我的书签
添加书签
移除书签前言
MariaDB MaxScale 是一款数据库中间件,可以按照语义分发语句到多个数据库服务器上。它对应用程序透明,可以提供读写分离、负载均衡和高可用服务。
proxy protocol 是 MaxScale 引入,为了解决使用proxy作为中间件连接mysql时,mysql获取client ip用 client通过proxy中间价连接mysql时,mysql server接收到认证报文中,包含的是proxy节点的IP。如果mysql.user表中指定了client的IP,无法通过认证。
一种传统处理方式是在proxy节点上保存client的ip和密码,用于client的认证,而在mysql server上使用另一套ip和密码用于proxy 节点到mysql server的认证。
MariaDB MaxScale引入了proxy protocol来解决client ip透传的问题。proxy节点获取到client ip后,把client ip包装在proxy protocol报文中发给server,server解析到了proxy protocol报文,再用报文中的ip替换proxy节点的ip
因为 proxy protocol 本身不包含鉴权,同时可能影响数据库的鉴权行为,所以在数据库 server 端设置了一个ip白名单,只有白名单ip发送的 proxy protocol 报文才会被接受。
mysql连接与认证过程和网络模块数据结构可以参考以前的月报
报文格式
proxy protocol 有两个版本 v1 和 v2 通过报文签名区分
v1
v1 报文是字符串形式 “PROXY %s %s %s %d %d”
| 字段 | 内容 |
|---|---|
| 签名 | PROXY |
| %s.1 | address family |
| %s.2 | client address |
| %s.3 | server address |
| %d.1 | client port |
| %d.2 | server port |
v2
| 字段 | 内容 |
|---|---|
| 报文签名12字节 | \x0D\x0A\x0D\x0A\x00\x0D\x0A\x51\x55\x49\x54\x0A |
| ver_cmd 1 字节 | version 高四位 0x2 « 4, command 0x1(PROXY) 0x0 (LOCAL) |
| family 1 字节 | IPV4 0x11,IPV6 0x21,AF_UNIX 0x21 |
| length 2字节 | addr 部分的数据长度,IPV4 12, IPV6 36, AF_UNIX 216 |
| addr 以IPV4为例 | client地址4字节,server地址4字节,client port 2字节, server port 2字节 |
客户端改造
MaxScale 使用场景下,Proxy Protocol Header 由 MaxScale 发送,这里暂不分析
MariaDB 为了测试,也改造了 client,可以通过 mysql_option 设置 Proxy Protocol
使用方法:在mysql_real_connect之前,调用 mysql_option
mysql_optionsv(mysql, MARIADB_OPT_PROXY_HEADER, header_data, header_lengths);
第一个参数是 MYSQL 句柄,第二个参数是 PROXY_HEADER 标志位,第三个参数是 Proxy Protocol Header,第四个参数是 Header length
Proxy Protocol Header 按照上述规则传入即可
/* st_mysql_options_extension 结构体对应 mysql->options->extension */struct st_mysql_options_extension {.../* */char *proxy_header;size_t proxy_header_len;}intmysql_optionsv(MYSQL *mysql,enum mysql_option option, ...){...switch (option) {case MARIADB_OPT_PROXY_HEADER:{size_t arg2 = va_arg(ap, size_t);/* 把 proxy_header 和 proxy_header_len 保存到extension中 */OPT_SET_EXTENDED_VALUE(&mysql->options, proxy_header, (char *)arg1);OPT_SET_EXTENDED_VALUE(&mysql->options, proxy_header_len, arg2);}break;}}/*mysql_real_connect 过程中发送 proxy header发送时机在建连后,接收挑战码之前这样在鉴权时可以使用 proxy header 中保存的 ip port*/MYSQL *mthd_my_real_connect(MYSQL *mysql, const char *host, const char *user,const char *passwd, const char *db,uint port, const char *unix_socket, unsigned long client_flag){.../* 如果extension中保存了 proxy_header,则把header发送给server */if (mysql->options.extension && mysql->options.extension->proxy_header){char *hdr = mysql->options.extension->proxy_header;size_t len = mysql->options.extension->proxy_header_len;if (ma_pvio_write(pvio, (unsigned char *)hdr, len) <= 0){ma_pvio_close(pvio);goto error;}}}
服务端改造
我们知道,server 通过对比自己的 net->pkt_nr 和 client 发送过来的 net->pkt_nr 来保证包没有乱序。而proxy header 没有包含正确的 pkt_nr,就可以通过判断 pkt_nr 乱序来识别 proxy header。
对于一对client和server线程,pkt_nr是共享的。
假设 server 发送的第一个包 pkt_nr == 1,下一个包是 client 回包 pkt_nr == 2,那么server再发给client 的包 pkt_nr == 3 以此类推。
/*正常的 mysql 都包含4字节 header,前三字节是size,第四字节是 pkt_nr*/my_bool my_net_write(NET *net, const uchar *packet, size_t len){.../* 如果大于最大包长度,则分成多个包发送 */while (len >= MAX_PACKET_LENGTH){const ulong z_size = MAX_PACKET_LENGTH;/* 前三个字节保存size */int3store(buff, z_size);/* 第四字节保存pkt_nr */buff[3]= (uchar) net->pkt_nr++;if (net_write_buff(net, buff, NET_HEADER_SIZE) ||net_write_buff(net, packet, z_size)){MYSQL_NET_WRITE_DONE(1);return 1;}packet += z_size;len-= z_size;}/* Write last packet */int3store(buff,len);buff[3]= (uchar) net->pkt_nr++;...}/* my_real_read 里面处理 proxy header */static ulongmy_real_read(NET *net, size_t *complen,my_bool header __attribute__((unused))){retry:/* 收到的包不满足 pkt_nr 约束,可能是 proxy header,跳转到 packets_out_of_order */if (net->buff[net->where_b + 3] != (uchar) net->pkt_nr)goto packets_out_of_order;packets_out_of_order:/*判断是否是 proxy protocol header判断标准是报文前几位是否符合 proxy protocol header 的 signature前面已经提到v1 signature 五字节:PROXYv2 signature 12字节:\x0D\x0A\x0D\x0A\x00\x0D\x0A\x51\x55\x49\x54\x0A*/if (has_proxy_protocol_header(net)&& net->thd &&((THD *)net->thd)->get_command() == COM_CONNECT){/* Proxy information found in the first 4 bytes received so far.Read and parse proxy header , change peer ip address and port in THD.*//* 处理 proxy header,修改 THD 中的 ip port */if (handle_proxy_header(net)){/* error happened, message is already written. */len= packet_error;goto end;}/* proxy protocol header 处理成功,跳到函数头重新读取 */goto retry;}static int handle_proxy_header(NET *net){/*判断 proxy protocol header 的来源 ip 是否在白名单中白名单是一个全局变量 proxy_protocol_networks白名单 ip 以逗号分隔保存在全局变量中*/if (!is_proxy_protocol_allowed((sockaddr *)&(thd->net.vio->remote))){/* proxy-protocol-networks variable needs to be set to allow this remote address */my_printf_error(ER_HOST_NOT_PRIVILEGED, "Proxy header is not accepted from %s",MYF(0), thd->main_security_ctx.ip);return 1;}/*根据格式解析 proxy protocol header,格式在上文中已做介绍解析结果保存在 peer_info 中*/if (parse_proxy_protocol_header(net, &peer_info)){/* Failed to parse proxy header*/my_printf_error(ER_UNKNOWN_ERROR, "Failed to parse proxy header", MYF(0));return 1;}/* Change peer address in THD and ACL structures.*//* 将 peer_info 中的信息转存到 thd 中 */return thd_set_peer_addr(thd, &(peer_info.peer_addr), NULL, peer_info.port, false);}
