SlideShare ist ein Scribd-Unternehmen logo
1 von 51
Downloaden Sie, um offline zu lesen
www.fromdual.com
1 / 51
MySQL HA & Security
SLAC 2013
5. - 7. Juni 2013, Berlin
Oli Sennhauser
Senior MySQL Berater, FromDual GmbH
oli.sennhauser@fromdual.com
www.fromdual.com
2 / 51
Über FromDual GmbH
● FromDual bietet neutral und unabhängig:
● Beratung für MySQL
● Support für MySQL und Galera Cluster
● Remote-DBA Dienstleistungen für MySQL
● MySQL Schulungen
● Oracle Silver Partner (OPN)
● Mitglied bei SOUG, DOAG /ch/open
www.fromdual.com
www.fromdual.com
3 / 51
Wir suchen noch:
●
MySQL Enthusiast/in für Support / remote-DBA / Beratung
und
● C++ Entwickler (mit Affinität zu DB, MySQL und Replikation)
www.fromdual.com
4 / 51
Inhalt
HA Solutions
➢
Read scale-out
➢
Replication set-up for HA
➢
Active/passive fail-over
➢
MySQL Cluster
➢
Replication Cluster
➢
Storage-Engine-Replication
MySQL HA
➢
Scale-Out vs. Scale-Up
➢
Master/Slave Replikation
➢
Master/Master Replikation
➢
Aktiv/passiv failover Cluster mit SAN
➢
Aktiv/passiv failover Cluster mit DRBD
➢
Galera Cluster für MySQL
➢
MySQL (NDB) Cluster
MySQL Security
...
www.fromdual.com
5 / 51
MySQL Scale-Out vs Scale-Up
Scale-Out
● Kosten
● MySQL Design
● Physische Flaschenhälse
Scale-Up
● „Relaxation of Constraints“
www.fromdual.com
6 / 51
...
Master – Slave Replikation
Application
Master
log_bin = on
server_id = 42
Slave
● Wir brauchen:
● Binary Log
● Server Id
● User für die Replikation (auf dem Master)
● Konsistentes Backup MIT Binary Log Position
bin-log.m bin-log.n relay-log.m relay-log.n...
IO_
thread
SQL_
thread
www.fromdual.com
7 / 51
High-Availability mit Replikation
Application
Master
Slave Backup
Slave Reporting
rt
w
Load balancer
read only
Slave 1
Slave 2
Slave 3 ...
async!
Slave M
● Fail-over?
VIP
www.fromdual.com
8 / 51
Replikation Fail-over
Application
Master
Slave Backup
Load balancer
Slave 1
Slave Reporting
Slave 2
Slave 3
rt
w
read only
...
async!
Slave M
VIP
www.fromdual.com
9 / 51
Vorteile / Nachteile
Einfaches „standard“ Set-up
Sehr gut wenn r >> w
Fail-over Seite ist bereits warm/heiss!
Zeitversatz Master/Slave (asynchron!)
Slave kann hinterherhinken (Slave ist oft Flaschenhals)
Daten In-konsistenz (pt­table­checksum/pt­table­sync)
Read/write Split ist mühsam, da nicht transparent
Wenn Master stirbt→ welcher Slave wird neuere Master?
Switch → viel Arbeit, etwas heikel!
Es gibt Tools die helfen (MMM v1/v2, MHA, Tungsten, ...)
www.fromdual.com
10 / 51
Master-Master Replikation
App App App
M1
Slave1
Slave2
SlaveBackup
Load balancer (LB)
M2
VIP
Slave3
www.fromdual.com
11 / 51
Master-Master Replikation
App App App
M1
Slave1
Slave2
SlaveBackup
Load balancer (LB)
M2
VIP
Slave3
www.fromdual.com
12 / 51
Vorteile / Nachteile
Nur wenig komplexer als Master/Slave
Sehr gut wenn r >> w
Fail-over Seite ist bereits warm/heiss!
Zeitversatz Master/Slave (asynchron!)
Slave kann hinterherhinken (Slave ist oft Flaschenhals)
Daten In-konsistenz (pt­table­checksum/pt­table­sync)
Wenn Master stirbt, ist die Hälfte der Slaves „out of sync“!
Vorsicht beim Schreiben auf beide Master!
Read/write Split ist mühsam, da nicht transparent
Man erhält dadurch NICHT mehr I/O Durchsatz!
Ein wenig komplizierter (wieder-)aufzusetzen
www.fromdual.com
13 / 51
Aktiv/passiv fail-over mit SAN
App App App
M'
SAN
Slave1
Slave2
Slave3
Load balancing (LB)
M
VIP
www.fromdual.com
14 / 51
Aktiv/passiv fail-over mit SAN
● SPOF 2! App App App
M'
SAN
Slave1
Slave2
Slave3
Load balancing (LB)
M
VIP
!!!
www.fromdual.com
15 / 51
Vorteile / Nachteile
Synchrone Replikation
I/O Durchsatz hängt vom SAN (I/O System) ab
Keine Daten IN-Konsistenzen möglich
Nur eine mögliche Datenquelle
Slaves werden automatisch und sauber geschwenkt
SAN und Filesystem sind SpoFs!
Teuer wenn SAN noch nicht vorhanden ist.
SAN's sind nicht einfach richtig zu betreiben!
Andere Seite ist kalt nach Fail-over!
Hälfte der Hardware idelt
Wesentlich komplexer aufzusetzen
www.fromdual.com
16 / 51
Aktiv/passiv fail-over mit DRBD
App App App
M'
Slave1
Slave2
Slave3
Load balancing (LB)
M
VIP
DRBD“Poor man's SAN”
www.fromdual.com
17 / 51
Activ/passiv fail-over mit DRBD
App App App
M'
Slave1
Slave2
Slave3
Load balancing (LB)
M
VIP
DRBD“Poor man's SAN”
● SPOF 1!
www.fromdual.com
18 / 51
Vorteile / Nachteile
Synchrone Replikation
Keine Daten IN-Konsistenzen möglich
Nur eine mögliche Datenquelle
Slaves werden automatisch und sauber geschwenkt
Filesystem ist SpoF!
I/O Durchsatz tendenziell geringer als mit SAN
Andere Seite ist kalt nach Failover!
Hälfte der Hardware idelt
Wesentlich komplexer aufzusetzen
www.fromdual.com
19 / 51
Galera Cluster für MySQL
App App App
Load balancing (LB)
Node 2 Node 3Node 1
wsrep
Galera replication
wsrep wsrep
www.fromdual.com
20 / 51
Galera Cluster für MySQL
App App App
Load balancing (LB)
Node 2Node 1
wsrep
Galera replication
wsrep
Node 3
wsrep
www.fromdual.com
21 / 51
Vorteile / Nachteile
Synchrone Replikation
Aktiv-aktiv multi-Master Topologie
Lesen und Schreiben auf alle Cluster-Knoten (KEIN r/w Split notwendig)
Automatische Knotenverwaltung
Echtes paralleles Replizieren auf Zeilenebene
Kein Hinterherhinken des Slaves
Keine verlorene Transaktionen
Lese-Skalierbarkeit (read Scale-Out!) und mehr Schreiben (+ SSD)
Wartung im „laufenden Betrieb“ möglich (Rolling Restart)
Basiert auf InnoDB Storage Engine (nur auf InnoDB!)
Galera Binaries (nicht Oracle/MySQL)
Achtung vor Hots-Spots auf einzelnen Zeilen (z. B. Sequenzen-Tabelle)
Dadurch höhere Wahrscheinlichkeit von Deadlocks
Voll-Synchronisation (SST) blockiert Lesen und Schreiben → 3 Koten
www.fromdual.com
22 / 51
Load balancing (LB)
MySQL (NDB) Cluster
MySQL
Server
NDB Cluster
(Data nodes)
MySQL
Server
MySQL
Server
ndbd ndbd
ndbdndbd
mgmd
MGM client
SQL nodes
mgmd
MGM client
App App App
NG0
NG1
Data nodes /
Mgmt nodes
Load balancing (LB)Load balancing (LB)
www.fromdual.com
