证书更换的逻辑:
1. 只读节点是高可用版本的情况下(不适合只读节点是basic的版本), 先对只读节点的slave进行更新证书。
1.1 更新证书的过程,先把证书路径下的证书文件进行删除或者重命名。因为如果生成新证书时,在同一路径下存在同名文件,则创建失败。(证书路径是数据库中 show variables like ‘%ssl%’中的参数显示的路径)
1.2. 用mysql_ssl_rsa_setup创建证书,证书期限是一年,证书产生在原来老证书路径,由于老证书之前进行了删除或者重命名,不存在同一路径下同时有2张证书的情况。
2. 证书更新后的生效,需要重启mysql实例,通过HA切换来实现。
2.1 只读节点的主从互换,其实并不是的主从互换,而是一个读写主实例,基于mysql原生主从,做了2个只读实例。一主拖两从部署。
2.2 HA切换,是重启了只读节点的slave节点上实例,并且将只读节点的终端链接指向,(可能是通过修改dns指向),指向这个实例。
2.3 在只读节点的原master节点(现在为slave节点)上,生成新证书,重启只读节点原master节点。
在2023-11-01之前,存在一个bug,是在证书更换的第1阶段, 没有正确生成新证书。这可能是老证书没有重命名或删除,导致同名新证书无法生成;可能是创建新证书时mysql_ssl_rsa_setup执行失败。 —— 这就导致,在阿里云控制台的界面上看,更新证书是成功的。但是实际应用ssl连接到从库,是报错的。
在2023-11-01之后修复。