3 votes

leod avatar

Galera Rsync SST sécurisé via SSL/SSH

Demandé el 2 de Février, 2016
Quand la question a-t-elle été
2051 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Est-il possible de sécuriser le SST du cluster Galera via rsync avec SSL/SSH ? Cette page suggère que ce n'est pas le cas, notamment la citation suivante :

Contrairement à rsync , xtrabackup comprend la prise en charge du cryptage SSL intégré.

J'ai suivi toutes les étapes pour sécuriser la base de données et la réplication .

[mysqld]
ssl-ca = /path/to/ca-cert.pem
ssl-key = /path/to/server-key.pem
ssl-cert = /path/to/server-cert.pem
wsrep_provider_options="socket.ssl_key=/path/to/server-key.pem;socket.ssl_cert=/path/to/server-cert.pem;socket.ssl_ca=/path/to/cacert.pem;socket.checksum=2;socket.ssl_cipher=AES128-SHA"

[mysql]
ssl-ca = /path/to/ca-cert.pem
ssl-key = /path/to/client-key.pem
ssl-cert = /path/to/client-cert.pem

Ces paramètres sécuriseront-ils mon SST, en dehors de l'application de la loi sur la protection des données ? rsync ? Ou n'y a-t-il aucun moyen de sécuriser rsync SST ?

Je sais comment sécuriser rsync via SSH avec rsync -e ssh . En revanche, je n'arrive pas à trouver la réponse à la question de savoir comment spécifier cette option à Galera. C'est la seule option que j'ai trouvée :

wsrep_sst_method=rsync

C'est important car, dans le pire des cas, je pourrais avoir besoin d'effectuer un SST sur le WAN.

J'utilise MariaDB 10.1.11 avec Galera 25.3.12.

Demandé el 2 de Février, 2016 par leod

0 votes

Avatar de Don Roby

Duplicata possible de serverfault.com/questions/12102/

Commenté el 8 de Février, 2016 par Don Roby

0 votes

Avatar de leod

@austinian Ce n'est pas une duplication de cette question parce que cette question est sur la façon de sécuriser rsync transferts. Je sais déjà comment sécuriser rsync transferts via ssh. Ce que je demande ici, c'est comment utiliser cette même sécurité avec l'implémentation de Galera de SST via rsync . Il y a très peu d'explications à ce sujet que j'ai pu trouver. La seule option de configuration que j'ai trouvée est wsrep_sst_method=rsync . Il n'y a pas grand-chose à en tirer.

Commenté el 8 de Février, 2016 par leod

0 votes

Avatar de Don Roby

Le transfert via un VPN est-il possible ?

Commenté el 8 de Février, 2016 par Don Roby
Afficher 1 autres commentaires

Réponse

Trop de publicités?

2voto

je4d avatar
je4d Points 146

Edit : Peut-être que vous pourriez simplement regarder la façon dont rsync fonctionne actuellement et faire votre propre version à partir de cela. La méthode actuelle se trouve dans le fichier /usr/bin/wsrep_sst_rsync et a plusieurs plaines rsync que vous pourriez probablement adapter à vos besoins.

J'ai eu le même problème et je suis tombé sur ce site. Sécuriser rsync script (GitHub) qui semblait prometteur.

Bien que j'aie finalement décidé d'utiliser xtrabackup parce qu'il semblait mieux répondre à nos besoins, j'espère que cela pourra vous aider un peu. Il semble que cela fait un moment qu'il n'a pas été mis à jour, donc il se peut qu'il ne fonctionne pas du tout. Cependant, même si vous ne pouvez pas l'utiliser tel quel, cela répondra peut-être à votre autre question, "comment spécifier l'option [-e] à Galera".

En bref, d'après les informations disponibles sur la page, il semble que si vous configurez wsrep_sst_method=[something] Galera cherche à exécuter un fichier /usr/bin/wsrep_sst_[something] . Donc, si vous écriviez un nouveau script (ou si vous modifiiez celui de secure_rsync, étant donné qu'il fonctionne du tout), vous pourriez résoudre votre mal de tête - et le mien, il y a quelques heures aussi !

Désolé d'avoir donné une non-réponse aussi vague. J'aurais bien donné un simple commentaire à la place, mais je n'ai pas le respect nécessaire pour le faire.

Répondu el 9 de Février, 2016 par je4d (146 Points )

0 votes

Avatar de leod

/usr/bin/wsrep_sst_rsync était exactement ce que je cherchais ! Pour une raison quelconque, je ne pouvais pas trouver l'information n'importe où au sujet de comment Galera émet les commandes SST. J'essaierai de modifier ce script et accepterai votre réponse si cela fonctionne.

Commenté el 9 de Février, 2016 par leod

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X