【MySQL高级】Mysql复制及Mysql权限管理

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介: 【MySQL高级】Mysql复制及Mysql权限管理

3. Mysql复制

3.1 复制概述

复制是指将主数据库的DDL 和 DML 操作通过二进制日志传到从库服务器中,然后在从库上对这些日志重新执行(也叫重做),从而使得从库和主库的数据保持同步。


MySQL支持一台主库同时向多台从库进行复制, 从库同时也可以作为其他从服务器的主库,实现链状复制。


3.2 复制原理


MySQL 的主从复制原理如下。


144ea5e7805f4211ae3efa6ecd5a3f6e.png


从上层来看,复制分成三步:


Master 主库在事务提交时,会把数据变更作为时间 Events 记录在二进制日志文件 Binlog 中。


主库推送二进制日志文件 Binlog 中的日志事件到从库的中继日志 Relay Log 。


slave重做中继日志中的事件,将改变反映它自己的数据。


3.3 复制优势


MySQL 复制的有点主要包含以下三个方面:


主库出现问题,可以快速切换到从库提供服务。


可以在从库上执行查询操作,从主库中更新,实现读写分离,降低主库的访问压力。


可以在从库中执行备份,以避免备份期间影响主库的服务。


3.4 搭建步骤


3.4.1 master


1) 在master 的配置文件(/usr/my.cnf)中,配置如下内容:


#mysql 服务ID,保证整个集群环境中唯一
server-id=1
#mysql binlog 日志的存储路径和文件名
log-bin=/var/lib/mysql/mysqlbin
#错误日志,默认已经开启
#log-err
#mysql的安装目录
#basedir
#mysql的临时目录
#tmpdir
#mysql的数据存放目录
#datadir
#是否只读,1 代表只读, 0 代表读写
read-only=0
#忽略的数据, 指不需要同步的数据库
binlog-ignore-db=mysql
#指定同步的数据库
#binlog-do-db=db01


2) 执行完毕之后,需要重启Mysql:


service mysql restart;


3) 创建同步数据的账户,并且进行授权操作:IP是从服务器的IP!!!


grant replication slave on *.* to 'itcast'@'1.15.69.44' identified by 'itcast'; 
flush privileges;


4) 查看master状态:


show master status;

c6bb80115a1e4a6992fe65b6c81ce1a0.png


字段含义:


File : 从哪个日志文件开始推送日志文件

Position : 从哪个位置开始推送日志

Binlog_Ignore_DB : 指定不需要同步的数据库

3.4.2 slave


1) 在 slave 端配置文件中,配置如下内容:

#mysql服务端ID,唯一
server-id=2
#指定binlog日志
log-bin=/var/lib/mysql/mysqlbin

2) 执行完毕之后,需要重启Mysql:


service mysql restart;

3) 执行如下指令 :


change master to master_host= '121.40.18.94', master_user='itcast', master_password='itcast', master_log_file='mysqlbin.000001', master_log_pos=600;


指定当前从库对应的主库的IP地址,用户名,密码,从哪个日志文件开始的那个位置开始同步推送日志。


4) 开启同步操作


start slave;
show slave status;

de2768ff410e42e69e19d7d3c0dbbd8b.png

5) 停止同步操作


stop slave;


3.4.3 验证同步操作


1) 在主库中创建数据库,创建表,并插入数据 :


create database db01;
user db01;
create table user(
    id int(11) not null auto_increment,
    name varchar(50) not null,
    sex varchar(1),
    primary key (id)
)engine=innodb default charset=utf8;
insert into user(id,name,sex) values(null,'Tom','1');
insert into user(id,name,sex) values(null,'Trigger','0');
insert into user(id,name,sex) values(null,'Dawn','1');


2) 在从库中查询数据,进行验证 :


在从库中,可以查看到刚才创建的数据库:


a3880fb4904945da94703ff74f64ca93.png


在该数据库中,查询user表中的数据:


e613eca740174d6e85ab92bd0b7bcb0e.png


4. Mysql权限管理


4.1 MySQL 权限介绍


mysql中存在4个控制权限的表,分别为user表,db表,tables_priv表,columns_priv表,在MySQL8.0之后,还新增了role相关的权限控制


mysql权限表的验证过程为:


