39;,master_log_pos&＃61;360,master_ssl&＃61;1,master_ssl_ca&＃61;&＃39;/usr/local/mysql/ssl/cacert.pem&＃39;,master_ssl_cert&＃61;&＃39;/usr/local/mysql/ssl/mysql.crt&＃39;,master_ssl_key&＃61;&＃39;/usr/local/mysql/ssl/mysql.key&＃39;;

启动复制线程

• start slave;

查看slave状态

配置成功&＃xff0c;还可以通过命令来检测SSL。

• mysql --ssl-ca&＃61;/usr/local/mysql/ssl/cacert.pem   --ssl-cert&＃61;/usr/local/mysql/ssl/mysql.crt --ssl-key&＃61;/usr/local/mysql/ssl/mysql.key -uopenssl -hadmin1.tuchao.com -p123456

有问题欢迎与我交流QQ1183710107