Подключение к базе данных в кластере MySQL
К хостам кластера Managed Service for MySQL можно подключиться:
-
Через интернет, если вы настроили публичный доступ для нужного хоста. К таким хостам подключиться можно только используя SSL-соединение.
-
С виртуальных машин Yandex Cloud, расположенных в той же облачной сети. Если к хосту нет публичного доступа, для подключения с таких виртуальных машин необязательно использовать SSL-соединение.
Важно
Если публичный доступ в кластере настроен только для некоторых хостов, автоматическая смена мастера может привести к невозможности подключиться к мастеру из интернета.
Максимальное количество подключений определяется настройкой max_connections, которая зависит от класса хостов.
Подробнее см. в разделе Сеть и кластеры в Managed Service for MySQL.
Настройка групп безопасности
Для подключения к кластеру необходимо, чтобы группы безопасности содержали правила, которые разрешают трафик с определенных портов, IP-адресов или из других групп безопасности.
Настройки правил будут различаться в зависимости от выбранного способа подключения:
Настройте все группы безопасности кластера так, чтобы они разрешали входящий трафик с любых IP-адресов на порт 3306. Для этого создайте следующее правило для входящего трафика:
- Диапазон портов —
3306. - Протокол —
TCP. - Источник —
CIDR. - CIDR блоки —
0.0.0.0/0.
-
Настройте все группы безопасности кластера так, чтобы они разрешали входящий трафик из группы безопасности, в которой находится ВМ, на порт 3306. Для этого в этих группах создайте следующее правило для входящего трафика:
- Диапазон портов —
3306. - Протокол —
TCP. - Источник —
Группа безопасности. - Группа безопасности — если кластер и ВМ находятся в одной и той же группе безопасности, выберите значение
Текущая(Self). В противном случае укажите группу безопасности ВМ.
- Диапазон портов —
-
Настройте группу безопасности, в которой находится ВМ так, чтобы можно было подключаться к ВМ и был разрешен трафик между ВМ и хостами кластера.
Пример правил для ВМ:
-
Для входящего трафика:
- Диапазон портов —
22. - Протокол —
TCP. - Источник —
CIDR. - CIDR блоки —
0.0.0.0/0.
Это правило позволяет подключаться к ВМ по протоколу SSH.
- Диапазон портов —
-
Для исходящего трафика:
- Диапазон портов —
0-65535. - Протокол —
Любой(Any). - Назначение —
CIDR. - CIDR блоки —
0.0.0.0/0.
Это правило разрешает любой исходящий трафик, что позволяет не только подключаться к кластеру, но и устанавливать на ВМ необходимые для этого сертификаты и утилиты.
- Диапазон портов —
-
Примечание
Вы можете задать более детальные правила для групп безопасности, например, разрешающие трафик только в определенных подсетях.
Группы безопасности должны быть корректно настроены для всех подсетей, в которых будут размещены хосты кластера. При неполных или некорректных настройках групп безопасности можно потерять доступ к кластеру.
Подробнее о группах безопасности см. в разделе Группы безопасности.
Получение SSL-сертификата
MySQL-хосты с публичным доступом поддерживают только шифрованные соединения. Чтобы использовать их, получите SSL-сертификат:
mkdir --parents ~/.mysql && \
wget "https://storage.yandexcloud.net/cloud-certs/CA.pem" \
--output-document ~/.mysql/root.crt && \
chmod 0600 ~/.mysql/root.crt
Сертификат будет сохранен в каталоге $HOME/.mysql/root.crt.
mkdir ~/.mysql; curl -o ~/.mysql/root.crt https://storage.yandexcloud.net/cloud-certs/CA.pem
Сертификат будет сохранен в каталоге $HOME\.mysql\root.crt.
Для использования графических IDE сохраните сертификат в локальную папку и укажите путь к нему в настройках подключения.