先从user表中的Host,User,Password这3个字段中判断连接的ip、用户名、密码是否存在,存在则通过验证。


通过身份认证后,进行权限分配,按照user,db,tables_priv,columns_priv的顺序进行验证。即先检查全局权限表user,如果user中对应的权限为Y,则此用户对所有数据库的权限都为Y,将不再检查db, tables_priv,columns_priv;如果为N,则到db表中检查此用户对应的具体数据库,并得到db中为Y的权限;如果db中为N,则检查tables_priv中此数据库对应的具体表,取得表中的权限Y,以此类推


4.1.1MySQL 权限级别


分为:


全局性的管理权限: 作用于整个MySQL实例级别


数据库级别的权限: 作用于某个指定的数据库上或者所有的数据库上


数据库对象级别的权限:作用于指定的数据库对象上(表、视图等)或者所有的数据库对象上


权限存储在mysql库的user, db, tables_priv, columns_priv, and procs_priv这几个系统表中,待MySQL实例启动后就加载到内存中


查看mysql 有哪些用户,他们分别有什么权限:


select * from user;


4.2 MySQL 权限详解


All/All Privileges权限代表全局或者全数据库对象级别的所有权限


Alter权限代表允许修改表结构的权限,但必须要求有create和insert权限配合。如果是rename表名,则要求有alter和drop原表, create和insert新表的权限


Alter routine权限代表允许修改或者删除存储过程、函数的权限


Create权限代表允许创建新的数据库和表的权限


Create routine权限代表允许创建存储过程、函数的权限


Create tablespace权限代表允许创建、修改、删除表空间和日志组的权限


Create temporary tables权限代表允许创建临时表的权限


Create user权限代表允许创建、修改、删除、重命名user的权限


Create view权限代表允许创建视图的权限


Delete权限代表允许删除行数据的权限


Drop权限代表允许删除数据库、表、视图的权限,包括truncate table命令


Event权限代表允许查询,创建,修改,删除MySQL事件


Execute权限代表允许执行存储过程和函数的权限


File权限代表允许在MySQL可以访问的目录进行读写磁盘文件操作,可使用的命令包括load data infile,select … into outfile,load file()函数


Grant option权限代表是否允许此用户授权或者收回给其他用户你给予的权限,重新付给管理员的时候需要加上这个权限


Index权限代表是否允许创建和删除索引


Insert权限代表是否允许在表里插入数据,同时在执行analyze table,optimize table,repair table语句的时候也需要insert权限


Lock权限代表允许对拥有select权限的表进行锁定,以防止其他链接对此表的读或写


Process权限代表允许查看MySQL中的进程信息,比如执行show processlist, mysqladmin processlist, show engine等命令


Reference权限是在5.7.6版本之后引入,代表是否允许创建外键


Reload权限代表允许执行flush命令,指明重新加载权限表到系统内存中,refresh命令代表关闭和重新开启日志文件并刷新所有的表


Replication client权限代表允许执行show master status,show slave status,show binary logs命令


Replication slave权限代表允许slave主机通过此用户连接master以便建立主从复制关系


Select权限代表允许从表中查看数据,某些不查询表数据的select执行则不需要此权限,如Select 1+1, Select PI()+2;而且select权限在执行update/delete语句中含有where条件的情况下也是需要的


Show databases权限代表通过执行show databases命令查看所有的数据库名


Show view权限代表通过执行show create view命令查看视图创建的语句


Shutdown权限代表允许关闭数据库实例,执行语句包括mysqladmin shutdown


Super权限代表允许执行一系列数据库管理命令,包括kill强制关闭某个连接命令, change master to创建复制关系命令,以及create/alter/drop server等命令


Trigger权限代表允许创建,删除,执行,显示触发器的权限


Update权限代表允许修改表中的数据的权限


Usage权限是创建一个用户之后的默认权限,其本身代表连接登录权限


4.2.1 系统权限表


User表:存放用户账户信息以及全局级别(所有数据库)权限,决定了来自哪些主机的哪些用户可以访问数据库实例,如果有全局权限则意味着对所有数据库都有此权限 Db表:存放数据库级别的权限,决定了来自哪些主机的哪些用户可以访问此数据库 Tables_priv表:存放表级别的权限,决定了来自哪些主机的哪些用户可以访问数据库的这个表 Columns_priv表:存放列级别的权限,决定了来自哪些主机的哪些用户可以访问数据库表的这个字段 Procs_priv表:存放存储过程和函数级别的权限


最重要的还是user表


4.2.1.1 User和 db 权限表的结构


表名 user db
范围列 Host Host
User Db
User
权限列 Select_priv Select_priv
Insert_priv Insert_priv
Update_priv Update_priv
Delete_priv Delete_priv
Index_priv Index_priv
Alter_priv Alter_priv
Create_priv Create_priv
Drop_priv Drop_priv
Grant_priv Grant_priv
Create_view_priv Create_view_priv
Show_view_priv Show_view_priv
Create_routine_priv Create_routine_priv
Alter_routine_priv Alter_routine_priv
Execute_priv Execute_priv
Trigger_priv Trigger_priv
Event_priv Event_priv
Create_tmp_table_priv Create_tmp_table_priv
Lock_tables_priv Lock_tables_priv
References_priv References_priv
Reload_priv
Shutdown_priv
Process_priv
File_priv
Show_db_priv
Super_priv
Repl_slave_priv
Repl_client_priv
Create_user_priv
Create_tablespace_priv
安全专栏 ssl_type
ssl_cipher
x509_issuer

x509_subject
plugin
authentication_string
password_expired
password_last_changed
password_lifetime
account_locked
资源控制列 max_questions
max_updates
max_connections
max_user_connections


User权限表结构中的特殊字段:


Plugin,authentication_string字段存放用户认证信息


Password_expired设置成’Y’则表明允许DBA将此用户的密码设置成过期而且过期后要求用户的使用者重置密码(alter user/set password重置密码)


Password_last_changed作为一个时间戳字段代表密码上次修改时间,执行create user/alter user/set password/grant等命令创建用户或修改用户密码时此数值自动更新


Password_lifetime代表从password_last_changed时间开始此密码过期的天数


Account_locked代表此用户被锁住,无法使用


在mysql 5.7 以前在user表有password 这个字段。


4.2.1.2 Tables_priv和columns_priv权限表结构


表名 tables_priv columns_priv
范围列 Host Host
Db Db
User User
Table_name Table_name

Column_name
权限列 Table_priv Column_priv
Column_priv
其他列 Timestamp Timestamp
Grantor


Tables_priv和columns_priv权限值

image.png

4.2.1.3 procs_priv权限表结构

Table Name procs_priv
Scope columns Host
Db
User
Routine_name
Routine_type
Privilege columns Proc_priv
Other columns Timestamp
Grantor

Routine_type是枚举类型,代表是存储过程还是函数

Timestamp和grantor两个字段暂时没用

系统权限表字段长度限制表

Column Name Maximum Permitted Characters
Host, Proxied_host 60
User, Proxied_user 32
Password 41
Db 64
Table_name 64
Column_name 64
Routine_name 64



权限认证中的大小写敏感问题


字段user,password,authencation_string,db,table_name大小写敏感


字段host,column_name,routine_name大小写不敏感


4.2.2 用户权限信息管理


4.2.2.1 查看用户权限信息


查看MYSQL有哪些用户


mysql> select user,host from mysql.user;

查看已经授权给用户的权限信息 例如root


mysql> show grants for root@'localhost';

查看用户的其他非授权信息


mysql> show create user root@'localhost';

4.2.2.2 用户组成


MySQL的授权用户由两部分组成: 用户名和登录主机名


表达用户的语法为’user_name’@’host_name’


单引号不是必须,但如果其中包含特殊字符则是必须的


”@‘localhost’代表匿名登录的用户


Host_name可以使主机名或者ipv4/ipv6的地址。 Localhost代表本机, 127.0.0.1代表ipv4本机地址, ::1代表ipv6的本机地址


