mysql proxy 源码分析_Mariadb · 源码分析 · proxy protocol

最新推荐文章于 2021-02-08 15:57:20 发布

弯江兼续

最新推荐文章于 2021-02-08 15:57:20 发布

阅读量483

点赞数

文章标签： mysql proxy 源码分析

本文链接：https://blog.csdn.net/weixin_30325929/article/details/113325146

版权

本文主要分析了MariaDB MaxScale中的proxy protocol，该协议用于解决数据库中间件如MaxScale在连接MySQL时，客户端IP无法正确传递的问题。内容包括proxy protocol的背景、报文格式、版本区别、客户端和服务端的改造方法，以及如何处理和验证proxy header。

摘要由CSDN通过智能技术生成

前言

MariaDB MaxScale 是一款数据库中间件，可以按照语义分发语句到多个数据库服务器上。它对应用程序透明，可以提供读写分离、负载均衡和高可用服务。

proxy protocol 是 MaxScale 引入，为了解决使用proxy作为中间件连接mysql时，mysql获取client ip用

client通过proxy中间价连接mysql时，mysql server接收到认证报文中，包含的是proxy节点的IP。如果mysql.user表中指定了client的IP，无法通过认证。

一种传统处理方式是在proxy节点上保存client的ip和密码，用于client的认证，而在mysql server上使用另一套ip和密码用于proxy 节点到mysql server的认证。

MariaDB MaxScale引入了proxy protocol来解决client ip透传的问题。proxy节点获取到client ip后，把client ip包装在proxy protocol报文中发给server，server解析到了proxy protocol报文，再用报文中的ip替换proxy节点的ip

因为 proxy protocol 本身不包含鉴权，同时可能影响数据库的鉴权行为，所以在数据库 server 端设置了一个ip白名单，只有白名单ip发送的 proxy protocol 报文才会被接受。

mysql连接与认证过程和网络模块数据结构可以参考以前的月报

报文格式

proxy protocol 有两个版本 v1 和 v2 通过报文签名区分

v1 报文是字符串形式

“PROXY %s %s %s %d %d”

字段

内容

签名

PROXY

%s.1

address family

%s.2

client address

%s.3

server address

%d.1

client port

%d.2

server port

字段

内容

报文签名12字节

\x0D\x0A\x0D\x0A\x00\x0D\x0A\x51\x55\x49\x54\x0A

ver_cmd 1 字节

version 高四位 0x2 « 4， command 0x1(PROXY) 0x0 (LOCAL)

family 1 字节

IPV4 0x11，IPV6 0x21，AF_UNIX 0x21

length 2字节

addr 部分的数据长度，IPV4 12， IPV6 36， AF_UNIX 216

addr 以IPV4为例

client地址4字节，server地址4字节，client port 2字节， server port 2字节

客户端改造

MaxScale 使用场景下，Proxy Protocol Header 由 MaxScale 发送，这里暂不分析

MariaDB 为了测试，也改造了 client，可以通过 mysql_option 设置 Proxy Protocol

使用方法：在mysql_real_connect之前，调用 mysql_option

mysql_optionsv(mysql, MARIADB_OPT_PROXY_HEADER, header_data, header_lengths);

第一个参数是 MYSQL 句柄，第二个参数是 PROXY_HEADER 标志位，第三个参数是 Proxy Protocol Header，第四个参数是 Header length

Proxy Protocol Header 按照上述规则传入即可

/* st_mysql_options_extension 结构体对应 mysql->options->extension */

struct st_mysql_options_extension {

...

/* */

char *proxy_header;

size_t proxy_header_len;

}

int

mysql_optionsv(MYSQL *mysql,enum mysql_option option, ...)

{

...

switch (option) {

case MARIADB_OPT_PROXY_HEADER:

{

size_t arg2 = va_arg(ap, size_t);

/* 把 proxy_header 和 proxy_header_len 保存到extension中 */

OPT_SET_EXTENDED_VALUE(&mysql->options, proxy_header, (char *)arg1);

OPT_SET_EXTENDED_VALUE(&mysql->options, proxy_header_len, arg2);

}

break;

}

mysql_real_connect 过程中发送 proxy header

发送时机在建连后，接收挑战码之前

这样在鉴权时可以使用 proxy header 中保存的 ip port

MYSQL *mthd_my_real_connect(MYSQL *mysql, const char *host, const char *user,

const char *passwd, const char *db,

uint port, const char *unix_socket, unsigned long client_flag)

{

...