Подключение из графических IDE
Подключения проверялись в следующем окружении:
- Ubuntu 20.04, DBeaver:
22.2.4; - MacOS Big Sur 11.3:
- JetBrains DataGrip:
2021.1; - DBeaver Community:
21.0.5;
- JetBrains DataGrip:
- Windows 10 Pro 21H1 с SQL Server Management Studio
18.9.1.
Подключаться из графических IDE можно только к хостам кластера в публичном доступе с использованием SSL-сертификата. Перед подключением подготовьте сертификат.
- Создайте источник данных:
- Выберите в меню File → New → Data Source → MySQL.
- На вкладке General:
- Укажите параметры подключения:
- Host — FQDN хоста или один из особых FQDN;
- Port —
3306; - User, Password — имя и пароль пользователя БД;
- Database — имя БД для подключения.
- Нажмите ссылку Download, чтобы загрузить драйвер соединения.
- Укажите параметры подключения:
- На вкладке SSH/SSL:
- Включите настройку Use SSL.
- В поле CA file укажите путь к файлу SSL-сертификата для подключения.
- Чтобы проверить подключение, нажмите ссылку Test Connection. При успешном подключении будет выведен статус подключения, информация о СУБД и драйвере.
- Нажмите кнопку OK, чтобы сохранить источник данных.
- Создайте новое соединение с БД:
- Выберите в меню База данных пункт Новое соединение.
- Выберите из списка БД MySQL.
- Нажмите кнопку Далее.
- Укажите параметры подключения на вкладке Главное:
- Сервер — FQDN хоста или один из особых FQDN;
- Порт —
3306; - База данных — имя БД для подключения;
- Пользователь, Пароль — имя и пароль пользователя БД.
- На вкладке SSL:
- Включите настройку Использовать SSL.
- В поле Корневой сертификат укажите путь к файлу SSL-сертификата для подключения.
- В блоке Дополнительные:
- Включите настройку Только SSL.
- Выключите настройку Проверять сертификат сервера.
- Нажмите кнопку Тест соединения ... для проверки подключения. При успешном подключении будет выведен статус подключения, информация о СУБД и драйвере.
- Нажмите кнопку Готово, чтобы сохранить настройки соединения с БД.
Примеры строк подключения
Примеры для Linux проверялись в следующем окружении:
- Виртуальная машина в Yandex Cloud c Ubuntu 20.04 LTS.
- Bash:
5.0.16. - Python:
3.8.2; pip3:20.0.2. - PHP:
7.4.3. - OpenJDK:
11.0.8; Maven:3.6.3. - Node.JS:
10.19.0, npm:6.14.4. - Go:
1.13.8. - Ruby:
2.7.0p0. - unixODBC:
2.3.6.
Примеры для Windows проверялись в следующем окружении:
- Локальная машина с Windows 10 Pro build
19042.1052. - PowerShell:
5.1.19041. - cURL:
7.55.1 WinSSL.
Подключиться к MySQL-хостам в публичном доступе можно только с использованием SSL-сертификата. Перед подключением к таким хостам подготовьте сертификат.
В этих примерах предполагается, что сертификат root.crt расположен в директории /home/<домашняя директория>/.mysql/.
Подключение без использования SSL-сертификата поддерживается только для хостов, находящихся не в публичном доступе. В этом случае трафик внутри облачной сети при подключении к БД шифроваться не будет.
Подключиться к кластеру возможно как с использованием обычных FQDN хостов, так и особых FQDN.
Пример команды с заполненным FQDN хоста доступен в консоли управления по нажатию кнопки Подключиться на странице кластера.
Перед подключением установите утилиту mysql:
sudo apt update && sudo apt install --yes mysql-client
Подключение с использованием SSL-соединения:
mysql --host=<FQDN хоста MySQL> \
--port=3306 \
--ssl-ca=~/.mysql/root.crt \
--ssl-mode=VERIFY_IDENTITY \
--user=<имя пользователя> \
--password \
<имя БД>
Подключение без использования SSL-соединения:
mysql --host=<FQDN хоста MySQL> \
--port=3306 \
--ssl-mode=DISABLED \
--user=<имя пользователя> \
--password \
<имя БД>
При выполнении любой из команд введите пароль пользователя БД.