23 / 51
Vorteile / Nachteile
Synchrone Replikation
Nur eine mögliche Datenquelle
Keine Daten IN-Konsistenzen möglich
Extrem hoher Durchsatz (wenn richtig gemacht)
Skaliert sehr gut für Lesen UND Schreiben (wenn richtig gemacht)
Wartung im „laufenden Betrieb“ möglich
Kein drop-in Ersatz für InnoDB/MyISAM!
Hoher Bedarf an RAM (in-memory DB) und Netzwerk
Mindestens 3 Server (besser 4) sind erforderlich.
Neue Datenbank zu lernen (MySQL Cluster != MySQL!)
Komplexer aufzusetzen und zu betreiben als normales MySQL
Schlecht für Joins (Network Database, Push Down Joins in v7.2)
www.fromdual.com
24 / 51
MySQL Security
www.fromdual.com
25 / 51
Inhalt
HA Solutions
➢
Read scale-out
➢
Replication set-up for HA
➢
Active/passive fail-over
➢
MySQL Cluster
➢
Replication Cluster
➢
Storage-Engine-Replication
MySQL HA
➢
...
MySQL Security
➢
Was ist Security?
➢
Probleme, Anforderungen, Konsequenzen, Massnahmen
➢
Vertraulichkeit
➢
Integrität
➢
Verfügbarkeit
➢
Informationsquellen
www.fromdual.com
26 / 51
Was ist Security/Sicherheit?
● Vertraulichkeit
● Zugriff nur durch autorisierte Nutzer
● Integrität
● Veränderung der Daten
● Nachvollziehbarkeit
● Verfügbarkeit
● Verhinderung von Systemausfällen
www.fromdual.com
27 / 51
Sicherheitsprobleme (1)
● Technische Sicherheitsprobleme
● Sind einfach in den Griff zu bekommen
● Hardware geht kaputt
●
Gut wenn schnell kaputt
● Schlecht wenn langsam kaputt
● CPU, RAM, I/O-Controller, NW, Motherboard
● Stromausfall
● Disk läuft voll, DB crashed, Replikation bleibt stehen...
● Monitoring → Error Log anschauen!
● Bugs
www.fromdual.com
28 / 51
Sicherheitsprobleme (2)
● Menschliche Sicherheitsprobleme
● Sind etwas schwieriger in den Griff zu bekommen!
● Unfall: Ups!!!
UPDATE emp SET salary = salary + 10000; WHERE 
position = 'manager';
DROP auf Produktion anstatt auf Entwicklungssystem :-(
● Interner Datenklau (Schweizer Daten-CD's in D)
● Externer Angriff (Zerstörung, DoS, Datenklau)
● Gemäss Statistiken kommt interne Angriffe häufiger vor
als externe...?
www.fromdual.com
29 / 51
Sicherheitsanforderungen
● Was sind die Anforderungen?
● vs. was sind die Kosten?
● Wie lange darf ein Restore/Recovery dauern?
● MTTR
● Welcher Datenverlust kann akzeptiert werden?
● Alte Daten, neue Daten?
● Ist es akzeptable, alte Daten erst später
zurückzukriegen?
● Wer hat Zugriff auf welche Daten?
www.fromdual.com
30 / 51
Konsequenzen
● Wenn man nicht vorbereitet ist:
● Firma muss geschlossen werden
● Rechtliche Konsequenzen
● Finanzieller Schaden €€€
● (fristlose) Entlassung
● Reputationsschaden
www.fromdual.com
31 / 51
Massnahmen
● Was können wir für die Sicherheit tun?
● Technische Massnahmen:
● Backup + Restore + Restore-Tests
● HA-Lösungen
● Logging
● Organisatorische Massnahmen
● Regelmässige Upgrades (DB, O/S)
● Zugriffskontrolle/-beschränkungen
www.fromdual.com
32 / 51
Vertraulichkeit
www.fromdual.com
33 / 51
Warum so pingelig?
● Fuss in der Türe → Hocharbeiten
● Denial of Service DoS
● Script Kiddies, Mitbewerber, Erpressung, Schaden
● Reputationsschaden
● Datendiebstahl
● Kunden- oder Produktionsdaten,
Steuersünder, etc.
● Hoster!
● 100e von Nutzern
www.fromdual.com
34 / 51
Zugriffsbeschränkung
● Betriebssystem (root user)
● Zugriff aufs DB Filesystem!
● DB Zugriff
● root von remote?
● Passwörter: leer, default, gleich, ändern
● Privilegien: ALL ON *.*
www.fromdual.com
35 / 51
Abwehrmassnahmen
● MySQL Konfiguration
● .history oder .mysql_history
● Datenbank NIE Internet aussetzen → DMZ
● Firewall
● SQL-Firewall gegen Angriff aus der Applikation
● Bekannte Angriffsziele meiden: phpMyAdmin
www.fromdual.com
36 / 51
phpMyAdmin
http://www.phpmyadmin.net/home_page/security/
www.fromdual.com
37 / 51
Upgrades
● Upgrade Strategie?
www.fromdual.com
38 / 51
Warum Upgrade Demo
www.fromdual.com
39 / 51
Integrität
www.fromdual.com
40 / 51
Datenintegrität
● Binary Log
● General Query Log
● Logon Trigger (init_connect)
● Audit Log Plugin (Enterprise Feature)
● McAfee MySQL Audit Plugin
www.fromdual.com
41 / 51
Verfügbarkeit
www.fromdual.com
42 / 51
Backup + Restore
● Backup + Binary-Logging
● Point-in-Time-Recovery (PiTR)
● Restore-Tests um Überraschungen zu
vermeiden
www.fromdual.com
43 / 51
Point-in-Time-Recovery (PITR)
Application ApplicationApplication
mysqld
bin-log.1 bin-log.2 bin-log.n...
log_bin = on
t
fullbackup
02:00 14:00
www.fromdual.com
44 / 51
Warum Restore Test Demo
www.fromdual.com
45 / 51
HA Lösungen
● RAID für Platten
● Cluster-Lösungen
● Master-Slave Replikation
● Galera Cluster für MySQL
● Aktiv/passiv Failover-Cluster SAN/DRBD
● MySQL Cluster
● → Hatten wir ja schon zu Beginn.
● Achtung: NICHT für logische Fehler → Backup!
www.fromdual.com
46 / 51
Galera Cluster für MySQL
App App App
Load balancing (LB)
Node 2 Node 3Node 1
wsrep
Galera replication
wsrep wsrep
rwrw
synchrone Replikation
www.fromdual.com
47 / 51
Galera Cluster für MySQL
App App App
Load balancing (LB)
Node 2 Node 3Node 1
wsrep
Galera replication
wsrep wsrep
● Hardware-Ausfall
● Wartungsarbeiten
● HW/OS/DB Upgrade
www.fromdual.com
48 / 51
Demo Galera Cluster
www.fromdual.com
49 / 51
Informationen
● http://www.fromdual.com/security
● MySQL/MariaDB/Percona: Release-Notes
● Oracle CPU
● MySQL Dokumentation: Security
● CVE
● RedHat Security Advisors
● full-disclosure@lists.grok.org.uk
● MySQL Security Forum
● GreenSQL: MySQL SQL Firewall
http://www.greensql.com
● McAfee: MySQL Audit Plugin
https://github.com/mcafee/mysql-audit/downloads
www.fromdual.com
50 / 51
Wir suchen noch:
●
MySQL Enthusiast/in für Support / remote-DBA / Beratung
und
● C++ Entwickler (mit Affinität zu DB, MySQL und Replikation)
www.fromdual.com
51 / 51
Q & A
Fragen ?
Diskussion?
Wir haben Zeit für ein Security Audit...
● FromDual bietet neutral und unabhängig:
● Beratung
● Remote-DBA
● Support für MySQL und Galera Cluster
● Schulung
www.fromdual.com/presentations

