MySQL 8.0 リファレンスマニュアル


18.5.3.2 分散リカバリのための Secure Socket Layer (SSL) 接続

標準 SQL クライアント接続と分散リカバリエンドポイントのどちらを使用して分散リカバリ接続を確立する場合でも、セキュアに接続を構成するために Group Replication 専用の分散リカバリ SSL オプションを使用できます。 これらのオプションは、グループ通信接続に使用されるサーバー SSL オプションに対応していますが、分散リカバリ接続にのみ適用されます。 デフォルトでは、グループ通信接続に対して SSL をアクティブ化した場合でも、分散リカバリ接続では SSL は使用されず、分散リカバリ接続にはサーバー SSL オプションは適用されません。 これらの接続は個別に構成する必要があります。

リモートクローニング操作が分散リカバリの一部として使用される場合、Group Replication は、分散リカバリ SSL オプションの設定と一致するようにクローンプラグイン SSL オプションを自動的に構成します。 (クローンプラグインが SSL を使用する方法の詳細は、クローニング用の暗号化された接続の構成 を参照してください。)

分散リカバリの SSL オプションは次のとおりです:

  • group_replication_recovery_use_ssl: グループレプリケーションが分散リカバリ接続に SSL を使用するようにするには、ON に設定します。これには、リモートクローニング操作やドナーのバイナリログからの状態転送が含まれます。 このオプションを設定するだけで、他の分散リカバリ SSL オプションは設定できません。この場合、サーバーは接続に使用する証明書を自動的に生成し、デフォルトの暗号スイートを使用します。 接続用の証明書および暗号スイートを構成する場合は、他の分散リカバリ SSL オプションを使用して構成します。

  • group_replication_recovery_ssl_ca: 分散リカバリ接続に使用する認証局 (CA) ファイルのパス名。 グループレプリケーションでは、クローン SSL オプション clone_ssl_ca がこれに一致するように自動的に構成されます。

    group_replication_recovery_ssl_capath: 信頼できる SSL 認証局 (CA) 証明書ファイルを含むディレクトリのパス名。

  • group_replication_recovery_ssl_cert: 分散リカバリ接続に使用する SSL 公開キー証明書ファイルのパス名。 グループレプリケーションでは、クローン SSL オプション clone_ssl_cert がこれに一致するように自動的に構成されます。

  • group_replication_recovery_ssl_key: 分散リカバリ接続に使用する SSL 秘密キーファイルのパス名。 グループレプリケーションでは、クローン SSL オプション clone_ssl_cert がこれに一致するように自動的に構成されます。

  • group_replication_recovery_ssl_verify_server_cert: 分散リカバリ接続で、ドナーが送信した証明書のサーバーの共通名の値をチェックします。 このオプションを ON に設定することは、グループ通信接続の group_replication_ssl_mode オプションに VERIFY_IDENTITY を設定する分散リカバリ接続の場合と同じです。

  • group_replication_recovery_ssl_crl: 証明書失効リストを含むファイルのパス名。

  • group_replication_recovery_ssl_crlpath: 証明書失効リストを含むディレクトリのパス名。

  • group_replication_recovery_ssl_cipher: 分散リカバリ接続の接続暗号化に許可される暗号のリスト。 コロンで区切られた 1 つ以上の暗号名のリストを指定します。 MySQL がサポートする暗号化暗号の詳細は、セクション6.3.2「暗号化された接続 TLS プロトコルおよび暗号」 を参照してください。

  • group_replication_recovery_tls_version: このサーバーインスタンスが分散リカバリ接続のクライアント (参加メンバー) である場合に、接続暗号化に許可される 1 つ以上の TLS プロトコルのカンマ区切りリスト。 指定したバージョンが連続していることを確認します (たとえば、TLSv1,TLSv1.1,TLSv1.2)。 このシステム変数が設定されていない場合、デフォルトの TLSv1,TLSv1.1,TLSv1.2,TLSv1.3 が使用されます。 クライアント (参加メンバー) およびサーバー (ドナー) としての各分散リカバリ接続に含まれるグループメンバーは、どちらもサポートするように設定されている最高のプロトコルバージョンをネゴシエートします。 このシステム変数は、MySQL 8.0.19 から使用できます。

  • group_replication_recovery_tls_ciphersuites: 分散リカバリ接続の接続暗号化に TLSv1.3 が使用され、このサーバーインスタンスが分散リカバリ接続のクライアント (参加メンバー) である場合に許可される暗号スイートのコロン区切りリスト。 TLSv1.3 の使用時にこのシステム変数が NULL に設定されている場合 (システム変数を設定しない場合のデフォルト)、セクション6.3.2「暗号化された接続 TLS プロトコルおよび暗号」 にリストされているように、デフォルトで有効になっている暗号スイートが許可されます。 このシステム変数が空の文字列に設定されている場合、暗号スイートは許可されないため、TLSv1.3 は使用されません。 このシステム変数は、MySQL 8.0.19 以降で使用できます。


関連キーワード:  グループ, 接続, リカバリ, 分散, replication, group, 構成, 暗号, 設定, recovery