在CentOS-7中部署基于ssl连接的mysql主从复制

目录：

一、在centos7中安装MysqL5.7

二、基于ssl连接MysqL主从复制

一、mysq 5.7主要新特性：

（1）、原生支持systemd基制

（2）、更好的性能，对于多核cpu，固态硬盘，锁有着更好的优化

（3）、更好的InnoDB存储引擎

（4）、更为健壮的复制功能：复制带来了数据安全不丢失的方案

MysqL 5.6版本之前，MysqL的主从复制采用单线程，缺陷，在有大量的数据在主数据库写入时，从mysq服务器造成延迟复制

MysqL5.6版本之后，MysqL的主从复制采用多线程。

（5）、新增sys库。

二、安装MysqL5.7.13

1、系统环境： centos7.2x86_64

注意：

（1）、在centos7中，已经不提供rpm包的MysqL数据库了。默认的数据库为mariadb-libs

查看是否安装mariadb-libs，如果安装，需卸载

2、安装依赖包

（1）、安装cmake3.5.2

Gmake编译安装：

（2）、安装ncurses-5.9（字符终端处理库）

（3）安装bison：（linux下c/c++语法分析器）

（4）、安装boost：（MysqL源码中用到了c++的boost库，要求必须安装boost1.59或以上版本。）

（5）、创建MysqL用户和用户组及目录

3、编译安装MysqL

解压MysqL源码包，并执行cmake编译：

配置注释：

-DCMAKE_INSTALL_PREFIX=/usr/local/MysqL //MysqL安装的根目录

-DMysqL_DATADIR=/usr/local/MysqL/data //MysqL数据库文件存放目录

-DSYSconfdIR=/etc //MysqL配置文件所在目录

-DWITH_MYISAM_STORAGE_ENGINE=1 //添加MYISAM引擎

-DWITH_INNOBASE_STORAGE_ENGINE=1 //添加INNODB-DWITH_ARCHIVE_STORAGE_ENGINE=1 //添加ARCHIVE引擎支持

-DMysqL_UNIX_ADDR=/usr/local/MysqL/MysqL.sock //指定MysqL.sock位置

-DWITH_PARTITION_STORAGE_ENGINE=1 //安装支持数据库分区

-DWITH_CHARSETS=all //使MysqL支持所有的扩展字符

-DDEFAULT_CHARSET=utf8 //设置MysqL的默认字符集为utf8

-DDEFAULT_COLLATION=utf8_general_ci //设置默认字符集校对规则

-DWITH-SYstemD=1 //可以使用systemd控制MysqL服务

-DWITH_BOOST=/usr/local/boost 指向boost库所在目录

更多参数执行

cmake . -LH //获取帮助信息

（2）、执行make安装

make && make install

注意：或者使用下列方法将快速执行编译安装

make -j $(grep processor /proc/cpuinfo | wc -l) && make install

-j参数表示根据cpu核数指定编译时的线程数，可以加快编译速度，默认为1个线程编译

注：

如果在编译过程中，因敲错字符引起的报错，需要重新运行cmake配置，需要删除CmakeCache.txt

## : make clean

##: rm -f CMakeCache.txt

(3)、优化MysqL的执行路径：

4、设置权限并初始化MysqL系统授权表

设置权限：

初始化MysqL系统授权表

使用此命令进行初始化：

/usr/local/MysqL/bin/MysqLd --initialize-insecure --user=MysqL --basedir=/usr/local/MysqL --datadr=/usr/local/MysqL/data

或者：

/usr/local/MysqL/bin/MysqLd --initialize --user=MysqL --basedir=/usr/local/MysqL --datadir=/usr/local/MysqL/data

这两种命令的区别在于：

第一个命令：初始化数据库，默认采用非安全模式，就是root默认密码为空

第二个命令：初始化数据库，采用安全模式，会给root用户生成一个随机密码。

如下图：

使用root用户登录时，需要输入此生成的密码。

5、创建配置文件：

修改配置文件：添加如下配置项

注释：

18： MysqL数据库的根目录 19：MysqL数据库文件目录 20：端口号3306 21：服务id号 22：MysqL.sock的位置 23：错误日志路径

6、配置MysqL自动启动：

将MysqLd.service服务拷贝至系统服务下/usr/lib/systemd/system

启动服务：

如上图，启动服务时，报错了，接下来看看是哪里报错了：

查看错误日志文件：

vim /usr/local/MysqL/data/MysqLd.err

从文件中找到error错误信息：

第一个信息中可以提取到：不能创建和写入文件，在/var/run/MysqL/MysqLd.pid，

第二个信息中可以提取到：不能创建pid文件，没有这个文件和目录

从这两条信息中，解决办法有两个：

（1）、手动创建此目录，系统提示不能创建，原因就是MysqL用户没有权限操作。

mkdir /var/run/MysqLd

（2）：修改MysqLd.service服务配置文件，修改pid的路径，修改成MysqL用户可以执行的目录下,将其修改成/usr/local/MysqL/MysqLd.pid

