通过SSL/SSH保护Galera Rsync SST

Question

是否有可能通过rsync使用SSL/SSH保护Galera集群SST？此页建议它不是，特别是以下引用：

与rsync不同，xtrabackup包含对内置SSL加密的支持。

我遵循了到保护数据库和复制的所有步骤。

[mysqld]
ssl-ca = /path/to/ca-cert.pem
ssl-key = /path/to/server-key.pem
ssl-cert = /path/to/server-cert.pem
wsrep_provider_options="socket.ssl_key=/path/to/server-key.pem;socket.ssl_cert=/path/to/server-cert.pem;socket.ssl_ca=/path/to/cacert.pem;socket.checksum=2;socket.ssl_cipher=AES128-SHA"

[mysql]
ssl-ca = /path/to/ca-cert.pem
ssl-key = /path/to/client-key.pem
ssl-cert = /path/to/client-cert.pem

这些设置会保护我的rsync之外的SST吗？或者没有办法保护rsync海温？

我很熟悉如何通过SSH和rsync来保护rsync -e ssh传输。然而，我无法找到答案的是，如何将这个选项指定给Galera。这是我唯一能找到的选择：

wsrep_sst_method=rsync

这很重要，因为在最坏的情况下，我可能需要在WAN上执行SST。

我使用的是MariaDB 10.1.11和Galera 25.3.12。

Answer 1

编辑:也许您可以看看rsync当前的工作方式，并从中获得您自己的版本。当前方法驻留在文件/usr/bin/wsrep_sst_rsync中，并且有多个普通的rsync行，您可能可以微调这些行以满足您的需要。

我碰巧遇到了同样的问题，偶然发现了这个看起来很有前途的安全rsync脚本 (GitHub)。

虽然我最终决定使用xtrabackup，因为它似乎更适合我们的需求，但我希望这能对您有所帮助。看起来它已经有一段时间没有更新了，所以它可能根本不起作用。但是，即使您不能按原样使用它，也许它也会回答您的另一个问题，“如何将-e选项指定给Galera”。

简而言之，根据页面上可用的信息，如果您配置wsrep_sst_method=[something]，Galera看起来会运行一个文件/usr/bin/wsrep_sst_[something]。因此，如果您编写了一个新脚本(或者修改了secure_rsync脚本，考虑到它的工作原理)，那么您可能能够解决您的头痛问题--而我的也可以在几个小时前解决！

很抱歉给了你这么含糊的答复。我本可以只给你一个评论，但我不尊重这样做。