После подключения к СУБД выполните команду SELECT version();.
Перед подключением скачайте и установите утилиту MySQL Shell.
Подключение с использованием SSL-соединения:
mysqlsh --host=<FQDN хоста MySQL> `
--port=3306 `
--ssl-ca=<абсолютный путь к файлу сертификата> `
--ssl-mode=VERIFY_IDENTITY `
--user=<имя пользователя> `
--password `
--database=<имя БД> `
--sql
Подключение без использования SSL-соединения:
mysqlsh --host=<FQDN хоста MySQL> `
--port=3306 `
--ssl-mode=DISABLED `
--user=<имя пользователя> `
--password `
--database=<имя БД>
При выполнении любой из команд введите пароль пользователя БД.
После подключения к СУБД выполните команду SELECT version();.
Перед подключением установите зависимости:
sudo apt update && sudo apt install --yes python3 python3-pip libmysqlclient-dev && \
pip3 install mysqlclient
Пример кода для подключения с использованием SSL-соединения:
connect.py
import MySQLdb
conn = MySQLdb.connect(
host="<FQDN хоста MySQL>",
port=3306,
db="<имя БД>",
user="<имя пользователя>",
passwd="<пароль пользователя>",
ssl={'ca': '~/.mysql/root.crt'})
cur = conn.cursor()
cur.execute('SELECT version()')
print(cur.fetchone()[0])
conn.close()
Пример кода для подключения без использования SSL-соединения:
connect.py
import MySQLdb
conn = MySQLdb.connect(
host="<FQDN хоста MySQL>",
port=3306,
db="<имя БД>",
user="<имя пользователя>",
passwd="<пароль пользователя>")
cur = conn.cursor()
cur.execute('SELECT version()')
print(cur.fetchone()[0])
conn.close()
Подключение:
python3 connect.py
Перед подключением установите зависимости:
sudo apt update && apt install --yes php php-mysql
Пример кода для подключения с использованием SSL-соединения:
connect.php
<?php
$conn = mysqli_init();
$conn->options(MYSQLI_OPT_SSL_VERIFY_SERVER_CERT, true);
$conn->ssl_set(NULL, NULL, '/home/<домашняя директория>/.mysql/root.crt', NULL, NULL);
$conn->real_connect('<FQDN хоста-мастера MySQL>', '<имя пользователя>', '<пароль пользователя>', '<имя БД>', 3306, NULL, MYSQLI_CLIENT_SSL);
$q = $conn->query('SELECT version()');
$result = $q->fetch_row();
echo($result[0]);
$q->close();
$conn->close();
?>
При этом способе подключения в коде необходимо указывать полный путь к сертификату root.crt для MySQL в методе ssl_set.