如：

修改完服务配置文件后，需要重载服务：

systemctl daemon-reload

在此，我使用的是第二种方法：

此时，MysqLd服务已经正常启动了，查看端口号：

访问MysqL数据库：（使用root用户，并使用刚才初始化数据库时生成的密码）

在启动时报错了：

意思就是：不能通过/var/lib/MysqL/MysqL.sock连接本地MysqL这是因为：centos7中默认安装了mariadb-libs数据库，那使用MysqL命令登录时，系统会默认寻找mariadb这个数据库所存在sock文件的路径，所以会报错。

解决办法：

使用绝对路径来登录：

或者：修改MysqL的主配置文件

vim /etc/my.cnf

添加一下内容：

[client]

default-character-set=utf8

socket=/usr/local/MysqL.sock

[MysqL]

如果遇到登录时报错提示密码过期，直接使用绝对路径登录即可。

修改数据库管理员用户root的密码：

MysqL_5.7.13安装到此就完成了。

下面再来一个案例：

实现ssl安全连接的MysqL主从复制！

首先了解一下ssl连接的几种方式：

（1）、搭建CA服务器，为客户端颁发证书，实现ssl连接

（2）、自签名证书

解释一下MysqL主从复制的原理：

（1）、主服务期将更新的数据保存到bin-log（二进制日志）中

（2）、从服务器使用I/O线程将bin-log中的日志信息拷贝至本机的relay-log（中继日志中）。

（3）从服务器使用sql线程重放中继日志中的更新的数据信息到数据库中。

实验如下：

实验环境：两台MysqL服务器，在centos7操作系统上部署

主服务器ip：192.168.1.10/24

从服务器ip：192.168.1.20/24

实验步骤：

使用自签名认证方式实现ssl安全连接

1、在主MysqL创建ssl/rsa文件

cd /usr/loca/MysqL/bin //在MysqL执行命令的目录下

MysqL_ssl_rsa_setup --user=MysqL --basedir=/usr/local/MysqL --datadir=/usr/local/MysqL/data //创建新的ssl文件

查看一下本地的私钥文件：

fdbB9D5AA87F3C8678">

重启MysqL服务：

登录MysqL，查看ssl状态信息：

从上图中，可以看到MysqL的ssl状态为disabled，就是没有开启的意思，那是什么原因造成的呢，接下来通过错误日志信息，来查看一下：

日志信息太多，直接使用grep命令检索出包含ERROR的信息：

cat /usr/local/MysqL/data/MysqLd.err

错误信息提示：无法从server-key.pem获得私钥

分析此原因应该就是再重启服务时，MysqL用户没有权限读取此文件

查看server-key.pem文件的权限：

发现权限为600，那么其他人没有读取的权限，修改权限，添加r权限

重启服务，再次登录MysqL查看ssl状态信息：

现在MysqL已经支持了ssl安全连接。

2、在主MysqL上创建一个用户，并授予复制权限。用于客户端复制主服务器的更新数据。

在主MysqL上启用二进制日志并重启MysqL服务

重启MysqL服务：

systemctl restart MysqLd.service

查看主MysqL的状态：

注：要记住上图中所标记的file名称，和position位置信息，slave从服务器要用到此信息，标记从什么时候开时复制数据。

3、在防火墙上允许3306/TCP通信：

4、在从服务器上修改MysqL的配置文件

注：server_id要唯一，不可和其他MysqL主机重复

5、将MysqL主服务器生成额证书拷贝至从服务器上：

设置client-key.pem客户端的私钥文件r权限

默认没有r权限

添加r权限

修改从服务器的配置文件

重启MysqLd服务

查看是否有错误日志：

查看ssl是否被支持：

在从服务器上测试使用ssl连接主服务器

配置从服务器，登录MysqL，执行change master to

启动从服务

查看从的状态，确保slave_IO_Running：Yes slave_IO_Running:Yes

show slave status\G

注：

如果MysqL从服务器是克隆过来的，那么slave_IO_Running:的状态就一定为NO，因为slave服务器是克隆的，所以uuid号是一样的，需要修改MysqLd的uuid号

上图标识的文件中记录了MysqLd的uuid号，只需修改一下其中的几个字符或者数字即可，不可添加和删除掉任意字符。

或者从查看slave的状态信息上也可以看到标记有error的错误信息！

修改完后，重启MysqLd服务即可。

测试：

在主服务器上更新数据，查看从服务器是否同步数据

在从服务器上查看是否有test1数据库和AA表。

通过查看从服务器的数据，发现同步成功！

总结：

在实现MysqL的主从复制时，使用了ssl安全连接，大大提高了数据传输的安全性。

原文地址：https://www.jb51.cc/centos/378239.html

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。