Weitere ähnliche Inhalte

Was ist angesagt?

MySQL für Oracle DBA's
MySQL für Oracle DBA'sMySQL für Oracle DBA's
MySQL für Oracle DBA'sFromDual GmbH
 
MySQL Performance Tuning für Entwickler
MySQL Performance Tuning für EntwicklerMySQL Performance Tuning für Entwickler
MySQL Performance Tuning für EntwicklerFromDual GmbH
 
MySQL - New Features 5.6
MySQL - New Features 5.6MySQL - New Features 5.6
MySQL - New Features 5.6FromDual GmbH
 
MySQL-Server im Teamwork - Replikation und Cluster
MySQL-Server im Teamwork - Replikation und ClusterMySQL-Server im Teamwork - Replikation und Cluster
MySQL-Server im Teamwork - Replikation und ClusterFromDual GmbH
 
DOAG 2011: MySQL Replication
DOAG 2011: MySQL ReplicationDOAG 2011: MySQL Replication
DOAG 2011: MySQL ReplicationFromDual GmbH
 
DOAG 2011: MySQL Performance Tuning
DOAG 2011: MySQL Performance TuningDOAG 2011: MySQL Performance Tuning
DOAG 2011: MySQL Performance TuningFromDual GmbH
 
MySQL Replication for Beginners
MySQL Replication for BeginnersMySQL Replication for Beginners
MySQL Replication for BeginnersFromDual GmbH
 
MySQL Hochverfügbarkeitslösungen
MySQL HochverfügbarkeitslösungenMySQL Hochverfügbarkeitslösungen
MySQL HochverfügbarkeitslösungenLenz Grimmer
 
FROSCON 2011: MySQL Performance Tuning
FROSCON 2011: MySQL Performance TuningFROSCON 2011: MySQL Performance Tuning
FROSCON 2011: MySQL Performance TuningFromDual GmbH
 
FROSCON 2011: MySQL Replication
FROSCON 2011: MySQL ReplicationFROSCON 2011: MySQL Replication
FROSCON 2011: MySQL ReplicationFromDual GmbH
 
Internet Briefing 2011: NoSQL with MySQL
Internet Briefing 2011: NoSQL with MySQLInternet Briefing 2011: NoSQL with MySQL
Internet Briefing 2011: NoSQL with MySQLFromDual GmbH
 
DAOG SIG: HA Architekturen mit MySQL
DAOG SIG: HA Architekturen mit MySQLDAOG SIG: HA Architekturen mit MySQL
DAOG SIG: HA Architekturen mit MySQLFromDual GmbH
 
DOAG 2010: MySQL Architekturen für Oracle DBA's
DOAG 2010: MySQL Architekturen für Oracle DBA'sDOAG 2010: MySQL Architekturen für Oracle DBA's
DOAG 2010: MySQL Architekturen für Oracle DBA'sFromDual GmbH
 
MySQL Hochverfügbarkeitslösungen
MySQL HochverfügbarkeitslösungenMySQL Hochverfügbarkeitslösungen
MySQL HochverfügbarkeitslösungenLenz Grimmer
 
DOAG SIG: MySQL Replikation, Scale-Out, Master- Master Replikation, Backup
DOAG SIG: MySQL Replikation, Scale-Out, Master- Master Replikation, BackupDOAG SIG: MySQL Replikation, Scale-Out, Master- Master Replikation, Backup
DOAG SIG: MySQL Replikation, Scale-Out, Master- Master Replikation, BackupFromDual GmbH
 
Komprimierung in der Oracle Datenbank (Stand 11gR2, 12c)
Komprimierung in der Oracle Datenbank (Stand 11gR2, 12c)Komprimierung in der Oracle Datenbank (Stand 11gR2, 12c)
Komprimierung in der Oracle Datenbank (Stand 11gR2, 12c)Ulrike Schwinn
 
Ausgewählte PL/SQL Packages (1)
Ausgewählte PL/SQL Packages (1)Ausgewählte PL/SQL Packages (1)
Ausgewählte PL/SQL Packages (1)Ulrike Schwinn
 
Ausgewählte Performance Technologien
Ausgewählte Performance TechnologienAusgewählte Performance Technologien
Ausgewählte Performance Technologienoraclebudb
 
Top 10 Internet Trends 2005
Top 10 Internet Trends 2005Top 10 Internet Trends 2005
Top 10 Internet Trends 2005Jürg Stuker
 

Was ist angesagt? (20)

MySQL für Oracle DBA's
MySQL für Oracle DBA'sMySQL für Oracle DBA's
MySQL für Oracle DBA's
 
MySQL Performance Tuning für Entwickler
MySQL Performance Tuning für EntwicklerMySQL Performance Tuning für Entwickler
MySQL Performance Tuning für Entwickler
 
MySQL - New Features 5.6
MySQL - New Features 5.6MySQL - New Features 5.6
MySQL - New Features 5.6
 
MySQL-Server im Teamwork - Replikation und Cluster
MySQL-Server im Teamwork - Replikation und ClusterMySQL-Server im Teamwork - Replikation und Cluster
MySQL-Server im Teamwork - Replikation und Cluster
 
DOAG 2011: MySQL Replication
DOAG 2011: MySQL ReplicationDOAG 2011: MySQL Replication
DOAG 2011: MySQL Replication
 
DOAG 2011: MySQL Performance Tuning
DOAG 2011: MySQL Performance TuningDOAG 2011: MySQL Performance Tuning
DOAG 2011: MySQL Performance Tuning
 
