Нужно ли дублировать учетные данные пользователя при использовании proxysql перед кластером базы данных?
Я настроил Percona Xtradb Cluster с 5 узлами в сети, в которой также есть сервер ProxySQL. У меня работает ProxySQL, я могу войти в интерфейс администратора через порт 6032 и администрировать его, а также войти через порт 6033, подключенный к кластеру.
Проблема (по крайней мере, на мой взгляд) заключается в том, что я могу пройти через прокси-сервер к кластеру (порт 6033) только путем дублирования пользователя / прохода для кластера на уровне proxysql.
Я бы подумал, что был бы какой-то способ, чтобы учетные данные просто передавались через прокси в кластер или, по крайней мере, каким-то другим способом, чтобы не хранить пользователя / пароль в двух точках для этих соединений.
Является ли это все именно так, как задумано, и я просто надеюсь на то, что не существует из-за веских причин, таких как безопасность / практика, или есть какой-то способ улучшить эту настройку, чтобы не рассказывать ProxySQL о каждом пользователе базы данных, в котором я когда-либо нуждался? получить доступ к базам данных кластера?
2 ответа
Короче - да. это просто способ, которым ProxySQL обрабатывает запросы.
Также, если безопасность является одной из ваших проблем, вы можете подумать о хешировании паролей на стороне ProxySQL. Вот официальный документ: Управление паролями о том, как настроить.
Из вики:
Поскольку ProxySQL выполняет маршрутизацию на основе трафика, когда клиент подключается, он еще не может определить HG назначения, поэтому ProxySQL должен аутентифицировать клиента. По этой причине он должен иметь некоторую информацию, связанную с паролем пользователя: достаточно информации, чтобы разрешить аутентификацию.