Host_name字段允许使用%和_两个匹配字符,比如’%’代表所有主机, ’%.mysql.com’代表来自mysql.com这个域名下的所有主机, ‘192.168.1.%’代表所有来自192.168.1网段的主机


User值 Host 允许的连接
'fred' 'h1.example.net' fred,连接 h1.example.net
'' 'h1.example.net' 任何用户,从中连接 h1.example.net
'fred' '%' fred,从任何主机连接
'' '%' 任何用户,从任何主机连接
'fred' '%.example.net' fred,从example.net域中的任何主机连接
'fred' 'x.example.%' fred,从连接 x.example.netx.example.comx.example.edu,等; 这可能没用
'fred' '198.51.100.177' fred,从主机与IP地址连接 198.51.100.177
'fred' '198.51.100.%' fred,从198.51.100C类子网中的任何主机连接
'fred' '198.51.100.0/255.255.255.0' 与前面的示例相同


4.2.2.3 修改用户权限


执行Grant,revoke,set password,rename user命令修改权限之后, MySQL会自动将修改后的权限信息同步加载到系统内存中


如果执行insert/update/delete操作上述的系统权限表之后,则必须再执行刷新权限命令才能同步到系统内存中,刷新权限命令包括: flush privileges/mysqladmin flush-privileges / mysqladmin reload


如果是修改tables和columns级别的权限,则客户端的下次操作新权限就会生效


如果是修改database级别的权限,则新权限在客户端执行use database命令后生效


如果是修改global级别的权限,则需要重新创建连接新权限才能生效


如果是修改global级别的权限,则需要重新创建连接新权限才能生效 (例如修改密码)


4.2.2.4 创建 mysql 用户


有两种方式创建MySQL授权用户


执行create user/grant命令(推荐方式)


通过insert语句直接操作MySQL系统权限表


# 这只是创建用户并没有权限
mysql> CREATE USER 'rld'@'localhost' IDENTIFIED BY 'rld';
# 把rld变成管理员用户
mysql> GRANT ALL PRIVILEGES ON *.* TO 'rld'@'localhost' WITH
GRANT OPTION;
#创建用户并赋予RELOAD,PROCESS权限 ,在所有的库和表上
mysql> GRANT RELOAD,PROCESS ON *.* TO 'admin'@'localhost' identified by '123456';
# 创建keme用户,在test库,temp表, 上的id列只有select 权限
mysql> grant select(id) on test.temp to keme@'localhost' identified by '123456';


4.2.2.5 回收 mysql 权限


通过revoke命令收回用户权限,回收的时候看一下这个用户有哪些权限然后回收 我对admin 用户做测试


mysql> show grants for admin@'localhost';
mysql> select user,host from mysql.user;
mysql> revoke PROCESS ON *.* FROM admin@'localhost';

删除 mysql 用户


通过执行drop user命令删除MySQL用户 还可以通过系统权限表删除(不建议)


mysql> drop user admin@'localhost';

4.2.2.6 设置MySQL用户资源限制


通过设置全局变量max_user_connections可以限制所有用户在同一时间连接MySQL实例的数量,但此参数无法对每个用户区别对待,所以MySQL提供了对每个用户的资源限制管理


MAX_QUERIES_PER_HOUR:一个用户在一个小时内可以执行查询的次数(基本包含所有语句)


MAX_UPDATES_PER_HOUR:一个用户在一个小时内可以执行修改的次数(仅包含修改数据库或表的语句)


MAX_CONNECTIONS_PER_HOUR:一个用户在一个小时内可以连接MySQL的时间


MAX_USER_CONNECTIONS:一个用户可以在同一时间连接MySQL实例的数量


从5.0.3版本开始,对用户‘user’@‘%.example.com’的资源限制是指所有通过example.com域名主机连接user用户的连接,而不是分别指从host1.example.com和host2.example.com主机过来的连接


