WebMoney: WMZ Z294115950220 WMR R409981405661 WME E134003968233 |
Visa 4274 3200 2453 6495 |
В зависимости от вашего использования MySQL Enterprise Monitor,
вы могли бы выполнить некоторые или все эти задачи после установки. Эта секция описывает некоторые общие задачи, которые могут требоваться
после установки или модернизации. Groups and Connections:
Группы всегда использовались, чтобы определить обработку событий и политику
советника, в этом выпуске Группы могут также использоваться, чтобы ограничить
видимость и доступ к определенным серверам MySQL и их хостам.
Прежде чем вы создадите связи и группы, мы рекомендуем, чтобы вы сначала
прочитали примечание о пользователях, ролях и управлении доступом. Чтобы создать связи, выберите
Instances из
Configuration в меню навигации.
Создайте новые контрольные связи, обработав непроверенные серверы, уже
обнаруженные MEM или вручную определив параметры связи для каждого сервера
MySQL, который вы хотите контролировать. Посмотрите
раздел 15.2
. Выберите Groups из
Configuration в меню навигации,
чтобы собрать ваши серверы MySQL в группы. Users, Roles, and Access Control
(ACLs): Прежде, чем создать ваши учетные записи пользователей, см.
главы 22 и 23. Вы хотите обеспечить открытый доступ ко всем проверенным ресурсам для всех
пользователей? Или определить роли, предоставляющие доступ к определенным
группам серверов MySQL? Если вы намереваетесь ограничить доступ таким
образом, необходимо сначала создать группы серверов MySQL, см.
главу 17. Только после того, как вы создаете группы,
вы сможете создавать определенные для группы роли. Наконец, назначьте пользователям роли. Можно также отобразить пользователей к ролям, определенным в LDAP
или Active Directory. Configure Event Handling and Notification
policies: Откройте Event Handling
из навигационного меню. Заполните и проверьте конфигурацию. См.
главу 21. Overview: Выберите
Overview из навигационного меню.
Установите умолчания для групп, которые вы хотите смотреть, диапазон времени
и графы, чтобы показать. См. главы 24. Replication: При использовании MySQL
Replication выберите Replication
из навигационного меню и выберите группу, чтобы смотреть ее конфигурацию,
статус и детали ошибки репликации. Выберите
Topology из навигационного меню, чтобы видеть
топологию репликации. См. главу 27. Advisors: можно принять умолчания,
или выбрать Advisors в
Configuration меню навигации
и настроить порог для групп или отдельных серверов MySQL.
Для получения дополнительной информации см.
главу 18. SQL Performance Tuning:
Если вы контролируете серверы MySQL 5.6.14 или выше,
богатые настраивающиеся данные о производительности sql доступны в
Query Analyzer. I/O and Lock Contention:
Если вы контролируете серверы MySQL 5.6 или выше,
рассмотрите развертывание схемы sys и использование отчетов
Database File I/O and Lock Waits
в меню Reports & Graphs. Они помогают вам определить то, кто использует
большую часть I/O, и есть ли какая-либо блокировка в вашем сервере
MySQL. См.
раздел 29.2. Обновите агентов:
Если вы еще этого не сделали, мы рекомендуем обновить ваших агентов перед
продолжением. См. главу 6. Overview:
Выберите Overview
из навигационного меню и ознакомьтесь с обновленным дизайном.
Установите умолчания, для которой группы вы хотите смотреть, диапазон времени
на диаграмме, какой набор и порядок графов показать. См.
главу 17. Самоподписанные сертификаты произведены установкой MySQL Enterprise
Monitor или процессом модернизации и собираются истечь после 365 дней.
В том маловероятном случае, что вы управляете версией
MySQL Enterprise Service Manager, использующей сертификаты по умолчанию
больше года, необходимо произвести новые сертификаты. Если вы не производите
новые сертификаты, связь SSL между MySQL Enterprise Service Manager и
хранилищем прерывается. Эта секция описывает, как произвести сертификаты. Эти инструкции ведут вас по процессу установки сертификатов SSL для вашей
установки MySQL Enterprise Monitor. Все сертификаты и ключи сохранены в Tomcat keystore.
