web賬戶授權實戰案例a.生產環境主庫用戶的賬號授權：GRANT SELECT,INSERT,UPDATE,DELETE ON blog.*TO

web賬戶授權實戰案例
a.生產環境主庫用戶的賬號授權：
GRANT SELECT,INSERT,UPDATE,DELETE ON blog.*TO 'blog'@10.0.0.%' identified by 'oldboy456';
b.生產環境從庫用戶的授權：
GRANT SELECT ON blog.*TO 'blog'@'10.0.0.%'identified by 'oldboy456';
當然從庫除了做SELECT 的授權外，，還可以加read-only等只讀參數。

2.4產環境讀寫分離賬戶設置
給開發人員的讀寫分離用戶設置，除了IP必須要不同外，我們盡量為開發人員使用提供方便。因此，讀寫分離的地址，除了IP不同外，賬號，密碼，端口等看起來都是一樣的，這才是人性化的設計，體現了運維或DBA人員的專業。
主庫（盡量提供寫服務）：blog oldboy456 ip:10.0.0.179 port 3306
從庫（今提供讀服務）： blog oldboy456 ip:10.0.0.180 port 3306
提示： 兩個賬號的權限是不一樣的
提示：從數據庫的設計上，對于讀庫，開發人員應該設計優先連接讀庫，如果讀庫沒有，超時后，可以考慮主庫，從程序設計上來保證提升用也要根據主庫的繁忙程度來綜合體驗，具體情況都是根據業務項目需求來抉擇

3，數據庫客戶端訪問控制
1.更改默認mysql client 端口，如phpadmin 管理端口為9999，其他客戶端也是一樣的
2：數據庫web client端統一部署在1-2臺不對外服務Server上，限制ip,及9999端口只能從內網訪問。
3.不做公網域名解析,用host實現訪問或者內部IP
4phpadmin站點目錄獨立所有其他站點根目錄外，只能由指定的域名或ip地址訪問。
5.限制使用web連接的賬號管理數據庫，根據用戶角色設置指定賬號訪問。
6按開發及相關人員根據職位角色分配管理賬號
7：設置指定賬號訪問（apache/nginx驗證+mysql用戶兩個登錄限制）
8.統一所有數據庫賬號登錄入口地址。禁止所有開發私自上傳phpadmin等數據庫管理等
9開通vpn，跳板機，內部IP管理數據庫
系統層控制
1限制或禁止開發人員ssh root 管理，通過sudo細化權限，使用日志審計
2對phpadmin端config等配置文件進行讀寫權限控制
3：取消費指定服務器的所有phpadmin web 連接端
4.禁止非管理人員管理有數據庫web client端的服務器的權限。
5讀庫分業務讀寫分離
細則補充：對數據庫的select 等大量測試，統計，備份等操作，要在不對外提供select的單獨從庫執行
主從架構生產環境從服務器分業務拆分使用案例：
M-->s1==對外部用戶提供服務（瀏覽帖子，瀏覽博客，瀏覽文章）
-->s2==>對外部用戶提供服務（瀏覽帖子，瀏覽博客，瀏覽文章）
-->s3==>對外部用戶提供服務（瀏覽帖子，瀏覽博客，瀏覽文章）
-->s2==>對內部用戶提供服務（后臺訪問，腳本任務，數據分析，開發人員瀏覽）
-->s5==>數據庫備份服務（開啟從服務器binlog功能，可實現增量備份及恢復）

本文永久更新鏈接地址：

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com