Пример кода для подключения без использования SSL-соединения:
connect.php
<?php
$conn = mysqli_init();
$conn->options(MYSQLI_OPT_SSL_VERIFY_SERVER_CERT, false);
$conn->real_connect('<FQDN хоста MySQL>', '<имя пользователя>', '<пароль пользователя>', '<имя БД>', 3306, NULL, NULL);
$q = $conn->query('SELECT version()');
$result = $q->fetch_row();
echo($result[0]);
$q->close();
$conn->close();
?>
Подключение:
php connect.php
Перед подключением:
-
Установите зависимости:
sudo apt update && sudo apt install --yes default-jdk maven -
Добавьте SSL-сертификат в хранилище доверенных сертификатов Java (Java Key Store), чтобы драйвер MySQL мог использовать этот сертификат при защищенном подключении к хостам кластера. При этом задайте пароль в параметре
-storepassдля защиты хранилища:cd ~/.mysql && \ keytool -importcert -alias YARootCrt -file root.crt \ -keystore YATrustStore -storepass <пароль хранилища сертификатов> \ --noprompt -
Создайте директорию для проекта Maven:
cd ~/ && \ mkdir --parents project/src/java/com/example && \ cd ~/project -
Создайте конфигурационный файл для Maven:
pom.xml<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>com.example</groupId> <artifactId>app</artifactId> <packaging>jar</packaging> <version>0.1.0</version> <properties> <maven.compiler.source>1.8</maven.compiler.source> <maven.compiler.target>1.8</maven.compiler.target> </properties> <dependencies> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>8.0.21</version> </dependency> </dependencies> <build> <finalName>${project.artifactId}-${project.version}</finalName> <sourceDirectory>src</sourceDirectory> <resources> <resource> <directory>src</directory> </resource> </resources> <plugins> <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-assembly-plugin</artifactId> <executions> <execution> <goals> <goal>attached</goal> </goals> <phase>package</phase> <configuration> <descriptorRefs> <descriptorRef>jar-with-dependencies</descriptorRef> </descriptorRefs> <archive> <manifest> <mainClass>com.example.App</mainClass> </manifest> </archive> </configuration> </execution> </executions> </plugin> <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-jar-plugin</artifactId> <version>3.1.0</version> <configuration> <archive> <manifest> <mainClass>com.example.App</mainClass> </manifest> </archive> </configuration> </plugin> </plugins> </build> </project>Актуальная версия зависимости для Maven: mysql-connector-java.
Пример кода для подключения с использованием SSL-соединения:
src/java/com/example/App.java
package com.example;
import java.sql.*;
public class App {
public static void main(String[] args) {
String DB_URL = "jdbc:mysql://<FQDN хоста MySQL>:3306/<имя БД>?useSSL=true";
String DB_USER = "<имя пользователя>";
String DB_PASS = "<пароль пользователя>";
System.setProperty("javax.net.ssl.trustStore", "/home/<домашняя директория>/.mysql/YATrustStore");
System.setProperty("javax.net.ssl.trustStorePassword", "<пароль хранилища сертификатов>");
try {
Class.forName("com.mysql.cj.jdbc.Driver");
Connection conn = DriverManager.getConnection(DB_URL, DB_USER, DB_PASS);
ResultSet q = conn.createStatement().executeQuery("SELECT version()");
if(q.next()) {System.out.println(q.getString(1));}
conn.close();
}
catch(Exception ex) {ex.printStackTrace();}
}
}
В этом коде необходимо указывать полный путь к хранилищу сертификатов YATrustStore для драйвера MySQL в свойстве javax.net.ssl.trustStore.
Пример кода для подключения без использования SSL-соединения:
src/java/com/example/App.java
package com.example;
import java.sql.*;
public class App {
public static void main(String[] args) {
String DB_URL = "jdbc:mysql://<FQDN хоста MySQL>:3306/<имя БД>?useSSL=false";
String DB_USER = "<имя пользователя>";
String DB_PASS = "<пароль пользователя>";
try {
Class.forName("com.mysql.cj.jdbc.Driver");
Connection conn = DriverManager.getConnection(DB_URL, DB_USER, DB_PASS);
ResultSet q = conn.createStatement().executeQuery("SELECT version()");
if(q.next()) {System.out.println(q.getString(1));}
conn.close();
}
catch(Exception ex) {ex.printStackTrace();}
}
}
Подключение:
mvn clean package && \
java -jar target/app-0.1.0-jar-with-dependencies.jar
Перед подключением установите зависимости:
sudo apt update && sudo apt install --yes nodejs npm && \
npm install mysql2
Пример кода для подключения с использованием SSL-соединения:
app.js
"use strict"
const fs = require('fs');
const mysql = require('mysql2');
const config = {
host : '<FQDN хоста MySQL>',
port : 3306,
user : '<имя пользователя>',
password : '<пароль пользователя>',
database : '<имя БД>',
ssl: {
rejectUnauthorized: true,
ca: fs.readFileSync('/home/<домашняя директория>/.mysql/root.crt').toString(),
},
}
const conn = mysql.createConnection(config)
conn.connect(err => {if (err) throw err})
conn.query('SELECT version()', (err, result, fields) => {
if (err) throw err
console.log(result[0])
conn.end()
})
При этом способе подключения в коде необходимо указывать полный путь к сертификату root.crt для MySQL в переменной ca.