4.2.2.7 修改 mysql 用户密码


修改用户密码的方式包括:


mysql> ALTER USER ``'jeffrey'``@``'localhost'` `IDENTIFIED BY ``'mypass'``;
mysql> SET PASSWORD FOR ``'jeffrey'``@``'localhost'` `= PASSWORD(``'mypass'``);
mysql> GRANT USAGE ON *.* TO ``'jeffrey'``@``'localhost'` `IDENTIFIED BY ``'mypass'``;
shell> mysqladmin -u user_name -h host_name password ``"new_password"


创建用户时指定密码


mysql> CREATE USER ``'jeffrey'``@``'localhost'` `IDENTIFIED BY ``'mypass'``;


修改当前会话本身用户密码的方式包括:


mysql> ALTER USER USER() IDENTIFIED BY ``'mypass'``;
mysql> SET PASSWORD = PASSWORD(``'mypass'``);


4.2.2.8 设置MySQL用户密码过期策略


设置系统参数default_password_lifetime作用于所有的用户账户


default_password_lifetime=180 设置180天过期


default_password_lifetime=0 设置密码不过期 如果为每个用户设置了密码过期策略,则会覆盖上述系统参数


ALTER USER 'jeffrey'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;
ALTER USER 'jeffrey'@'localhost' PASSWORD EXPIRE NEVER; 密码不过期
ALTER USER 'jeffrey'@'localhost' PASSWORD EXPIRE DEFAULT; 默认过期策略


手动强制某个用户密码过期:

ALTER USER 'jeffrey'@'localhost' PASSWORD EXPIRE;

4.2.2.9 mysql 用户 lock


通过执行create user/alter user命令中带account lock/unlock子句设置用户的lock状态


Create user语句默认的用户是unlock状态

# 创建的时候给用户锁定
mysql> create user abc2@localhost identified by ``'mysql'` `account lock;
Alter user语句默认不会修改用户的lock/unlock状态
# 修改用户为unlock
mysql> alter user abc2@'localhost' account unlock;

当客户端使用lock状态的用户登录MySQL时,会收到如此报错 Access denied for user ‘user_name’@’host_name’. Account is locked.


相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
相关文章
|
6月前
|
存储 JSON 关系型数据库
《MySQL 简易速速上手小册》第9章:高级 MySQL 特性和技巧(2024 最新版)
《MySQL 简易速速上手小册》第9章:高级 MySQL 特性和技巧(2024 最新版)
74 1
|
6月前
|
安全 关系型数据库 MySQL
轻松入门MySQL:MySQL8权限管理详解,角色和用户操作实例(18)
轻松入门MySQL:MySQL8权限管理详解,角色和用户操作实例(18)
976 0
|
6月前
|
存储 SQL 关系型数据库
二、MySQL高级分享2
二、MySQL高级分享2
71 0
|
6月前
|
SQL 关系型数据库 MySQL
mysql用户、权限管理
mysql用户、权限管理
|
6月前
|
关系型数据库 MySQL 数据库
深入理解MySQL:从基础到高级数据库管理
深入理解MySQL:从基础到高级数据库管理
162 0
|
4月前
|
关系型数据库 MySQL 调度
MySQL高级功能与优化策略深度探索
MySQL高级功能与优化策略深度探索
|
5月前
|
SQL 存储 关系型数据库
精通MySQL:从基础到高级应用与最佳实践
第一章:MySQL基础入门 1.1 MySQL概述 介绍MySQL的历史、发展、优势以及应用领域
|
5月前
|
SQL 关系型数据库 MySQL
深入探索MySQL SELECT查询:从基础到高级,解锁数据宝藏的密钥
深入探索MySQL SELECT查询:从基础到高级,解锁数据宝藏的密钥
|
5月前
|
SQL 安全 关系型数据库
深入理解MySQL:从基础到高级应用及安全管理
第一章:MySQL基础入门 1.1 MySQL简介 简要介绍MySQL的历史、发展以及它在当前数据库领域的应用
|
5月前
|
SQL 存储 关系型数据库
精通MySQL:从基础到高级应用
第一章:MySQL入门 1.1 MySQL简介 介绍MySQL的历史、特点以及它作为关系型数据库管理系统(RDBMS)的优势