Informazioni sulla replica da un server esterno

In questa pagina viene descritta una configurazione che replica i dati da un server di database di origine in replica MySQL. Questa configurazione a volte è definita server esterno.

Il server di database di origine può essere qualsiasi server MySQL, inclusi i server in esecuzione su altri servizi Google Cloud (come Cloud SQL o Compute Engine) o su altri provider cloud (come Amazon RDS), se soddisfano i requisiti. Per istruzioni dettagliate sull'impostazione di questa configurazione, consulta l'articolo Replica da un server esterno.

Casi d'uso per la configurazione di server esterni

La configurazione del server esterno consente di raggiungere i seguenti obiettivi:

  1. Esegui la migrazione dei dati dal tuo server MySQL autogestito a Google Cloud con un tempo di inattività minimo.

  2. Mantieni la colocation e il controllo del tuo server trasferendo l'amministrazione delle repliche a Cloud SQL.

    Questo caso d'uso è a volte chiamato cloud ibrido. La replica tra il tuo server autogestito e la replica di Cloud SQL continua a tempo indeterminato.

Configurazione della replica esterna

La configurazione della replica esterna include le seguenti istanze:

  • Il server MySQL che gestisci, chiamato anche server di database di origine.
  • La replica di Cloud SQL.

    Possono essere presenti più repliche per un singolo server di database di origine.

  • L'istanza di rappresentazione di origine.

    L'istanza di rappresentazione di origine è un'istanza Cloud SQL che rappresenta il server del database di origine nella replica di Cloud SQL. È visibile in Google Cloud Console e ha le stesse caratteristiche di una normale istanza di Cloud SQL, ma non contiene dati, non richiede alcuna configurazione o manutenzione e non influisce sulla fatturazione.

Il seguente diagramma mostra queste istanze:

Diagramma delle tre istanze che costituiscono una configurazione della replica esterna

Configurazione SSL/TLS

La replica da un server esterno richiede che tutte le modifiche ai dati vengano inviate tra il server del database di origine e le repliche di Cloud SQL.

Se la connessione viene stabilita su una rete pubblica (utilizzando le liste consentite IP), Google consiglia di utilizzare la crittografia SSL/TLS per la connessione tra i database di origine e di destinazione.

Cloud SQL offre le seguenti opzioni per la configurazione SSL/TLS:

  • Nessuno: l'istanza di destinazione Cloud SQL si connette al database di origine senza crittografia.
  • Autenticazione solo server

  • Autenticazione server-client

Autenticazione solo server

Quando la replica si connette all'istanza principale, esegue l'autenticazione dell'istanza principale e garantisce che si connetta all'host corretto e impedisce gli attacchi man in the middle. L'istanza principale non autentica la replica.

Quando l'istanza di destinazione Cloud SQL si connette al database di origine, esegue l'autenticazione per garantire che l'istanza si connetta all'host corretto. L'istanza non esegue l'autenticazione dell'istanza.

Per utilizzare l'autenticazione solo server, al momento della creazione della replica, fornisci il certificato x509 con codifica PEM dell'autorità di certificazione (CA) che ha firmato il certificato esterno del server. La CA deve contenere un solo certificato che deve essere autofirmato. In altre parole, l'autorità di certificazione che ha firmato il certificato del server deve essere una CA radice.

Autenticazione server-client

Quando la replica si connette all'istanza principale, esegue l'autenticazione dell'istanza principale, che autentica la replica.

L'autenticazione server-client fornisce la massima sicurezza. Tuttavia, se non vuoi fornire il certificato client e la chiave privata quando crei la replica, puoi comunque utilizzare l'autenticazione solo server.

Per utilizzare l'autenticazione server-client, fornisci i seguenti elementi quando crei la replica:

  • Il certificato x509 con codifica PEM della CA che ha firmato il certificato del server di database di origine (caCertificate).
  • Il certificato x509 con codifica PEM che verrà utilizzato dalla replica per eseguire l'autenticazione sul server di database di origine (clientCertificate).
  • La chiave privata non criptata PKCS#1 o PKCS#8 con codifica PEM associata a clientCertificate (clientKey).

Più repliche dallo stesso server di database

Puoi creare più repliche dallo stesso server di database di origine. Potresti voler fornire più larghezza di banda o creare repliche in aree geografiche diverse.

Se stai creando più repliche nella stessa area geografica, tutte possono utilizzare la stessa istanza di rappresentazione di origine o istanze diverse. Se utilizzi Google Cloud Console per creare più repliche, queste avranno istanze di rappresentazione di origine diverse.

Se stai creando più repliche in aree geografiche diverse, le istanze devono avere istanze di rappresentazione di origine diverse.

Non è possibile creare più di una replica nella stessa operazione. Non appena finisci di creare la configurazione della replica per la prima replica, puoi iniziare a creare la configurazione della replica per le altre repliche. Non è necessario attendere che la prima replica sia completamente funzionale prima di iniziare a creare altre repliche.