Чтобы проверить сертификаты, сохраненные в keystore, выполните: Для получения информации об использовании
Чтобы произвести сертификат и добавить его к keystore: Это производит 2048-bit закрытый ключ RSA и сертификат. Это та же самая
команда, которая используется инсталляторами MySQL Enterprise Monitor. Когда запрошен ключевой пароль, если вы вводите пароль, вместо того, чтобы
принять умолчание нажатием Enter, необходимо также добавить новый пароль в
конфигурационном файле Tomcat Чтобы установить сертификат SSL для MySQL Enterprise Service Manager,
необходимо использовать Java Чтобы импортировать ваш сертификат: Если вы хотите импортировать существующий сертификат, который защищен
паролем, необходимо преобразовать его в формат, понятный Java keytool.
Сертификат должен быть преобразован из X509 в формат pkcs12, используя
инструментарий openSSL и следующую команду: Имя сертификата должно быть определено в tomcat
или соответствовать имени, используемому в шагах генерации ключей. Чтобы импортировать переделанный сертификат: Если вы заменяете существующий сертификат новым,
используя то же самое имя, необходимо удалить существующий
сертификат прежде, чем импортировать новый. Например, если замену сертификата называют
Перезапустите service manager. Для получения дополнительной информации об
остановке и старте service manager, см.
Unix/Mac OS X и
Microsoft Windows. Для получения информации о SSL и MySQL Server см.
Creating SSL and RSA Certificates and Keys. Чтобы формировать SSL-связанные возможности для агента, следующие
значения могут быть помещены в
Таблица 7.1. Параметры конфигурации SSL для агента
Значения:
True или False (по умолчанию). Проверьте, что имя хоста service manager, с которым связан агент,
совпадает с тем, что находится в сертификате SSL.
Значения:
True (по умолчанию) или False. Если Значения:
True или False (умолчание). Чтобы поддержать самоподписанные сертификаты, коммерческий сертификат или
если сертификат CA был импортирован в keystore, установите в true. 3.0.20 Значения: String Путь к keystore с CA сертификатом, если
Значения: String Пароль для CA keystore, если
Пример раздела сертификатов SSL в
Чтобы импортировать сертификат CA в формате PEM к новому keystore
агента, выполните следующее: Инструмент отвечает деталями сертификата. Например: Необходимо отредактировать конфигурационные значения
Конфигурация SSL для LDAP настраивается в MySQL Enterprise Service
Manager на уровне Java VM. Таким образом, это формируется в keystore
Java VM, связанной с вашей установкой MySQL Enterprise Monitor. JVM, отправленный с MySQL Enterprise Service Manager, не поддерживает шифр
AES256. Это может не дать использовать серверы LDAP, которые
осуществляют этот шифр. Чтобы соединиться с серверами LDAP, которые осуществляют шифр AES256,
необходимо загрузить и установить пакет Java
Cryptography Extension (JCE) Unlimited Strength Jurisdiction
Policy Files 8. Он доступен на
Java Cryptography Extension. Шаги, описанные в этой секции, предполагают, что ваш сервер LDAP правильно
формируется, и у вас есть корневой сертификат CA, который использовался,
чтобы произвести сертификат сервера LDAP.
Чтобы позволить SSL для LDAP и MySQL Enterprise Service Manager,
необходимо сделать следующее: Преобразуйте корневой сертификат CA сервера LDAP
из PEM в формат DER при необходимости. Если сертификат CA уже в формате DER,
переходите к следующему шагу. Импортируйте сертификат CA в формате DER в
MySQL Enterprise Service Manager Java keystore.
Выполните следующую команду из каталога
Перезапустите MySQL Enterprise Service Manager: Ниже приведен пример того, как использовать
Этот пример предполагает, что вы используете экземпляр MySQL
только в качестве хранилища для MySQL Enterprise Service Manager,
но не для любой другой цели. Это рекомендуемое внедрение. Вышеупомянутая команда создает файл Чтобы восстановить файл дампа: Необходимо также сделать копию следующих файлов: Можно также использовать MySQL Enterprise Backup,
чтобы справиться с процессом резервного копирования хранилища.
