centos7 mysql libssl_在CentOS-7中部署基于ssl连接的mysql主从复制

目录：

一、在centos7中安装mysql5.7

二、基于ssl连接mysql主从复制

一、mysq 5.7主要新特性：

(1)、原生支持systemd基制

(2)、更好的性能，对于多核cpu，固态硬盘，锁有着更好的优化

(3)、更好的InnoDB存储引擎

(4)、更为健壮的复制功能：复制带来了数据安全不丢失的方案

mysql 5.6版本之前，mysql的主从复制采用单线程，缺陷，在有大量的数据在主数据库写入时，从mysq服务器造成延迟复制

mysql5.6版本之后，mysql的主从复制采用多线程。

(5)、新增sys库。

二、安装mysql5.7.13

1、系统环境：centos7.2x86_64

注意：

(1)、在centos7中，已经不提供rpm包的mysql数据库了。默认的数据库为mariadb-libs

查看是否安装mariadb-libs，如果安装，需卸载

2、安装依赖包

(1)、安装cmake3.5.2

Gmake编译安装：

(2)、安装ncurses-5.9(字符终端处理库)

(3)安装bison：(linux下c/c++语法分析器)

(4)、安装boost：(mysql源码中用到了c++的boost库，要求必须安装boost1.59或以上版本。)

(5)、创建mysql用户和用户组及目录

3、编译安装mysql

解压mysql源码包，并执行cmake编译：

配置注释：

-DCMAKE_INSTALL_PREFIX=/usr/local/mysql  //mysql安装的根目录

-DMYSQL_DATADIR=/usr/local/mysql/data //mysql数据库文件存放目录

-DSYSCONFDIR=/etc  //mysql配置文件所在目录

-DWITH_MYISAM_STORAGE_ENGINE=1 //添加MYISAM引擎

-DWITH_INNOBASE_STORAGE_ENGINE=1 //添加INNODB引擎

-DWITH_ARCHIVE_STORAGE_ENGINE=1 //添加ARCHIVE引擎支持

-DMYSQL_UNIX_ADDR=/usr/local/mysql/mysql.sock //指定mysql.sock位置

-DWITH_PARTITION_STORAGE_ENGINE=1 //安装支持数据库分区

-DWITH_CHARSETS=all //使mysql支持所有的扩展字符

-DDEFAULT_CHARSET=utf8 //设置mysql的默认字符集为utf8

-DDEFAULT_COLLATION=utf8_general_ci  //设置默认字符集校对规则

-DWITH-SYSTEMD=1 //可以使用systemd控制mysql服务

-DWITH_BOOST=/usr/local/boost 指向boost库所在目录

更多参数执行

cmake  .  -LH  //获取帮助信息

(2)、执行make安装

make  &&  make  install

注意：或者使用下列方法将快速执行编译安装

make -j $(grep processor /proc/cpuinfo | wc -l) && make install

-j参数表示根据cpu核数指定编译时的线程数，可以加快编译速度，默认为1个线程编译

注：

如果在编译过程中，因敲错字符引起的报错，需要重新运行cmake配置，需要删除CmakeCache.txt

## : make clean

##: rm -f CMakeCache.txt

(3)、优化mysql的执行路径：

4、设置权限并初始化mysql系统授权表

设置权限：

初始化mysql系统授权表

使用此命令进行初始化：

/usr/local/mysql/bin/mysqld --initialize-insecure --user=mysql  --basedir=/usr/local/mysql --datadr=/usr/local/mysql/data

或者：

/usr/local/mysql/bin/mysqld --initialize --user=mysql --basedir=/usr/local/mysql --datadir=/usr/local/mysql/data

这两种命令的区别在于：

第一个命令：初始化数据库，默认采用非安全模式，就是root默认密码为空

第二个命令：初始化数据库，采用安全模式，会给root用户生成一个随机密码。

如下图：

使用root用户登录时，需要输入此生成的密码。

5、创建配置文件：

修改配置文件：添加如下配置项

注释：

18：mysql数据库的根目录19：mysql数据库文件目录20：端口号3306  21：服务id号22：mysql.sock的位置23：错误日志路径

6、配置mysql自动启动：

将mysqld.service服务拷贝至系统服务下/usr/lib/systemd/system

启动服务：

如上图，启动服务时，报错了，接下来看看是哪里报错了：

查看错误日志文件：

vim /usr/local/mysql/data/mysqld.err

从文件中找到error错误信息：

第一个信息中可以提取到：不能创建和写入文件，在/var/run/mysql/mysqld.pid，

第二个信息中可以提取到：不能创建pid文件，没有这个文件和目录

从这两条信息中，解决办法有两个：

(1)、手动创建此目录，系统提示不能创建，原因就是mysql用户没有权限操作。

mkdir  /var/run/mysqld

(2)：修改mysqld.service服务配置文件，修改pid的路径，修改成mysql用户可以执行的目录下,将其修改成/usr/local/mysql/mysqld.pid

