我有一个生产mysql服务器的农场,目前受限制的密码保护。
我希望限制在networking级别访问这些系统,但是必须考虑到开发者社区的一些成员需要只读访问来debugging应用程序问题的事实。
我知道我可以通过创build可以从不同的ip子网(例如'user'@10.0.0.8')在不同级别authentication的mysql用户来做到这一点,但我想避免重构代码来引入新用户应用程序(这将需要大量的QA工作)。
理想情况下,我只是想打破mysql服务器(在一个专用的子网)和开发人员(在一个专用的子网)之间的networking链接,并允许应用程序服务器像以前一样继续访问mysql服务器。
这似乎是某种基于TCP的代理与身份validation将适合此目的。 通过这种方式,我可以在代理上创build用户特定的帐户,这将创build审计跟踪,并向开发人员提供短期的随需访问,而无需修改MySQL服务器上的用户数据库。
但是,HAProxy和MySQL代理等软件中的authentication选项显得非常有限。
有没有人执行类似的东西?