比如这样的:
外网 PC --> DB proxy --> DB
DB 只授权了内网的 IP 访问,外面 PC 不能直接去连 DB ,但是可以去连 proxy ,
而且最好这个 proxy 能隐藏了 DB 的账号。 外部 PC 可以使用 proxy 的账号,然后映射连接 DB 。
DB Proxy 也可以做审计,比如记录哪个 IP 执行了什么 query
1
suifengdang666 2021-11-17 20:37:53 +08:00
你是需要堡垒机吧?
|
2
pultako 2021-11-17 23:13:21 +08:00
自己写一个也不费劲,之前给上家写过一个这玩意
|
3
zealinux OP |
4
jifengg 2021-11-18 09:03:36 +08:00
mysql 的客户端,一般会提供几种隧道:ssl ,ssh ,http 。这些看你 DBProxy 能否开放。
另一个,DBProxy 上运行一个 tcp 代理(比如 nginx 的 stream ),就能简单转发 tcp 连接了。 以上都不能做到“隐藏账号,记录 sql”,这些建议在 DB 端设置。比如只读账号,log 这些 |
5
tenwx 2021-11-18 11:56:19 +08:00
阿里云 DMS 的安全协同能力可以满足你的需求
|
6
lizuoqiang 2021-11-18 13:45:30 +08:00
就是 sql 审计平台吧
|
7
xx6412223 2021-11-18 15:41:00 +08:00
mysql-proxy , 可以写 lua
|