MYSQL--架构--MGR--理论--14--IP地址白名单_mysql白名单 ip范围

MYSQL–架构–MGR–理论–14–IP地址白名单

1、介绍

1. 用于确定节点 可以接受 从 哪些主机 的 组通信连接，进一步提高组的安全性
2. 通过变量group_replication_ip_whitelist设置
3. 本地主机IP地址(127.0.0.1)始终添加到白名单中。 如果不显式指定，则隐式并自动添加。
4. 不支持IPv6地址和解析为IPv6地址的主机名。

1.1、在s1节点 上设置IP地址白名单

1. 当服务器s2与s1建立连接以进行组通信时，则s1首先在接受来自s2的连接之前检查白名单。
   1. 如果s2在白名单中，则s1接受连接
   2. 如果s2不在白名单中，则s1拒绝s2的连接。

1.2、在s1节点 没有设置IP地址白名单

1. s1会自动将白名单设置为服务器具有网卡的私有网络。
   1. 这意味着s1节点即使在公共IP上具有网卡，也不会默认允许来自外部主机的连接。

1.3、如果 IP白名单设置为AUTOMATIC

1. 会在错误日志中添加一个条目，类似于

2017-10-07T06:40:49.320686Z 4 [Note] Plugin group_replication reported: '[GCS] Added automatically IP ranges 192.0.2.21/24,198.51.100.44,203.0.113.0/24,127.0.0.1/32 to the whitelist'
1
2

2、手动设置IP地址白名单

可以任意组合指定主机名，简单IP地址或CIDR表示法。 必须以逗号分隔每个条目。 例如：

2.1、操作

# 停止组复制
mysql> STOP GROUP_REPLICATION;
# 手动设置IP地址白名单
mysql> SET GLOBALgroup_replication_ip_whitelist="192.0.2.21/24,198.51.100.44,203.0.113.0/24,example.org,www.example.com/24"; 

# 开启组复制
mysql> START GROUP_REPLICATION;
1
2
3
4
5
6
7
8

3、IP地址白名单 设置为主机名

1. 对于主机名，仅当另一个服务器发出连接请求时才会进行名称解析
   1. 无法解析的主机名不被视为白名单验证，并且会向错误日志写入警告消息。
   2. 对已解析的主机名执行前向确认的反向DNS(FCrDNS)验证。
2. 主机名本质上不如白名单中的IP地址安全。
   1. FCrDNS验证提供了良好的保护级别，但可能会受到某些类型的攻击的影响。
   2. 仅在严格必要时指定白名单中的主机名，并确保用于名称解析的所有组件(如DNS服务器)都在您的控制之下
3. 可以使用hosts文件在本地实现名称解析，以避免使用外部组件。