MySQL Replication for Beginners
MySQL Replication for BeginnersMySQL Replication for Beginners
MySQL Replication for Beginners
 
MySQL Hochverfügbarkeitslösungen
MySQL HochverfügbarkeitslösungenMySQL Hochverfügbarkeitslösungen
MySQL Hochverfügbarkeitslösungen
 
FROSCON 2011: MySQL Performance Tuning
FROSCON 2011: MySQL Performance TuningFROSCON 2011: MySQL Performance Tuning
FROSCON 2011: MySQL Performance Tuning
 
FROSCON 2011: MySQL Replication
FROSCON 2011: MySQL ReplicationFROSCON 2011: MySQL Replication
FROSCON 2011: MySQL Replication
 
Internet Briefing 2011: NoSQL with MySQL
Internet Briefing 2011: NoSQL with MySQLInternet Briefing 2011: NoSQL with MySQL
Internet Briefing 2011: NoSQL with MySQL
 
DAOG SIG: HA Architekturen mit MySQL
DAOG SIG: HA Architekturen mit MySQLDAOG SIG: HA Architekturen mit MySQL
DAOG SIG: HA Architekturen mit MySQL
 
Daos
DaosDaos
Daos
 
DOAG 2010: MySQL Architekturen für Oracle DBA's
DOAG 2010: MySQL Architekturen für Oracle DBA'sDOAG 2010: MySQL Architekturen für Oracle DBA's
DOAG 2010: MySQL Architekturen für Oracle DBA's
 
MySQL Hochverfügbarkeitslösungen
MySQL HochverfügbarkeitslösungenMySQL Hochverfügbarkeitslösungen
MySQL Hochverfügbarkeitslösungen
 
DOAG SIG: MySQL Replikation, Scale-Out, Master- Master Replikation, Backup
DOAG SIG: MySQL Replikation, Scale-Out, Master- Master Replikation, BackupDOAG SIG: MySQL Replikation, Scale-Out, Master- Master Replikation, Backup
DOAG SIG: MySQL Replikation, Scale-Out, Master- Master Replikation, Backup
 
Komprimierung in der Oracle Datenbank (Stand 11gR2, 12c)
Komprimierung in der Oracle Datenbank (Stand 11gR2, 12c)Komprimierung in der Oracle Datenbank (Stand 11gR2, 12c)
Komprimierung in der Oracle Datenbank (Stand 11gR2, 12c)
 
Ausgewählte PL/SQL Packages (1)
Ausgewählte PL/SQL Packages (1)Ausgewählte PL/SQL Packages (1)
Ausgewählte PL/SQL Packages (1)
 
Ausgewählte Performance Technologien
Ausgewählte Performance TechnologienAusgewählte Performance Technologien
Ausgewählte Performance Technologien
 
Top 10 Internet Trends 2005
Top 10 Internet Trends 2005Top 10 Internet Trends 2005
Top 10 Internet Trends 2005
 

Andere mochten auch

Antologia de la tradición y leyendas ancashinas (último)
Antologia  de la tradición y leyendas ancashinas (último)Antologia  de la tradición y leyendas ancashinas (último)
Antologia de la tradición y leyendas ancashinas (último)Magda Maldonado
 
визитка конференции
визитка конференциивизитка конференции
визитка конференцииBDA
 
Comparativo de presupuesto 2014 entre organismos constitucionales autonomos.
Comparativo de presupuesto 2014 entre organismos constitucionales autonomos.Comparativo de presupuesto 2014 entre organismos constitucionales autonomos.
Comparativo de presupuesto 2014 entre organismos constitucionales autonomos.yyaber
 
Cartel Asamblea junio 2014
Cartel Asamblea junio 2014Cartel Asamblea junio 2014
Cartel Asamblea junio 2014Eiarcoiris
 

Andere mochten auch (8)

Outstanding Effort:Esfuerzo Excepcional
Outstanding Effort:Esfuerzo ExcepcionalOutstanding Effort:Esfuerzo Excepcional
Outstanding Effort:Esfuerzo Excepcional
 
Antologia de la tradición y leyendas ancashinas (último)
Antologia  de la tradición y leyendas ancashinas (último)Antologia  de la tradición y leyendas ancashinas (último)
Antologia de la tradición y leyendas ancashinas (último)
 
01 de abril 2015
01 de abril 201501 de abril 2015
01 de abril 2015
 
визитка конференции
визитка конференциивизитка конференции
визитка конференции
 
Nar advt 6x8_02
Nar advt 6x8_02Nar advt 6x8_02
Nar advt 6x8_02
 
Comparativo de presupuesto 2014 entre organismos constitucionales autonomos.
Comparativo de presupuesto 2014 entre organismos constitucionales autonomos.Comparativo de presupuesto 2014 entre organismos constitucionales autonomos.
Comparativo de presupuesto 2014 entre organismos constitucionales autonomos.
 
Cartel Asamblea junio 2014
Cartel Asamblea junio 2014Cartel Asamblea junio 2014
Cartel Asamblea junio 2014
 
A world class integrated talent development life cycle solution from hire to ...
A world class integrated talent development life cycle solution from hire to ...A world class integrated talent development life cycle solution from hire to ...
A world class integrated talent development life cycle solution from hire to ...
 

Ähnlich wie MySQL HA and Security

MySQL High Availability Solutions
MySQL High Availability SolutionsMySQL High Availability Solutions
MySQL High Availability SolutionsFromDual GmbH
 
Data Warehouse (DWH) with MySQL
Data Warehouse (DWH) with MySQLData Warehouse (DWH) with MySQL
Data Warehouse (DWH) with MySQLFromDual GmbH
 
Sql Server Grundlagen für Sharepoint Administratoren
Sql Server Grundlagen für Sharepoint AdministratorenSql Server Grundlagen für Sharepoint Administratoren
Sql Server Grundlagen für Sharepoint AdministratorenCommunardo GmbH
 
Sql Server GrundlagenfüR Share Point Admins
Sql Server GrundlagenfüR Share Point AdminsSql Server GrundlagenfüR Share Point Admins
Sql Server GrundlagenfüR Share Point AdminsSharepointUGDD
 
MySQL Replikation - Die Eier legende Wollmilchsau?
MySQL Replikation - Die Eier legende Wollmilchsau?MySQL Replikation - Die Eier legende Wollmilchsau?
MySQL Replikation - Die Eier legende Wollmilchsau?FromDual GmbH
 
Big Data Community Webinar vom 16. Mai 2019: Oracle NoSQL DB im Überblick
Big Data Community Webinar vom 16. Mai 2019: Oracle NoSQL DB im ÜberblickBig Data Community Webinar vom 16. Mai 2019: Oracle NoSQL DB im Überblick
Big Data Community Webinar vom 16. Mai 2019: Oracle NoSQL DB im ÜberblickKarin Patenge
 
MySQL Security SLAC 2015
MySQL Security SLAC 2015MySQL Security SLAC 2015
MySQL Security SLAC 2015FromDual GmbH
 
