Transfert IP HAProxy vers MySQL pour contrôler l'accès utilisateur basé sur IP

Question

Nous pouvons créer des utilisateurs MySQL autorisés à partir d'une adresse IP ou d'une plage d'adresses IP particulière. Par exemple, CREATE USER 'nom d'utilisateur' @ 'IP' IDENTIFIÉ PAR ... Ici, si je donne une adresse IP particulière, cela signifie que les utilisateurs de cette adresse IP peuvent uniquement accéder à MySQL. Maintenant, il ya un besoin d'un équilibreur de charge (HAProxy) au-dessus de nombreux nœuds MySQL derrière lui. Le problème est le suivant: lorsqu'une requête vient de HAProxy vers MySQL, c'est l'IP de HAProxy qui vient à MySQL. Donc, la façon dont je veux utiliser l'IP tout en créant un utilisateur, ne fonctionne pas. Ma question concerne particulièrement cette USE-CASE et j'aimerais savoir s'il y a une solution pour cela?

Answer 1

Vous devez créer un utilisateur avec l'adresse IP haproxy car le trafic DB proviendra de là.

Au lieu d'adresses IP spécifiques, vous pouvez également opter pour des adresses IP génériques, par ex. user@10.10.10.%. Les utilisateurs peuvent accéder à MySQL à partir de machines avec des adresses IP à partir de 10.10.10. Si les machines DB et haproxy se trouvent sur le même réseau (10.10.10.x), il vous suffit de créer un compte.

Explorez plus d'options dans la documentation: https://dev.mysql.com/doc/refman/5.7/en/account-names.html

Si vous décidez de passer pleinement les utilisateurs à utiliser le proxy pour accéder à mysql, vous pouvez modifier le host de leur compte utilisateur comme mentionné ici: https://stackoverflow.com/a/12045483/255523