Пример кода для подключения без использования SSL-соединения:
app.js
"use strict"
const mysql = require('mysql2');
const config = {
host : '<FQDN хоста MySQL>',
port : 3306,
user : '<имя пользователя>',
password : '<пароль пользователя>',
database : '<имя БД>',
}
const conn = mysql.createConnection(config)
conn.connect(err => {if (err) throw err})
conn.query('SELECT version()', (err, result, fields) => {
if (err) throw err
console.log(result[0])
conn.end()
})
Подключение:
node app.js
Перед подключением установите зависимости:
sudo apt update && sudo apt install --yes golang git && \
go get github.com/go-sql-driver/mysql
Пример кода для подключения с использованием SSL-соединения:
connect.go
package main
import (
"io/ioutil"
"crypto/tls"
"crypto/x509"
"database/sql"
"fmt"
"github.com/go-sql-driver/mysql"
)
const (
host = "<FQDN хоста MySQL>"
port = 3306
user = "<имя пользователя>"
password = "<пароль пользователя>"
dbname = "<имя БД>"
)
func main() {
rootCertPool := x509.NewCertPool()
pem, err := ioutil.ReadFile("/home/<домашняя директория>/.mysql/root.crt")
if err != nil {
panic(err)
}
if ok := rootCertPool.AppendCertsFromPEM(pem); !ok {
panic("Failed to append PEM.")
}
mysql.RegisterTLSConfig("custom", &tls.Config{
RootCAs: rootCertPool,
})
mysqlInfo := fmt.Sprintf("%s:%s@tcp(%s:%d)/%s?tls=custom",
user, password, host, port, dbname)
conn, err := sql.Open("mysql", mysqlInfo)
if err != nil {
panic(err)
}
defer conn.Close()
q, err := conn.Query("SELECT version()")
if err != nil {
panic(err)
}
var result string
for q.Next() {
q.Scan(&result)
fmt.Println(result)
}
}
При этом способе подключения в коде необходимо указывать полный путь к сертификату root.crt для MySQL в переменной ca.
Пример кода для подключения без использования SSL-соединения:
connect.go
package main
import (
"database/sql"
"fmt"
_ "github.com/go-sql-driver/mysql"
)
const (
host = "<FQDN хоста MySQL>"
port = 3306
user = "<имя пользователя>"
password = "<пароль пользователя>"
dbname = "<имя БД>"
)
func main() {
mysqlInfo := fmt.Sprintf("%s:%s@tcp(%s:%d)/%s",
user, password, host, port, dbname)
conn, err := sql.Open("mysql", mysqlInfo)
if err != nil {
panic(err)
}
defer conn.Close()
q, err := conn.Query("SELECT version()")
if err != nil {
panic(err)
}
var result string
for q.Next() {
q.Scan(&result)
fmt.Println(result)
}
}
Подключение:
go run connect.go
Перед подключением установите зависимости:
sudo apt update && sudo apt install --yes ruby ruby-mysql2
Пример кода для подключения с использованием SSL-соединения:
connect.rb
require "mysql2"
conn = Mysql2::Client.new(
:host => "<FQDN хоста MySQL>",
:port => 3306,
:database => "<имя БД>",
:username => "<имя пользователя>",
:password => "<пароль пользователя>",
:ssl_mode => "verify_identity",
:sslca => "~/.mysql/root.crt")
q = conn.query("SELECT version()")
q.each do |result|
puts result["version()"]
end
conn.close()
Пример кода для подключения без использования SSL-соединения:
connect.rb
require "mysql2"
conn = Mysql2::Client.new(
:host => "<FQDN хоста MySQL>",
:port => 3306,
:database => "<имя БД>",
:username => "<имя пользователя>",
:password => "<пароль пользователя>")
q = conn.query("SELECT version()")
q.each do |result|
puts result["version()"]
end
conn.close()
Подключение:
ruby connect.rb
Перед подключением установите зависимости:
sudo apt update && sudo apt install --yes unixodbc && \
wget https://dev.mysql.com/get/Downloads/Connector-ODBC/8.0/mysql-connector-odbc_8.0.21-1ubuntu20.04_amd64.deb && \
sudo dpkg -i mysql-connector-odbc_8.0.21-1ubuntu20.04_amd64.deb
Драйвер MySQL Connector/ODBC будет автоматически зарегистрирован в файле /etc/odbcinst.ini. Актуальная версия драйвера: mysql-connector-odbc.
