能不能用一个 3306 端口暴露多个 MySQL 服务?

2023-01-26 22:20:03 +08:00
 seagull7558
我尽量准确描述问题,下面展示下流程,从上往下看

- 客户端 Navicat 连接 Mysql, 地址为:mysql.namespace-1.k8s.xxx(xxx 为公司拼音缩写):3306 或是 mysql.namespace-1.k8s.xxx(xxx 为公司拼音缩写):3306
- 自建 DNS 解析域名 k8s.xxx 到 VIP
- 某台 VIP 上接收到请求
- traefik 或是 ingress-nginx 监听当前机器的 3306 端口
- 动态根据域名完成转发,如果是 HTTP 解析域名 -> K8S 服务名.命名空间.svc.cluster.local

问题就在于,第 5 步,没有什么东西支持从 tcp 请求里获取域名,也就没法完成代理到后端服务

哪位大佬有类此场景的解决方案吗?

主要是想按照阿里云的习惯来走~
3792 次点击
所在节点    Kubernetes
13 条回复
buxudashi
2023-01-26 22:21:31 +08:00
弄多个域名 就解决了。
lanternxx
2023-01-26 22:57:21 +08:00
不能。MySQL 建立连接的 TCP 请求里没有携带域名,你无法获取到不存在的东西。
如果是 MySQL over TLS 的话理论上可以。因为 TLS 握手的第一个请求的 SNI 里会带上域名,但是应该没有直接可用的实现方案。而且需要抓包确认一下 Navicat 在连接 MySQL over TLS 时是否会携带 SNI 。
seagull7558
2023-01-26 22:59:25 +08:00
@lanternxx 嗯 nginx 和 traefik 都有在预读阶段通过 SNI 获取域名 但是不想加 TLS,目前看好像没有什么好方案
huanw
2023-01-26 23:03:54 +08:00
在你的 k8s 集群里跑一个自建的 ssh 服务,这个服务要支持 ssh remote forwarding ,然后在 navicate 连接时,使用这个 ssh 隧道就可以连接了
cdlnls
2023-01-26 23:10:49 +08:00
就你描述的方案应该是不可能实现的。假定你要用负载均衡代理 mysql ( traefik/ingress-nginx/或者其他的负载),它们代理 mysql 的流量肯定只能工作在传输层,mysql 并不是 HTTP 协议,这个时候负载均衡是没办法拿到域名的。

如果要实现的话,大概要自己实现一个支持 mysql 协议的代理,然后解析 host 。可以参考一下 mycat 。
ETiV
2023-01-26 23:33:49 +08:00
mysql 客户端连接都是在 4 层的

但是你可以自己实现一个 7 层应用层的类似 nginx 的服务,逻辑实现如下:
通过在用户名上做手脚(比如 root.prod 、root.dev ;你喜欢的话也可以用对端 IP 地址),通过某种 rewrite 规则把 .prod 、.dev 部分提取出来,再使用 root 用户名和密码去连接后端真实的 prod 、dev 的 3306 端口并创建、保持连接并转发数据
anubu
2023-01-26 23:45:32 +08:00
之前简单研究过类似场景,四层的域名转发似乎都需要依赖 sni 。没记错的话,mysql 的 sni 并不容易(或者无法实现?记不清楚了),似乎是应用层协议握手逻辑和一般应用不一样。
vibbow
2023-01-27 00:07:14 +08:00
可以实现的,并且比你想象的还简单,使用 navicat 自带的 HTTP tunnel 即可

https://github.com/vibbow/navicat-mysql-tunnel

对这个脚本稍微改一改,就可以实现不同的 HTTP_HOST 指向不同的后端了。
lambdaq
2023-01-27 00:15:39 +08:00
应该有些 mysql proxy 能做到。既然读写分离都能做到,区分 host 应该也不难。
coolwind1981
2023-01-27 09:01:05 +08:00
coolwind1981
2023-01-27 09:05:59 +08:00
@seagull7558 @vibbow HTTP tunnel 挺好的
lazyfighter
2023-01-27 09:54:30 +08:00
https://tengine.taobao.org/document/stream_sni.html 他可以做到, 楼主我觉得可以描述一下问题场景, 别说解决方案, 可能是你想偏了
johnkiller
2023-01-27 12:38:04 +08:00
域名在请求之前就已经在客户端解析成 IP 了,到入口服务器那里的报文已经没有域名了,而不像 HTTP 是会带一个 Host: xxx 字段。
通过不同 MySQL 用户名+ Proxy 来分流也许是一种可行的方式。
另外,用 tunnel 应该是最简单的,只是需要在 Navicat 上多配置一下代理。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/910767

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX