确保网络安全¶
默认情况下,任何可以访问您的网络的人都可以连接到任何Percona XtraDB Cluster节点,可以作为客户端,也可以作为加入雷竞技下载官网集群的另一个节点。这可能会让他们查询你的数据或获得数据的完整副本。
一般来说,禁用到Percona XtraDB Cluster节点的所有远程连接是个好主意。雷竞技下载官网如果您需要网络外部的客户端或节点进行连接,可以为此目的设置VPN(虚拟专用网络)。
防火墙配置¶
防火墙可以让您基于信任的客户端和节点过滤Percona Xt雷竞技下载官网raDB Cluster流量。
默认情况下,Percon雷竞技下载官网a XtraDB集群节点使用以下端口:
3306用于MySQL客户端连接和风场(状态快照传输)通过
, mysqldump.4444用于风场通过雷竞技下载官网Percona XtraBackup.
4567用于写集复制流量(通过TCP)和组播复制(通过TCP和UDP)。
4568用于坚持(增量状态传输)。
理想情况下,您希望确保每个节点上的这些端口只能从受信任的IP地址访问。可以使用iptables,firewalld,pf,或您选择的任何其他防火墙。
使用iptables¶
限制对Percona XtraDB集群端口的雷竞技下载官网访问iptables时,需要将新规则附加到输入过滤台上的链条。在本例中,信任的IP地址范围为192.168.0.1/24。假设只有Percona XtraDB Clust雷竞技下载官网er节点和客户端将从这些ip连接。要启用包过滤,请以root用户在每个Percona XtraDB Cluster节点上运行这些命令。雷竞技下载官网
# iptables——追加INPUT——in-interface eth0 \——协议tcp——比赛tcp——dport3306\——源192.168.0.1/24——跳接受# iptables——追加INPUT——in-interface eth0 \——协议tcp——比赛tcp——dport4444\——源192.168.0.1/24——跳接受# iptables——追加INPUT——in-interface eth0 \——协议tcp——比赛tcp——dport4567\——源192.168.0.1/24——跳接受# iptables——追加INPUT——in-interface eth0 \——协议tcp——比赛tcp——dport4568\——源192.168.0.1/24——跳接受# iptables——追加INPUT——in-interface eth0 \——协议udp——比赛udp——dport4567\——源192.168.0.1/24——跳接受请注意
最后一个开放端口4567,用于UDP上的组播复制。
如果受信任的ip没有顺序,则需要对每个节点上的每个地址运行这些命令。在这种情况下,您可以考虑开放受信任主机之间的所有端口。这样做的安全性稍差,但减少了命令的数量。例如,如果您有三个Percona XtraDB Cluster雷竞技下载官网节点,您可以在每个节点上运行以下命令:
# iptables——追加INPUT——tcp \——源64.57.102.34——跳接受# iptables——追加INPUT——tcp \——源193.166.3.20——跳接受# iptables——追加INPUT——tcp \——源193.125.4.10——跳接受运行上述命令将允许来自其他Percona XtraDB Cluster节点的IP地址的TCP连接。雷竞技下载官网
请注意
你所做的改变iptables不是持久的,除非你保存包过滤状态:
#保存iptables对于使用systemd时,需要将当前包过滤规则保存到指定路径下iptables从开始的时间开始读。该路径可能因分布而异,但通常在/等目录中。例如:
/etc/sysconfig/iptables/etc/iptables/iptables.rules
使用iptables-save更新文件:
# iptables-save > /etc/sysconfig/iptables .使用实例