/* 如果extension中保存了 proxy_header，则把header发送给server */

if (mysql->options.extension && mysql->options.extension->proxy_header)

{

char *hdr = mysql->options.extension->proxy_header;

size_t len = mysql->options.extension->proxy_header_len;

if (ma_pvio_write(pvio, (unsigned char *)hdr, len) <= 0)

{

ma_pvio_close(pvio);

goto error;

}

服务端改造

我们知道，server 通过对比自己的 net->pkt_nr 和 client 发送过来的 net->pkt_nr 来保证包没有乱序。而proxy header 没有包含正确的 pkt_nr，就可以通过判断 pkt_nr 乱序来识别 proxy header。

对于一对client和server线程，pkt_nr是共享的。

假设 server 发送的第一个包 pkt_nr == 1，下一个包是 client 回包 pkt_nr == 2，那么server再发给client 的包 pkt_nr == 3 以此类推。

正常的 mysql 都包含4字节 header，前三字节是size，第四字节是 pkt_nr

my_bool my_net_write(NET *net, const uchar *packet, size_t len)

{

...

/* 如果大于最大包长度，则分成多个包发送 */

while (len >= MAX_PACKET_LENGTH)

{

const ulong z_size = MAX_PACKET_LENGTH;

/* 前三个字节保存size */

int3store(buff, z_size);

/* 第四字节保存pkt_nr */

buff[3]= (uchar) net->pkt_nr++;

if (net_write_buff(net, buff, NET_HEADER_SIZE) ||

net_write_buff(net, packet, z_size))

{

MYSQL_NET_WRITE_DONE(1);

return 1;

}

packet += z_size;

len-= z_size;

}

/* Write last packet */

int3store(buff,len);

buff[3]= (uchar) net->pkt_nr++;

...

}

/* my_real_read 里面处理 proxy header */

static ulong

my_real_read(NET *net, size_t *complen,

my_bool header __attribute__((unused)))

{

retry:

/* 收到的包不满足 pkt_nr 约束，可能是 proxy header，跳转到 packets_out_of_order */

if (net->buff[net->where_b + 3] != (uchar) net->pkt_nr)

goto packets_out_of_order;

packets_out_of_order:

判断是否是 proxy protocol header

判断标准是报文前几位是否符合 proxy protocol header 的 signature

前面已经提到

v1 signature 五字节：PROXY

v2 signature 12字节：\x0D\x0A\x0D\x0A\x00\x0D\x0A\x51\x55\x49\x54\x0A

if (has_proxy_protocol_header(net)

&& net->thd &&

((THD *)net->thd)->get_command() == COM_CONNECT)

{

/* Proxy information found in the first 4 bytes received so far.

Read and parse proxy header , change peer ip address and port in THD.

/* 处理 proxy header，修改 THD 中的 ip port */

if (handle_proxy_header(net))

{

/* error happened, message is already written. */

len= packet_error;

goto end;

}

/* proxy protocol header 处理成功，跳到函数头重新读取 */

goto retry;

}

static int handle_proxy_header(NET *net)

{

判断 proxy protocol header 的来源 ip 是否在白名单中

白名单是一个全局变量 proxy_protocol_networks

白名单 ip 以逗号分隔保存在全局变量中

if (!is_proxy_protocol_allowed((sockaddr *)&(thd->net.vio->remote)))

{

/* proxy-protocol-networks variable needs to be set to allow this remote address */

my_printf_error(ER_HOST_NOT_PRIVILEGED, "Proxy header is not accepted from %s",

MYF(0), thd->main_security_ctx.ip);

return 1;

}

根据格式解析 proxy protocol header，格式在上文中已做介绍

解析结果保存在 peer_info 中

if (parse_proxy_protocol_header(net, &peer_info))

{

/* Failed to parse proxy header*/

my_printf_error(ER_UNKNOWN_ERROR, "Failed to parse proxy header", MYF(0));

return 1;

}

/* Change peer address in THD and ACL structures.*/

/* 将 peer_info 中的信息转存到 thd 中 */

return thd_set_peer_addr(thd, &(peer_info.peer_addr), NULL, peer_info.port, false);

}

弯江兼续

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
mysql proxy 源码分析_Mariadb · 源码分析 · proxy protocol

前言MariaDB MaxScale 是一款数据库中间件，可以按照语义分发语句到多个数据库服务器上。它对应用程序透明，可以提供读写分离、负载均衡和高可用服务。proxy protocol 是 MaxScale 引入，为了解决使用proxy作为中间件连接mysql时，mysql获取client ip用client通过proxy中间价连接mysql时，mysql server接收到认证报文中，包含的是...
复制链接

扫一扫