Для получения дополнительной информации см. документацию
MySQL Enterprise Backup. Также возможно закрыть MySQL Enterprise Service Manager,
скопировать весь каталог данных к другому местоположению и выполнить
перезапуск. Чтобы восстановить копию, просто закройте MySQL Enterprise
Service Manager, перепишите каталог данных с резервной копии и выполните
перезапуск. Это тот же самый процесс, который используется инсталлятором
модернизации MySQL Enterprise Service Manager. Ключ хоста SSH используется, чтобы отличить проверенные хосты, не должно
быть дубликата ключа SSH. Дубликат ключа может быть сделан, если сервер
клонирован. Эта секция описывает, как изменить ключ хоста SSH для конкретного
хоста, устранив события, произведенные, когда двойные хосты обнаружены. Следующие шаги должны быть выполнены: Произведите новый ключ SSH для проверенного хоста. Отредактируйте конфигурацию контролирующего агента. Отредактируйте В UNIX, Linux и Mac OS используйте утилиту
Чтобы произвести новый ключ SSH для проверенного
хоста, сделайте следующее: На проверенном хосте произведите ключ SSH. Например: При использовании Ключ может быть произведен, используя RSA (SSH1 или SSH2), DSA или ECDSA.
Все они поддерживаются MySQL Enterprise Monitor. Получите ключевой отпечаток. Отпечаток ключа это алфавитно-цифровая
последовательность, подобная следующей: В UNIX-системах получите это следующей командой: В Windows при применении Остановите контролирующего агента. Откройте конфигурационный файл
Например, использование отпечатка, показанного выше: На машине MySQL Enterprise Service Manager отредактируйте значение
Перезапустите контролирующего агента.
Глава 7. Постинсталляционные соображения
7.1. Общие соображения
Новые пользователи
Существующие пользователи: справочник по завершению вашей модернизации
7.2. Установка сертификатов SSL
Проверка Keystore
keytool -keystore
$INSTALL_ROOT
/apache-tomcat/conf/keystore -list -v
Создание Keystore, ключа и сертификата
keytool
см.
Java Keytool.
$INSTALL_ROOT/java/bin/keytool -genkey -keyalg RSA -sigalg SHA256withRSA \
-keystore $INSTALL_ROOT/apache-tomcat/conf/keystore \
-alias tomcat -validity 365 -keysize 2048
server.xml
.
MySQL Enterprise Service Manager и импорт SSL
keytool
и
импортировать сертификат в keystore.
keytool -import -trustcacerts -alias mycertificate \
-file cert.pem -keystore keystore
openssl pkcs12 -export -in [path-to-x509Cert]-inkey \
[path-to-cert-private-key] \
-out [path-to-cert-to-import-for-keystore] -name tomcat
$INSTALL_ROOT/java/bin/keytool -importkeystore \
-srckeystore [path-to-cert-to-import-for-keystore] \
-srcstoretype pkcs12 -destkeystore \
$INSTALL_ROOT/apache-tomcat/conf/keystore \
-deststoretype jks -srcalias
tomcat -destalias tomcat
tomcat
, который является умолчанием в MySQL
Enterprise Monitor, необходимо вызвать keytool с параметрами
-delete -name -tomcat
до импорта.SSL для хранилища
MySQL Enterprise Monitor Agent
:$INSTALL_ROOT
/etc/bootstrap.properties
Параметр Описание
Удален ssl-verify-hostnames
ssl-allow-self-signed-certs
true
самоподписанные сертификаты
разрешены. Если установлено в false
,
самоподписанные сертификаты не разрешены.ssl-verify-host-certs
ssl-ca-keystore-path
ssl-allow-self-signed-certs
= true.