DOAG2018 / Oracle DB erfolgreich betreiben auf SPARC/LDoms/Solaris/ZFS
DOAG2018 / Oracle DB erfolgreich betreiben auf SPARC/LDoms/Solaris/ZFSDOAG2018 / Oracle DB erfolgreich betreiben auf SPARC/LDoms/Solaris/ZFS
DOAG2018 / Oracle DB erfolgreich betreiben auf SPARC/LDoms/Solaris/ZFSJomaSoft
 
Internet Briefing 2010: Performance Tuning & Scale-Out mit MySQL
Internet Briefing 2010: Performance Tuning & Scale-Out mit MySQLInternet Briefing 2010: Performance Tuning & Scale-Out mit MySQL
Internet Briefing 2010: Performance Tuning & Scale-Out mit MySQLFromDual GmbH
 
Roadshow Oracle Database 12c: News & Features
Roadshow Oracle Database 12c: News & FeaturesRoadshow Oracle Database 12c: News & Features
Roadshow Oracle Database 12c: News & FeaturesDigicomp Academy AG
 
DB2 High Availability für IBM Connections, Sametime oder Traveler
DB2 High Availability für IBM Connections, Sametime oder TravelerDB2 High Availability für IBM Connections, Sametime oder Traveler
DB2 High Availability für IBM Connections, Sametime oder TravelerNico Meisenzahl
 
Oracle Core für Einsteiger: Datenbank I/O
Oracle Core für Einsteiger: Datenbank I/OOracle Core für Einsteiger: Datenbank I/O
Oracle Core für Einsteiger: Datenbank I/OMartin Klier
 
Überblick Oracle Datenbank 12c
Überblick Oracle Datenbank 12cÜberblick Oracle Datenbank 12c
Überblick Oracle Datenbank 12cIleana Somesan
 
Überblick Oracle GoldenGate
Überblick Oracle GoldenGateÜberblick Oracle GoldenGate
Überblick Oracle GoldenGateIleana Somesan
 
Domino Statistiken verstehen und nutzen (Teil 1) - 41. DNUG Konferenz
Domino Statistiken verstehen und nutzen (Teil 1) - 41. DNUG KonferenzDomino Statistiken verstehen und nutzen (Teil 1) - 41. DNUG Konferenz
Domino Statistiken verstehen und nutzen (Teil 1) - 41. DNUG Konferenzpanagenda
 
SSD vs. HDD, Risiken und Nebenwirkungen der Flash Technologie
SSD vs. HDD, Risiken und Nebenwirkungen der Flash TechnologieSSD vs. HDD, Risiken und Nebenwirkungen der Flash Technologie
SSD vs. HDD, Risiken und Nebenwirkungen der Flash TechnologieKroll Ontrack GmbH
 
SSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - Webinar
SSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - WebinarSSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - Webinar
SSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - WebinarKroll Ontrack GmbH
 

Ähnlich wie MySQL HA and Security (20)

MySQL High Availability Solutions
MySQL High Availability SolutionsMySQL High Availability Solutions
MySQL High Availability Solutions
 
Data Warehouse (DWH) with MySQL
Data Warehouse (DWH) with MySQLData Warehouse (DWH) with MySQL
Data Warehouse (DWH) with MySQL
 
Froscon 2012 DWH
Froscon 2012 DWHFroscon 2012 DWH
Froscon 2012 DWH
 
Sql Server Grundlagen für Sharepoint Administratoren
Sql Server Grundlagen für Sharepoint AdministratorenSql Server Grundlagen für Sharepoint Administratoren
Sql Server Grundlagen für Sharepoint Administratoren
 
Sql Server GrundlagenfüR Share Point Admins
Sql Server GrundlagenfüR Share Point AdminsSql Server GrundlagenfüR Share Point Admins
Sql Server GrundlagenfüR Share Point Admins
 
MySQL Replikation - Die Eier legende Wollmilchsau?
MySQL Replikation - Die Eier legende Wollmilchsau?MySQL Replikation - Die Eier legende Wollmilchsau?
MySQL Replikation - Die Eier legende Wollmilchsau?
 
Big Data Community Webinar vom 16. Mai 2019: Oracle NoSQL DB im Überblick
Big Data Community Webinar vom 16. Mai 2019: Oracle NoSQL DB im ÜberblickBig Data Community Webinar vom 16. Mai 2019: Oracle NoSQL DB im Überblick
Big Data Community Webinar vom 16. Mai 2019: Oracle NoSQL DB im Überblick
 
MySQL Security SLAC 2015
MySQL Security SLAC 2015MySQL Security SLAC 2015
MySQL Security SLAC 2015
 
DOAG2018 / Oracle DB erfolgreich betreiben auf SPARC/LDoms/Solaris/ZFS
DOAG2018 / Oracle DB erfolgreich betreiben auf SPARC/LDoms/Solaris/ZFSDOAG2018 / Oracle DB erfolgreich betreiben auf SPARC/LDoms/Solaris/ZFS
DOAG2018 / Oracle DB erfolgreich betreiben auf SPARC/LDoms/Solaris/ZFS
 
Internet Briefing 2010: Performance Tuning & Scale-Out mit MySQL
Internet Briefing 2010: Performance Tuning & Scale-Out mit MySQLInternet Briefing 2010: Performance Tuning & Scale-Out mit MySQL
Internet Briefing 2010: Performance Tuning & Scale-Out mit MySQL
 
Roadshow Oracle Database 12c: News & Features
Roadshow Oracle Database 12c: News & FeaturesRoadshow Oracle Database 12c: News & Features
Roadshow Oracle Database 12c: News & Features
 
DB2 High Availability für IBM Connections, Sametime oder Traveler
DB2 High Availability für IBM Connections, Sametime oder TravelerDB2 High Availability für IBM Connections, Sametime oder Traveler
DB2 High Availability für IBM Connections, Sametime oder Traveler
 
Oracle Core für Einsteiger: Datenbank I/O
Oracle Core für Einsteiger: Datenbank I/OOracle Core für Einsteiger: Datenbank I/O
Oracle Core für Einsteiger: Datenbank I/O
 
Überblick Oracle Datenbank 12c
Überblick Oracle Datenbank 12cÜberblick Oracle Datenbank 12c
Überblick Oracle Datenbank 12c
 
Überblick Oracle GoldenGate
Überblick Oracle GoldenGateÜberblick Oracle GoldenGate
Überblick Oracle GoldenGate
 
Scaling Rails
Scaling RailsScaling Rails
Scaling Rails
 
Domino Statistiken verstehen und nutzen (Teil 1) - 41. DNUG Konferenz
Domino Statistiken verstehen und nutzen (Teil 1) - 41. DNUG KonferenzDomino Statistiken verstehen und nutzen (Teil 1) - 41. DNUG Konferenz
Domino Statistiken verstehen und nutzen (Teil 1) - 41. DNUG Konferenz
 
SSD vs. HDD, Risiken und Nebenwirkungen der Flash Technologie
SSD vs. HDD, Risiken und Nebenwirkungen der Flash TechnologieSSD vs. HDD, Risiken und Nebenwirkungen der Flash Technologie
SSD vs. HDD, Risiken und Nebenwirkungen der Flash Technologie
 
SSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - Webinar
SSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - WebinarSSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - Webinar
SSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - Webinar
 
MySQL Security
MySQL SecurityMySQL Security
MySQL Security
 

Mehr von FromDual GmbH

MariaDB/MySQL pitfalls - And how to come out again...
MariaDB/MySQL pitfalls - And how to come out again...MariaDB/MySQL pitfalls - And how to come out again...
MariaDB/MySQL pitfalls - And how to come out again...FromDual GmbH
 
MariaDB / MySQL tripping hazard and how to get out again?
MariaDB / MySQL tripping hazard and how to get out again?MariaDB / MySQL tripping hazard and how to get out again?
MariaDB / MySQL tripping hazard and how to get out again?FromDual GmbH
 
PXC 5.5 to MariaDB 10.4 Galera Cluster Migration Workshop
PXC 5.5 to MariaDB 10.4 Galera Cluster Migration WorkshopPXC 5.5 to MariaDB 10.4 Galera Cluster Migration Workshop
PXC 5.5 to MariaDB 10.4 Galera Cluster Migration WorkshopFromDual GmbH
 
IT Tage 2019 MariaDB 10.4 New Features
IT Tage 2019 MariaDB 10.4 New FeaturesIT Tage 2019 MariaDB 10.4 New Features
IT Tage 2019 MariaDB 10.4 New FeaturesFromDual GmbH
 
MariaDB 10.4 New Features
MariaDB 10.4 New FeaturesMariaDB 10.4 New Features
MariaDB 10.4 New FeaturesFromDual GmbH
 
MariaDB 10.2 New Features
MariaDB 10.2 New FeaturesMariaDB 10.2 New Features
MariaDB 10.2 New FeaturesFromDual GmbH
 
PERFORMANCE_SCHEMA and sys schema
PERFORMANCE_SCHEMA and sys schemaPERFORMANCE_SCHEMA and sys schema
PERFORMANCE_SCHEMA and sys schemaFromDual GmbH
 
Reading MySQL fingerprints
Reading MySQL fingerprintsReading MySQL fingerprints
Reading MySQL fingerprintsFromDual GmbH
 
High-availability with Galera Cluster for MySQL
High-availability with Galera Cluster for MySQLHigh-availability with Galera Cluster for MySQL
High-availability with Galera Cluster for MySQLFromDual GmbH
 
MySQL always-up with Galera Cluster
MySQL always-up with Galera ClusterMySQL always-up with Galera Cluster
MySQL always-up with Galera ClusterFromDual GmbH
 
MySQL Indexierung CeBIT 2014
MySQL Indexierung CeBIT 2014MySQL Indexierung CeBIT 2014
MySQL Indexierung CeBIT 2014FromDual GmbH
 
Need for Speed: Mysql indexing
Need for Speed: Mysql indexingNeed for Speed: Mysql indexing
Need for Speed: Mysql indexingFromDual GmbH
 
MySQL for Oracle DBAs
MySQL for Oracle DBAsMySQL for Oracle DBAs
MySQL for Oracle DBAsFromDual GmbH
 
MySQL Performance Tuning Variables
MySQL Performance Tuning VariablesMySQL Performance Tuning Variables
MySQL Performance Tuning VariablesFromDual GmbH
 

Mehr von FromDual GmbH (15)

MariaDB/MySQL pitfalls - And how to come out again...
MariaDB/MySQL pitfalls - And how to come out again...MariaDB/MySQL pitfalls - And how to come out again...
MariaDB/MySQL pitfalls - And how to come out again...
 
MariaDB / MySQL tripping hazard and how to get out again?
MariaDB / MySQL tripping hazard and how to get out again?MariaDB / MySQL tripping hazard and how to get out again?
MariaDB / MySQL tripping hazard and how to get out again?
 
PXC 5.5 to MariaDB 10.4 Galera Cluster Migration Workshop
PXC 5.5 to MariaDB 10.4 Galera Cluster Migration WorkshopPXC 5.5 to MariaDB 10.4 Galera Cluster Migration Workshop
PXC 5.5 to MariaDB 10.4 Galera Cluster Migration Workshop
 
IT Tage 2019 MariaDB 10.4 New Features
IT Tage 2019 MariaDB 10.4 New FeaturesIT Tage 2019 MariaDB 10.4 New Features
IT Tage 2019 MariaDB 10.4 New Features
 
MariaDB 10.4 New Features
MariaDB 10.4 New FeaturesMariaDB 10.4 New Features
MariaDB 10.4 New Features
 
MariaDB 10.2 New Features
MariaDB 10.2 New FeaturesMariaDB 10.2 New Features
MariaDB 10.2 New Features
 
PERFORMANCE_SCHEMA and sys schema
PERFORMANCE_SCHEMA and sys schemaPERFORMANCE_SCHEMA and sys schema
PERFORMANCE_SCHEMA and sys schema
 
Reading MySQL fingerprints
Reading MySQL fingerprintsReading MySQL fingerprints
Reading MySQL fingerprints
 
High-availability with Galera Cluster for MySQL
High-availability with Galera Cluster for MySQLHigh-availability with Galera Cluster for MySQL
High-availability with Galera Cluster for MySQL
 
MySQL always-up with Galera Cluster
MySQL always-up with Galera ClusterMySQL always-up with Galera Cluster
MySQL always-up with Galera Cluster
 
HA with Galera
HA with GaleraHA with Galera
HA with Galera
 
MySQL Indexierung CeBIT 2014
MySQL Indexierung CeBIT 2014MySQL Indexierung CeBIT 2014
MySQL Indexierung CeBIT 2014
 
Need for Speed: Mysql indexing
Need for Speed: Mysql indexingNeed for Speed: Mysql indexing
Need for Speed: Mysql indexing
 
MySQL for Oracle DBAs
MySQL for Oracle DBAsMySQL for Oracle DBAs
MySQL for Oracle DBAs
 
MySQL Performance Tuning Variables
MySQL Performance Tuning VariablesMySQL Performance Tuning Variables
MySQL Performance Tuning Variables
 