如：

修改完服务配置文件后，需要重载服务：

systemctl daemon-reload

在此，我使用的是第二种方法：

此时，mysqld服务已经正常启动了，查看端口号：

访问mysql数据库：(使用root用户，并使用刚才初始化数据库时生成的密码)

在启动时报错了：

意思就是：不能通过/var/lib/mysql/mysql.sock连接本地mysql服务

这是因为：centos7中默认安装了mariadb-libs数据库，那使用mysql命令登录时，系统会默认寻找mariadb这个数据库所存在sock文件的路径，所以会报错。

解决办法：

使用绝对路径来登录：

或者：修改mysql的主配置文件

vim /etc/my.cnf

添加一下内容：

[client]

default-character-set=utf8

socket=/usr/local/mysql.sock

[mysql]

default-character-set=utf8

socket=/usr/local/mysql.sock

注：

如果遇到登录时报错提示密码过期，直接使用绝对路径登录即可。

修改数据库管理员用户root的密码：

Mysql_5.7.13安装到此就完成了。

下面再来一个案例：

实现ssl安全连接的mysql主从复制！

首先了解一下ssl连接的几种方式：

(1)、搭建CA服务器，为客户端颁发证书，实现ssl连接

(2)、自签名证书

解释一下mysql主从复制的原理：

(1)、主服务期将更新的数据保存到bin-log(二进制日志)中

(2)、从服务器使用I/O线程将bin-log中的日志信息拷贝至本机的relay-log(中继日志中)。

(3)从服务器使用sql线程重放中继日志中的更新的数据信息到数据库中。

实验如下：

实验环境：两台mysql服务器，在centos7操作系统上部署

主服务器ip：192.168.1.10/24

从服务器ip：192.168.1.20/24

实验步骤：

使用自签名认证方式实现ssl安全连接

1、在主mysql创建ssl/rsa文件

cd  /usr/loca/mysql/bin   //在mysql执行命令的目录下

mysql_ssl_rsa_setup --user=mysql --basedir=/usr/local/mysql  --datadir=/usr/local/mysql/data  //创建新的ssl文件

查看一下本地的私钥文件：

重启mysql服务：

登录mysql，查看ssl状态信息：

从上图中，可以看到mysql的ssl状态为disabled，就是没有开启的意思，那是什么原因造成的呢，接下来通过错误日志信息，来查看一下：

日志信息太多，直接使用grep命令检索出包含ERROR的信息：

cat /usr/local/mysql/data/mysqld.err

错误信息提示：无法从server-key.pem获得私钥

分析此原因应该就是再重启服务时，mysql用户没有权限读取此文件

查看server-key.pem文件的权限：

发现权限为600，那么其他人没有读取的权限，修改权限，添加r权限

重启服务，再次登录mysql查看ssl状态信息：

现在mysql已经支持了ssl安全连接。

2、在主mysql上创建一个用户，并授予复制权限。用于客户端复制主服务器的更新数据。

在主mysql上启用二进制日志并重启mysql服务

重启mysql服务：

systemctl restart mysqld.service

查看主mysql的状态：

注：要记住上图中所标记的file名称，和position位置信息，slave从服务器要用到此信息，标记从什么时候开时复制数据。

3、在防火墙上允许3306/tcp通信：

4、在从服务器上修改mysql的配置文件

注：server_id要唯一，不可和其他mysql主机重复

5、将mysql主服务器生成额证书拷贝至从服务器上：

设置client-key.pem客户端的私钥文件r权限

默认没有r权限

添加r权限

修改从服务器的配置文件

重启mysqld服务

查看是否有错误日志：

查看ssl是否被支持：

在从服务器上测试使用ssl连接主服务器

配置从服务器，登录mysql，执行change master to

启动从服务

查看从的状态，确保slave_IO_Running：Yes    slave_IO_Running:Yes

show slave status\G

注：

如果mysql从服务器是克隆过来的，那么slave_IO_Running:的状态就一定为NO，因为slave服务器是克隆的，所以uuid号是一样的，需要修改mysqld的uuid号

上图标识的文件中记录了mysqld的uuid号，只需修改一下其中的几个字符或者数字即可，不可添加和删除掉任意字符。

或者从查看slave的状态信息上也可以看到标记有error的错误信息！

修改完后，重启mysqld服务即可。

测试：

在主服务器上更新数据，查看从服务器是否同步数据

在从服务器上查看是否有test1数据库和AA表。

通过查看从服务器的数据，发现同步成功！

总结：

在实现mysql的主从复制时，使用了ssl安全连接，大大提高了数据传输的安全性。