未分類
9 11 月 2020

远程访问 mysql 服务的最佳实践?

远程访问 mysql 服务的最佳实践?

資深大佬 : acshiryu 4

因为业务需要,公司有一台云主机使用 laravel,需要访问到远程的数据库。

数据库有多个,分布在不同的地方,有些区域的云数据库不支持使用外网直接访问,所以中间需要有个代理,目前查阅资料发现两个比较可行的方案。

  1. 使用 nginx 转发 TCP 流量,部署比较简单,nginx 配置好白名单 ip,直接就能远程访问
  2. 使用 ssh 隧道,需要远程主机上部署公钥,业务主机能够 ssh 访问,安全性高,但隧道常驻比较麻烦,连接被断开了不能做到自动重启

我个人倾向于使用方案 1,但不知道安全性经不经受的住考验,不知道 V 友怎么看这两种方案孰优孰劣。

大佬有話說 (12)

  • 資深大佬 : cxh116

    直接用 ZeroTier 组 vpn 访问。

  • 資深大佬 : des

    vpn 组网访问?

  • 資深大佬 : luguiyao

    不考虑延时问题吗

  • 資深大佬 : AkideLiu

    选 2 吧,写个脚本监测 ssh 隧道

  • 資深大佬 : saytesnake

    Nginx 的 Stream 模块很迷,仅仅是数据库 GUI 工具管理远程连还行,如果是跑业务方面(仅测试环境)的用 HAProxy 比较稳定,Nginx 估计没怎么考虑纯 TCP/UDP 代理。

    搞不懂什么原因,实践出来的。

    如果是生产的话还是别了,不说什么代理,外网直连难以想象。

  • 資深大佬 : xiaoz

    @saytesnake #5,老哥可以分享下 Nginx 的 Stream 具体有哪些坑吗?

  • 資深大佬 : saytesnake

    @xiaoz 配置很简单,但无论怎么调 ka 超时,请求超时等等,应用端跑个东西读写一多就频频断连,而 HA 则一切正常。

    之前也有同事配置自建邮箱( iRedmail )的收发端口转发,一开始用的也是 Nginx,经常断连,中途还换过纯 iptables/firewalld,比 Nginx 好一点,但还是有断连的情况,换 HA 就稳定了。

  • 資深大佬 : lithiumii

    ssh 可以弄个 auto ssh 自动重连(必须是用公钥),也有 docker 版,还有 python 实现的版本,甚至能密码重连

  • 資深大佬 : xiaoz

    @saytesnake #7,好的,感谢分享,我之前配置过 stream 用来加速 SSH,也遇到经常断掉的情况,我试试 HA

  • 資深大佬 : whitehack

    密码够复杂就直接在跳板机上用 tcp 代理一下. 不用的时候关掉就好了

    这有个简单的 ,也可以用 docker 启动

    https://github.com/whtiehack/socket-proxy

  • 資深大佬 : ciqulover

    对于 tcp 流量转发,在不复杂的场景下个人经验最稳健的方案:
    1. ipatbles 端口转发,需要内核开启 forward,优点是一般服务器不需要额外安装别的软件,非常稳定,就是 iptables 配置麻烦些。
    2. haproxy,稳定灵活从不出错

  • 資深大佬 : sujin190

    部署服务的话,最好还是用 vpn 组网,安全也靠谱