MySQL HA and Security

  • 1. www.fromdual.com 1 / 51 MySQL HA & Security SLAC 2013 5. - 7. Juni 2013, Berlin Oli Sennhauser Senior MySQL Berater, FromDual GmbH oli.sennhauser@fromdual.com
  • 2. www.fromdual.com 2 / 51 Über FromDual GmbH ● FromDual bietet neutral und unabhängig: ● Beratung für MySQL ● Support für MySQL und Galera Cluster ● Remote-DBA Dienstleistungen für MySQL ● MySQL Schulungen ● Oracle Silver Partner (OPN) ● Mitglied bei SOUG, DOAG /ch/open www.fromdual.com
  • 3. www.fromdual.com 3 / 51 Wir suchen noch: ● MySQL Enthusiast/in für Support / remote-DBA / Beratung und ● C++ Entwickler (mit Affinität zu DB, MySQL und Replikation)
  • 4. www.fromdual.com 4 / 51 Inhalt HA Solutions ➢ Read scale-out ➢ Replication set-up for HA ➢ Active/passive fail-over ➢ MySQL Cluster ➢ Replication Cluster ➢ Storage-Engine-Replication MySQL HA ➢ Scale-Out vs. Scale-Up ➢ Master/Slave Replikation ➢ Master/Master Replikation ➢ Aktiv/passiv failover Cluster mit SAN ➢ Aktiv/passiv failover Cluster mit DRBD ➢ Galera Cluster für MySQL ➢ MySQL (NDB) Cluster MySQL Security ...
  • 5. www.fromdual.com 5 / 51 MySQL Scale-Out vs Scale-Up Scale-Out ● Kosten ● MySQL Design ● Physische Flaschenhälse Scale-Up ● „Relaxation of Constraints“
  • 6. www.fromdual.com 6 / 51 ... Master – Slave Replikation Application Master log_bin = on server_id = 42 Slave ● Wir brauchen: ● Binary Log ● Server Id ● User für die Replikation (auf dem Master) ● Konsistentes Backup MIT Binary Log Position bin-log.m bin-log.n relay-log.m relay-log.n... IO_ thread SQL_ thread
  • 7. www.fromdual.com 7 / 51 High-Availability mit Replikation Application Master Slave Backup Slave Reporting rt w Load balancer read only Slave 1 Slave 2 Slave 3 ... async! Slave M ● Fail-over? VIP
  • 8. www.fromdual.com 8 / 51 Replikation Fail-over Application Master Slave Backup Load balancer Slave 1 Slave Reporting Slave 2 Slave 3 rt w read only ... async! Slave M VIP
  • 9. www.fromdual.com 9 / 51 Vorteile / Nachteile Einfaches „standard“ Set-up Sehr gut wenn r >> w Fail-over Seite ist bereits warm/heiss! Zeitversatz Master/Slave (asynchron!) Slave kann hinterherhinken (Slave ist oft Flaschenhals) Daten In-konsistenz (pt­table­checksum/pt­table­sync) Read/write Split ist mühsam, da nicht transparent Wenn Master stirbt→ welcher Slave wird neuere Master? Switch → viel Arbeit, etwas heikel! Es gibt Tools die helfen (MMM v1/v2, MHA, Tungsten, ...)
  • 10. www.fromdual.com 10 / 51 Master-Master Replikation App App App M1 Slave1 Slave2 SlaveBackup Load balancer (LB) M2 VIP Slave3
  • 11. www.fromdual.com 11 / 51 Master-Master Replikation App App App M1 Slave1 Slave2 SlaveBackup Load balancer (LB) M2 VIP Slave3
  • 12. www.fromdual.com 12 / 51 Vorteile / Nachteile Nur wenig komplexer als Master/Slave Sehr gut wenn r >> w Fail-over Seite ist bereits warm/heiss! Zeitversatz Master/Slave (asynchron!) Slave kann hinterherhinken (Slave ist oft Flaschenhals) Daten In-konsistenz (pt­table­checksum/pt­table­sync) Wenn Master stirbt, ist die Hälfte der Slaves „out of sync“! Vorsicht beim Schreiben auf beide Master! Read/write Split ist mühsam, da nicht transparent Man erhält dadurch NICHT mehr I/O Durchsatz! Ein wenig komplizierter (wieder-)aufzusetzen
  • 13. www.fromdual.com 13 / 51 Aktiv/passiv fail-over mit SAN App App App M' SAN Slave1 Slave2 Slave3 Load balancing (LB) M VIP
  • 14. www.fromdual.com 14 / 51 Aktiv/passiv fail-over mit SAN ● SPOF 2! App App App M' SAN Slave1 Slave2 Slave3 Load balancing (LB) M VIP !!!
  • 15. www.fromdual.com 15 / 51 Vorteile / Nachteile Synchrone Replikation I/O Durchsatz hängt vom SAN (I/O System) ab Keine Daten IN-Konsistenzen möglich Nur eine mögliche Datenquelle Slaves werden automatisch und sauber geschwenkt SAN und Filesystem sind SpoFs! Teuer wenn SAN noch nicht vorhanden ist. SAN's sind nicht einfach richtig zu betreiben! Andere Seite ist kalt nach Fail-over! Hälfte der Hardware idelt Wesentlich komplexer aufzusetzen
  • 16. www.fromdual.com 16 / 51 Aktiv/passiv fail-over mit DRBD App App App M' Slave1 Slave2 Slave3 Load balancing (LB) M VIP DRBD“Poor man's SAN”
  • 17. www.fromdual.com 17 / 51 Activ/passiv fail-over mit DRBD App App App M' Slave1 Slave2 Slave3 Load balancing (LB) M VIP DRBD“Poor man's SAN” ● SPOF 1!
  • 18. www.fromdual.com 18 / 51 Vorteile / Nachteile Synchrone Replikation Keine Daten IN-Konsistenzen möglich Nur eine mögliche Datenquelle Slaves werden automatisch und sauber geschwenkt Filesystem ist SpoF! I/O Durchsatz tendenziell geringer als mit SAN Andere Seite ist kalt nach Failover! Hälfte der Hardware idelt Wesentlich komplexer aufzusetzen
  • 19. www.fromdual.com 19 / 51 Galera Cluster für MySQL App App App Load balancing (LB) Node 2 Node 3Node 1 wsrep Galera replication wsrep wsrep
  • 20. www.fromdual.com 20 / 51 Galera Cluster für MySQL App App App Load balancing (LB) Node 2Node 1 wsrep Galera replication wsrep Node 3 wsrep
  • 21. www.fromdual.com 21 / 51 Vorteile / Nachteile Synchrone Replikation Aktiv-aktiv multi-Master Topologie Lesen und Schreiben auf alle Cluster-Knoten (KEIN r/w Split notwendig) Automatische Knotenverwaltung Echtes paralleles Replizieren auf Zeilenebene Kein Hinterherhinken des Slaves Keine verlorene Transaktionen Lese-Skalierbarkeit (read Scale-Out!) und mehr Schreiben (+ SSD) Wartung im „laufenden Betrieb“ möglich (Rolling Restart) Basiert auf InnoDB Storage Engine (nur auf InnoDB!) Galera Binaries (nicht Oracle/MySQL) Achtung vor Hots-Spots auf einzelnen Zeilen (z. B. Sequenzen-Tabelle) Dadurch höhere Wahrscheinlichkeit von Deadlocks Voll-Synchronisation (SST) blockiert Lesen und Schreiben → 3 Koten