Пример настроек в файле /etc/odbc.ini для подключения с использованием SSL-соединения:
odbc.ini
[mysql]
Driver=MySQL ODBC 8.0 Unicode Driver
SERVER=<FQDN хоста MySQL>
UID=<имя пользователя>
PWD=<пароль пользователя>
DATABASE=<имя БД>
PORT=3306
SSLCA=/home/<домашняя директория>/.mysql/root.crt
SSLVERIFY=1
При этом способе подключения в файле /etc/odbc.ini необходимо указывать полный путь к сертификату root.crt для MySQL в параметре SSLCA.
Пример настроек в файле /etc/odbc.ini для подключения без использования SSL-соединения:
odbc.ini
[mysql]
Driver=MySQL ODBC 8.0 Unicode Driver
SERVER=<FQDN хоста MySQL>
UID=<имя пользователя>
PWD=<пароль пользователя>
DATABASE=<имя БД>
PORT=3306
Подключение:
isql -v mysql
После подключения к СУБД выполните команду SELECT version();.
При успешном подключении к кластеру и выполнении тестового запроса будет выведена версия MySQL.
Особые FQDN
Наравне с обычными FQDN, которые можно запросить со списком хостов в кластере, Managed Service for MySQL предоставляет несколько особых FQDN, которые также можно использовать при подключении к кластеру.
Текущий мастер
FQDN вида c-<идентификатор кластера>.rw.mdb.yandexcloud.net всегда указывает на текущий хост-мастер в кластере. Идентификатор кластера можно получить со списком кластеров в каталоге.
При подключении к этому FQDN разрешено выполнять операции чтения и записи.
Пример подключения к хосту-мастеру для кластера с идентификатором c9qash3nb1v9ulc8j9nm:
mysql --host=c-c9qash3nb1v9ulc8j9nm.rw.mdb.yandexcloud.net \
--port=3306 \
--ssl-ca=~/.mysql/root.crt \
--ssl-mode=VERIFY_IDENTITY \
--user=<имя пользователя> \
--password \
<имя БД>
Наименее отстающая реплика
FQDN вида c-<идентификатор кластера>.ro.mdb.yandexcloud.net указывает на наименее отстающую от мастера реплику. Идентификатор кластера можно запросить со списком кластеров в каталоге.
Особенности:
- При подключении к этому FQDN разрешено выполнять только операции чтения.
- Если в кластере нет активных реплик, то подключиться к этому FQDN невозможно: соответствующая CNAME-запись в DNS будет указывать на пустой объект (
null).
Пример подключения к наименее отстающей реплике для кластера с идентификатором c9qash3nb1v9ulc8j9nm:
mysql --host=c-c9qash3nb1v9ulc8j9nm.ro.mdb.yandexcloud.net \
--port=3306 \
--ssl-ca=~/.mysql/root.crt \
--ssl-mode=VERIFY_IDENTITY \
--user=<имя пользователя> \
--password \
<имя БД>