Es kann zwischen einem und mehr als zehn Ports geben, die in Ihrem MySQL-Ökosystem verwendet werden. Das hängt davon ab, was Sie aktiviert haben, welche Komponenten Sie verwenden, wie Ihre Anwendungen verbunden sind und von anderen Merkmalen Ihrer Umgebung.
Aus Sicherheitsgründen müssen diese Ports gerade weit genug geöffnet werden, damit die verschiedenen Komponenten, die miteinander kommunizieren sollen, miteinander kommunizieren können, während alles andere, das versucht, sich einzuhacken, blockiert wird – das Ziel ist, das Sicherheitsprinzip des „geringsten Privilegs“ durchzusetzen. Natürlich sollten Sie nicht alles öffnen, um die Dinge zum Laufen zu bringen, nur um später festzustellen, dass Sie sich selbst völlig ungeschützt gelassen haben und gehackt wurden. Seien Sie nicht „dieser Admin oder DBA“.
Natürlich hängt es von Ihrer Umgebung ab, wie Sie Ports mit angemessenen Eingangs- und Ausgangsregeln blockieren und öffnen – wo Sie verschiedene Tools, Firewalls, VPNs, Betriebssysteme usw. haben. Bei einigen unserer Installationspakete ist es unser Ziel, standardmäßig sicher und benutzerfreundlich zu sein, und wir unterstützen Sie dabei, aber normalerweise nur bei den wichtigsten Ports. Zum Beispiel fügt das Windows-Installationsprogramm von MySQL der Windows-Firewall Regeln hinzu, oder die Linux-Pakete fügen SELinux- oder AppArmor-Regeln hinzu.
Für weniger gebräuchliche, optionale oder externe produktspezifische Ports öffnen wir sie jedoch nicht für Sie in unseren Paketen, sodass Sie dies in diesen Fällen selbst tun müssen. Mit Befehlen wie dem für SELinux wie
semanage port -a -t mysqld_port_t -p tcp <port open to mysqld>
Alles in allem, für diesen Blog ist das Ziel nur Port Awareness, also wollte ich sie nur auflisten, um sicherzustellen, dass sie bekannt sind und verstanden werden in Bezug auf
- Was sie sind
- Wer sie benutzt
- Wann sie benutzt werden
- Ist die Kommunikation standardmäßig verschlüsselt (Ja in den meisten Fällen)
- Zugangsbeschränkung
Dieser Hinweis gilt für MySQL 5.7 und 8.0
Optisch sieht es etwa so aus.
Dies ist KEINE vollständige Referenz – die Tabellen unten enthalten die vollständige Referenz.
Oder für alle Details siehe
- Detaillierte MySQL Ports Referenz – PDF
Und eine praktische MySQL PORT Schnellreferenztabelle
MySQL Ports
Technology | Default Port | SSL|Enc Def. | Erforderlich | |
---|---|---|---|---|
Client – Server-Verbindungen (msql client, connectors, mysqldump, mysqlpump) |
||||
MySQL Client zum Server – MySQL Protokoll – 3306 | 3306/tcp | Y | Y es sei denn, es wird nur 33060 | |
MySQL Client zum Server – New X Protokoll – 33060 | 33060/tcp | Y | Y, außer wenn nur 3306 | |
MySQL Shell | ||||
MySQL Client zum Server – MySQL Protokoll – 3306 | 3306/tcp | Y | Y es sei denn, man verwendet nur 33060 | |
MySQL Client zu Server – New X Protokoll – 33060 | 33060/tcp | Y | Y es sei denn, man verwendet nur 3306 | |
Für Prüfungen, von der Shell zum GR-Server während der Konfiguration des InnoDB-Clusters. | 33061/tcp | Y | Y wenn InnoDB Cluster | |
MySQL Workbench | ||||
MySQL Client zu Server – MySQL Protokoll – 3306 | 3306/tcp | Y | Optional – wählen Sie mindestens 1 | |
MySQL Client zum Server – New X Protokoll – 33060 | 33060/tcp | Y | Optional – wähle mindestens 1 | |
Verbindungen über SSH Tunnel | 22/tcp | Y | Optional – Wählen Sie mindestens 1 | |
Client – Router Verbindungen – | ||||
MySQL Client Any SQL to Router – MySQL-Protokoll | 6446/tcp | vererbt | erforderlich, wenn Router RW-Zugriff bietet | |
MySQL-Client ReadOnly SQL zum Router – MySQL Protokoll | 6447/tcp | „“ | Erforderlich, wenn Router ReadOnly-Zugriff bietet | |
MySQL Router zum Server – MySQL-Protokoll | 3306/tcp | „“ | Erforderlich | |
MySQL-Client beliebige API-Aufrufe zum Router – New X Protocol – 33060 | 6448/tcp | „“ | Erforderlich, wenn Router RW-Zugriff bietet | |
MySQL-Client ReadOnly-Aufrufe an Router – Neues X-Protokoll – 33060 | 6449/tcp | „“ | Erforderlich, wenn Router ReadOnly-Zugriff bietet | |
MySQL Router zum Server – Neues X-Protokoll – 33060 | 33060/tcp | „“ | Erforderlich | |
Hochverfügbarkeit | ||||
MySQL Group Replication interner Kommunikationsport – 33061 | 33061/tcp | Y | Y | |
MySQL Replikation | 3306/tcp | Y | Y | |
Externe Authentifizierung * | ||||
MySQL Enterprise Authentication – LDAP * | 389/tcp | Y | Nur bei Verwendung der externen Authentifizierung zu LDAP. Unterstützt auch die Verwendung von SASL | |
MySQL Enterprise Authentication – AD * | 389/tcp | Y | Nur bei Verwendung von Externe Authentifizierung zu LDAP | |
Schlüsselverwaltung (für TDE, Keyring-Funktionen usw.) * | ||||
KMIP – verwendet mit Oracle Key Vault, Gemalto KeySecure, Thales Vormetric Key Management Server, Fornetix Key Orchestration * | Variationen, siehe Schlüsselmanager/Vault spezifische Dokumentation. | Y | Nur erforderlich, wenn TDE einen KMIP-Server verwendet | |
Schlüsseldienste – AWS KMS * | 443/tcp | Y | Nur erforderlich, wenn TDE AWS KMS verwendet | |
MEB-Backup | ||||
Kommunizieren mit lokaler Instanz | 3306/tcp | Y | Optional – kann sich mit tcp|socket|pipe|memory verbinden | |
Wenn Innodb Cluster/Group Replication | 3306/tcp | Y | Erforderlich für InnoDB Cluster Backup | |
Oracle Object Store | 443/tcp | Y | Optional | |
AWS S3 | 443/tcp | Y | Optional | |
Backup to Media Manager (SBT API) * | Variabel – Siehe spezifische Dokumentation zum Backup Media Manager | Anbieterabhängig | Optional |