  • 22. www.fromdual.com 22 / 51 Load balancing (LB) MySQL (NDB) Cluster MySQL Server NDB Cluster (Data nodes) MySQL Server MySQL Server ndbd ndbd ndbdndbd mgmd MGM client SQL nodes mgmd MGM client App App App NG0 NG1 Data nodes / Mgmt nodes Load balancing (LB)Load balancing (LB)
  • 23. www.fromdual.com 23 / 51 Vorteile / Nachteile Synchrone Replikation Nur eine mögliche Datenquelle Keine Daten IN-Konsistenzen möglich Extrem hoher Durchsatz (wenn richtig gemacht) Skaliert sehr gut für Lesen UND Schreiben (wenn richtig gemacht) Wartung im „laufenden Betrieb“ möglich Kein drop-in Ersatz für InnoDB/MyISAM! Hoher Bedarf an RAM (in-memory DB) und Netzwerk Mindestens 3 Server (besser 4) sind erforderlich. Neue Datenbank zu lernen (MySQL Cluster != MySQL!) Komplexer aufzusetzen und zu betreiben als normales MySQL Schlecht für Joins (Network Database, Push Down Joins in v7.2)
  • 25. www.fromdual.com 25 / 51 Inhalt HA Solutions ➢ Read scale-out ➢ Replication set-up for HA ➢ Active/passive fail-over ➢ MySQL Cluster ➢ Replication Cluster ➢ Storage-Engine-Replication MySQL HA ➢ ... MySQL Security ➢ Was ist Security? ➢ Probleme, Anforderungen, Konsequenzen, Massnahmen ➢ Vertraulichkeit ➢ Integrität ➢ Verfügbarkeit ➢ Informationsquellen
  • 26. www.fromdual.com 26 / 51 Was ist Security/Sicherheit? ● Vertraulichkeit ● Zugriff nur durch autorisierte Nutzer ● Integrität ● Veränderung der Daten ● Nachvollziehbarkeit ● Verfügbarkeit ● Verhinderung von Systemausfällen
  • 27. www.fromdual.com 27 / 51 Sicherheitsprobleme (1) ● Technische Sicherheitsprobleme ● Sind einfach in den Griff zu bekommen ● Hardware geht kaputt ● Gut wenn schnell kaputt ● Schlecht wenn langsam kaputt ● CPU, RAM, I/O-Controller, NW, Motherboard ● Stromausfall ● Disk läuft voll, DB crashed, Replikation bleibt stehen... ● Monitoring → Error Log anschauen! ● Bugs
  • 28. www.fromdual.com 28 / 51 Sicherheitsprobleme (2) ● Menschliche Sicherheitsprobleme ● Sind etwas schwieriger in den Griff zu bekommen! ● Unfall: Ups!!! UPDATE emp SET salary = salary + 10000; WHERE  position = 'manager'; DROP auf Produktion anstatt auf Entwicklungssystem :-( ● Interner Datenklau (Schweizer Daten-CD's in D) ● Externer Angriff (Zerstörung, DoS, Datenklau) ● Gemäss Statistiken kommt interne Angriffe häufiger vor als externe...?
  • 29. www.fromdual.com 29 / 51 Sicherheitsanforderungen ● Was sind die Anforderungen? ● vs. was sind die Kosten? ● Wie lange darf ein Restore/Recovery dauern? ● MTTR ● Welcher Datenverlust kann akzeptiert werden? ● Alte Daten, neue Daten? ● Ist es akzeptable, alte Daten erst später zurückzukriegen? ● Wer hat Zugriff auf welche Daten?
  • 30. www.fromdual.com 30 / 51 Konsequenzen ● Wenn man nicht vorbereitet ist: ● Firma muss geschlossen werden ● Rechtliche Konsequenzen ● Finanzieller Schaden €€€ ● (fristlose) Entlassung ● Reputationsschaden
  • 31. www.fromdual.com 31 / 51 Massnahmen ● Was können wir für die Sicherheit tun? ● Technische Massnahmen: ● Backup + Restore + Restore-Tests ● HA-Lösungen ● Logging ● Organisatorische Massnahmen ● Regelmässige Upgrades (DB, O/S) ● Zugriffskontrolle/-beschränkungen
  • 33. www.fromdual.com 33 / 51 Warum so pingelig? ● Fuss in der Türe → Hocharbeiten ● Denial of Service DoS ● Script Kiddies, Mitbewerber, Erpressung, Schaden ● Reputationsschaden ● Datendiebstahl ● Kunden- oder Produktionsdaten, Steuersünder, etc. ● Hoster! ● 100e von Nutzern
  • 34. www.fromdual.com 34 / 51 Zugriffsbeschränkung ● Betriebssystem (root user) ● Zugriff aufs DB Filesystem! ● DB Zugriff ● root von remote? ● Passwörter: leer, default, gleich, ändern ● Privilegien: ALL ON *.*
  • 35. www.fromdual.com 35 / 51 Abwehrmassnahmen ● MySQL Konfiguration ● .history oder .mysql_history ● Datenbank NIE Internet aussetzen → DMZ ● Firewall ● SQL-Firewall gegen Angriff aus der Applikation ● Bekannte Angriffsziele meiden: phpMyAdmin
  • 40. www.fromdual.com 40 / 51 Datenintegrität ● Binary Log ● General Query Log ● Logon Trigger (init_connect) ● Audit Log Plugin (Enterprise Feature) ● McAfee MySQL Audit Plugin
  • 42. www.fromdual.com 42 / 51 Backup + Restore ● Backup + Binary-Logging ● Point-in-Time-Recovery (PiTR) ● Restore-Tests um Überraschungen zu vermeiden
  • 43. www.fromdual.com 43 / 51 Point-in-Time-Recovery (PITR) Application ApplicationApplication mysqld bin-log.1 bin-log.2 bin-log.n... log_bin = on t fullbackup 02:00 14:00
  • 44. www.fromdual.com 44 / 51 Warum Restore Test Demo
  • 45. www.fromdual.com 45 / 51 HA Lösungen ● RAID für Platten ● Cluster-Lösungen ● Master-Slave Replikation ● Galera Cluster für MySQL ● Aktiv/passiv Failover-Cluster SAN/DRBD ● MySQL Cluster ● → Hatten wir ja schon zu Beginn. ● Achtung: NICHT für logische Fehler → Backup!
  • 46. www.fromdual.com 46 / 51 Galera Cluster für MySQL App App App Load balancing (LB) Node 2 Node 3Node 1 wsrep Galera replication wsrep wsrep rwrw synchrone Replikation
  • 47. www.fromdual.com 47 / 51 Galera Cluster für MySQL App App App Load balancing (LB) Node 2 Node 3Node 1 wsrep Galera replication wsrep wsrep ● Hardware-Ausfall ● Wartungsarbeiten ● HW/OS/DB Upgrade
  • 49. www.fromdual.com 49 / 51 Informationen ● http://www.fromdual.com/security ● MySQL/MariaDB/Percona: Release-Notes ● Oracle CPU ● MySQL Dokumentation: Security ● CVE ● RedHat Security Advisors ● full-disclosure@lists.grok.org.uk ● MySQL Security Forum ● GreenSQL: MySQL SQL Firewall http://www.greensql.com ● McAfee: MySQL Audit Plugin https://github.com/mcafee/mysql-audit/downloads
  • 50. www.fromdual.com 50 / 51 Wir suchen noch: ● MySQL Enthusiast/in für Support / remote-DBA / Beratung und ● C++ Entwickler (mit Affinität zu DB, MySQL und Replikation)
  • 51. www.fromdual.com 51 / 51 Q & A Fragen ? Diskussion? Wir haben Zeit für ein Security Audit... ● FromDual bietet neutral und unabhängig: ● Beratung ● Remote-DBA ● Support für MySQL und Galera Cluster ● Schulung www.fromdual.com/presentations