使用MySQL命令行公网连接实例
当不满足通过内网IP地址访问RDS实例的条件时,可以使用公网访问,建议单独绑定弹性公网IP连接弹性云服务器(或公网主机)与RDS for MySQL实例。
本章节介绍了Linux方式下,SSL加密公网连接RDS for MySQL实例。SSL连接实现了数据加密功能,具有更高的安全性。
公网连接时支持弹性公网IP或NAT访问,当同时设置NAT和弹性公网IP时,会优先使用弹性公网IP访问。
步骤1:购买ECS
步骤2:测试连通性并安装MySQL客户端
- 登录ECS实例,请参见《弹性云服务器用户指南》中“SSH密码方式登录”。
- 在RDS“实例管理”页面,单击实例名称进入“概览”页面。
- 选择“连接管理”,在“连接信息”模块获取实例的公网地址和数据库端口。
图4 连接信息
如果没有绑定公网地址,请参见绑定弹性公网IP。
- 在ECS上测试是否可以正常连接到RDS for MySQL实例公网地址的端口。
执行yum install telnet命令提前安装telnet工具。
telnet 公网地址 3306
- 如果可以通信,说明网络正常。
- 如果无法通信,请检查安全组规则。
- 查看ECS的安全组的出方向规则,如果目的地址不为“0.0.0.0/0”且协议端口不为“全部”,需要将RDS实例的公网IP地址和端口添加到出方向规则。
图5 ECS的安全组
- 查看RDS的安全组的入方向规则,需要将ECS实例的私有IP地址和端口添加到入方向规则,具体操作请参考设置安全组规则。
- 查看ECS的安全组的出方向规则,如果目的地址不为“0.0.0.0/0”且协议端口不为“全部”,需要将RDS实例的公网IP地址和端口添加到出方向规则。
- 将MySQL客户端安装包导入ECS。
在ECS上下载Linux系统的MySQL客户端安装包,该方式需要为ECS绑定EIP。
- 8.0版本:
wget https://dev.mysql.com/get/mysql-community-client-8.0.28-1.el6.x86_64.rpm
- 5.7版本:
wget https://dev.mysql.com/get/mysql-community-client-5.7.38-1.el6.x86_64.rpm
建议您下载的MySQL客户端版本高于已创建的RDS实例中数据库版本。
方法二:
在浏览器下载Linux系统的MySQL客户端安装包,然后将安装包上传到ECS。
您可以使用任何终端连接工具(如WinSCP、PuTTY等工具)将安装包上传至ECS。
- 8.0版本:
打开链接,以mysql-community-client-8.0.28-1.el6.x86_64.rpm为例,下载安装包。
图6 下载MySQL 8.0安装包
- 5.7版本:
打开链接,以mysql-community-client-5.7.38-1.el6.x86_64.rpm为例,下载安装包。
图7 下载MySQL 5.7安装包
建议您下载的MySQL客户端版本高于已创建的RDS实例中数据库版本。
- 8.0版本:
- 执行以下命令安装MySQL客户端。
步骤3:使用命令行连接实例(SSL加密)
- 在RDS“实例管理”页面,单击实例名称进入“概览”页面。
- 在“SSL”处,查看SSL开启状态。
- 单击“SSL”处的,下载“Certificate Download”压缩包,解压后获取根证书(ca.pem)和捆绑包(ca-bundle.pem)。
- 将根证书(ca.pem)上传到ECS。
- 云数据库RDS服务在2017年4月提供了20年有效期的新根证书,该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书,提高系统安全性。
请参见如何确认SSL根证书的有效期。
- 推荐使用TLS v1.2及以上协议,低于该版本可能存在安全风险。
- 根证书捆绑包(ca-bundle.pem)包含2017年4月之后的新根证书和原有根证书。
- ca.pem和ca-bundle.pem都可以实现SSL连接,ca-bundle.pem文件包含ca.pem,使用ca.pem即可。
- RDS for MySQL实例不支持X509认证方式。
- 云数据库RDS服务在2017年4月提供了20年有效期的新根证书,该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书,提高系统安全性。
- 在ECS上执行以下命令连接RDS for MySQL实例。
mysql -h <host> -P <port> -u <userName> -p --ssl-ca=<caName>
示例:
mysql -h 172.16.0.31 -P 3306 -u root -p --ssl-ca=ca.pem
- 出现如下提示时,输入数据库账号对应的密码:
Enter password: