如何用 Nginx 代理 MySQL 连接,并限制可访问 IP?

数据库 网络
线上业务遇到bug了,开发的小伙伴需要远程连接MySQL来查看数据,那应该怎么办呢?我们可以通过Nginx代理(“跳板机”)来进行连接。

1.前言

我们的生产环境基本上都部署在云服务器上,例如应用服务器、MySQL服务器等。如果MySQL服务器直接暴露在公网,就会存在很大的风险,为了保证数据安全,MySQL服务器的端口是不对外开放的。

好巧不巧,线上业务遇到bug了,开发的小伙伴需要远程连接MySQL来查看数据,那应该怎么办呢?

我们可以通过Nginx代理(“跳板机”)来进行连接。

2.Nginx代理连接

要实现对连接的代理转发,我们需要一台服务器并安装Nginx,且与MySQL服务器处于一个内网之中,内网之间可以访问。

其次,我们需要用到ngx_stream_core_module模块,该模块不是默认构建的,我们需要在configure时添加--with-stream来进行构建。

添加过程可以参照【Nginx基本命令&不停机版本升级】一文进行,我们这里不再赘述。

既然要用到ngx_stream_core_module模块,首当其冲,是看看其提供的指令,我们才知道怎么来进行配置。

(1) stream

该指令定义了stream服务器。与http块平级,定义在main块中。

  • 作用域:main
  • 语法:stream {...}

示例:

 stream {
     server {
         ......
     }
 }

(2) server

该指令定义一个虚拟主机,与http块中的server类似。我们可以在stream块中定义多个server块。

  • 作用域:stream
  • 语法:server {...}
 stream {
     server {
         ......
     }
 }

(3) listen

该指令定义虚拟主机server要监听的socket的地址和端口。另外,搜索公众号顶级架构师后台回复“算法”,获取一份惊喜礼包。

  • 作用域:server
  • 语法:listen address:port;

示例:

listen 127.0.0.1:3306;
 listen *:3306;
 # 效果与listen *:3306一样
 listen 3306;
 listen localhost:3306;

(4) 配置示例

MySQL服务器,端口3306(单机环境)

stream  {
     server {
         listen 3306;
         proxy_pass 192.168.110.101:3306;
     }
 }

MySQL服务器,端口3306(集群环境)

stream  {
     upstream mysql_socket {
         server 192.168.110.101:3306;
     }
     server {
             listen 3306;
             proxy_pass mysql_socket;
     }
 }

此时,我们就可以通过例如Navicat等客户端进行连接。

3.限制访问IP

实现了对连接的代理,所有人都可以通过访问Nginx来连接MySQL服务器,解决了外网无法连接的问题。

为了更进一步的缩小访问范围,保证数据安全,我们可以限制只有公司网络的IP地址可以通过Nginx进行连接。

Nginx提供了ngx_stream_access_module模块,其指令非常简单,仅包含allow和deny指令。

(1) allow

该指令设置指定的IP允许访问。可以和deny指令配合使用

  • 作用域:stream, server
  • 语法:allow address | CIDR | unix: | all;

示例:

 # 允许192.168.110.1访问
 allow 192.168.110.1;
 
 # 允许192.168.110.1到192.168.255.254
 allow 192.168.110.0/16;
 
 # 允许192.168.110.1到192.168.110.254
 allow 192.168.110.0/24;
 
 # 允许所有的IP访问
 allow all;

(2) deny

该指令设置指定的IP禁止访问。可以和allow指令配合使用。

  • 作用域:stream, server
  • 语法:deny address | CIDR | unix: | all;
# 禁止192.168.110.1访问
 deny 192.168.110.1;
 
 # 禁止192.168.110.1到192.168.255.254
 deny 192.168.110.0/16;
 
 # 禁止192.168.110.1到192.168.110.254
 deny 192.168.110.0/24;
 
 # 禁止所有的IP访问
 deny all;

(3) 配置示例

禁止所有的IP访问,192.168.110.100除外。

allow 192.168.110.100;
 deny all;

Tips:如果指定了allow,需要配合deny使用,否则就是允许所有的IP地址访问。

4.综合案例

只允许192.168.110.100通过Nginx连接MySQL服务器。

stream  {
     allow 192.168.110.100;
     deny all;
     server {
         listen 3306;
         proxy_pass 192.168.110.101:3306;
     }
 }
责任编辑:赵宁宁 来源: 技术老男孩
相关推荐

2019-08-27 08:32:01

nginx访问频率下载速率

2009-06-24 16:26:17

MyEclipse

2011-03-17 15:16:38

2010-10-08 11:27:34

MySql访问限制

2009-06-19 14:44:04

ODBCMySQL

2018-01-10 10:15:48

NginxIP问题

2021-06-30 13:13:55

IP地址网络IP限制

2009-07-16 16:44:03

下载JDBC

2011-03-14 16:05:52

IPtables流量

2010-03-25 17:58:27

2022-07-01 07:33:24

nginx反向代理测试

2011-07-27 13:58:48

EclipseMySQL

2024-04-07 00:00:00

Linux控制资源

2023-09-28 15:43:03

装饰者模式代理定义

2023-09-13 07:16:31

Ngnix代理服务器

2021-12-27 10:56:10

MySQL数据库命令

2020-09-02 13:22:28

IP访问Oracle数据库

2018-01-18 10:53:31

LinuxUnixcurl命令

2011-04-06 17:30:46

ACL

2009-07-30 21:22:02

ACL限制外界访问网络安全
点赞
收藏

51CTO技术栈公众号