Eu tenho um farm de servidores mysql de produção que atualmente estão protegidos por senhas restritas.
Eu preferiria restringir o acesso a esses sistemas no nível da rede, mas ter em conta o fato de que alguns membros da comunidade dev requerem acesso somente leitura para depurar problemas de aplicativos.
Eu sei que posso fazer isso criando usuários mysql que podem autenticar em diferentes níveis a partir de diferentes sub-redes ip (por exemplo, 'user'@'10.0.0.8'), mas eu gostaria de evitar refatorar código para introduzir novos usuários no aplicativo (o que exigiria um esforço considerável de controle de qualidade).
Idealmente, eu só quero quebrar o link de rede entre os servidores mysql (em uma sub-rede dedicada) e os desenvolvedores (em uma sub-rede dedicada) e permitir que os servidores de aplicativos continuem acessando os servidores mysql como antes. / p>
Parece que algum tipo de proxy baseado em TCP com autenticação atenderia a essa finalidade. Dessa forma, eu poderia criar contas específicas do usuário no proxy que criariam uma trilha de auditoria e forneceriam acesso de demanda a curto prazo aos desenvolvedores sem precisar mexer no banco de dados do usuário nos servidores MySQL.
No entanto, as opções de autenticação em softwares como HAProxy e MySQL proxy parecem bastante limitadas.
Alguém implementou algo semelhante?
Tags networking mysql haproxy