Этот путь должен быть определен как URL. Например:
file:///Applications/mysql/enterprise/agent/etc/mykeystore
ssl-ca-keystore-password
ssl-allow-self-signed-certs
= true.
bootstrap.properties
:
ssl-verify-hostname=false
ssl-allow-self-signed-certs=true
ssl-ca-keystore-path=file:///Applications/mysql/enterprise/agent/etc/mykeystore
ssl-ca-keystore-password=password123
$INSTALL_ROOT/java/bin/keytool -import -file /path/to/ca/ca.pem \
-alias CA_ALIAS -keystore \
$INSTALL_ROOT/etc/cacerts
Enter keystore password (the keystore requires at
least a 6 character password) :
Re-enter new password :
Owner: CN=serverName.com, O=MySQL AB, ST=Uppsala, C=SE
Issuer: O=MySQL AB, L=Uppsala, ST=Uppsala, C=SE
Serial number: 100002
Valid from: Fri Jan 29 12:56:49 CET 2010 until: Wed Jan 28 12:56:49 CET 2015
Certificate fingerprints:
MD5:E5:FB:56:76:78:B1:0C:D7:B0:80:9F:65:06:3E:48:3E
SHA1: 87:59:80:28:CE:15:EF:7E:F1:75:4B:76:77:5E:64:EA:B7:1D:D1:18
SHA256: F4:0B:79:52:CF:F3:A1:A4:7F:B2:D7:C1:65:60:F0:80:93:87:D2:68:9A:A1:
84:F4:06:6E:8E:CF:C1:F6:1B:52
Signature algorithm name: MD5withRSA
Version: 1
Trust this certificate? [no]: (type yes + enter)
Certificate was added to keystore
ssl-ca-*
в
bootstrap.properties
соответственно, чтобы использовать путь к keystore и пароль.Конфигурация SSL LDAP
openssl x509 -in cacert.pem -inform PEM -out ~/cacert.der -outform DER
bin
вашей установки
MySQL Enterprise Service Manager's Java:
keytool -import -trustcacerts -alias ldapssl -file ~/cacert.der -keystore \
lib/security/cacerts
mysql/enterprise/monitor/mysqlmonitorctl.sh restart
7.3. Сделайте копию хранилища
mysqldump
, чтобы экспортировать все базы данных
в экземпляре хранилища к названному файлу дампа
mem.dump
:
shell> mysqldump --single-transaction -uservice_manager -pPassword \
-P13306 -h127.0.0.1 Б─■all-databases > mem.dump
mem.dump
, содержащий все данные MySQL Enterprise Service Manager.
shell> mysql -u <user> -p -P13306 -h127.0.0.1 < mem.dump
apache-tomcat/conf/Keystore
apache-tomcat/conf/server.xml
java/lib/security/cacerts
apache-tomcat/webapps/ROOT/WEB-INF/config.properties
apache-tomcat/webapps/ROOT/WEB-INF/configArea/mem.keystore
7.4. Изменение ключа хоста SSH
hostid
в репозитории
MySQL Enterprise Service Manager.ssh-keygen
. В Microsoft Windows есть
несколько инструментов, но этот пример применяет
puttygen
.
shell> ssh-keygen -t rsa -N ''' -f /etc/ssh/ssh_host_key
puttygen
, нажмите
Generate и следуйте инструкциям на экране.
5a:86:16:fb:2e:16:e8:21:ef:07:ee:6c:fc:4f:84:e5
shell> ssh-keygen -l -f /path/to/key/filename.pub
puttygen
это
значение находится в поле Key Fingerprint
.bootstrap.properties
контролирующего агента,
добавьте или отредактируйте следующее значение:
agent-host-id=ssh:{New SSH Fingerprint}
agent-host-id=ssh:{5a:86:16:fb:2e:16:e8:21:ef:07:ee:6c:fc:4f:84:e5}
hostid
в хранилище:
mysql> UPDATE mysql.inventory SET VALUE = 'ssh:{New SSH Fingerprint}'
WHERE name = 'hostId';
Найди своих коллег! |
Вы можете направить письмо администратору этой странички, Алексею Паутову.