Как использовать nginx как прокси для mysql?

Question

[Michail]

Добрый день.
Есть VDS на нем стоит ngnx который доступен по ip адресу. Так же на vds поднят mysql на localhost.
Можно как то достучаться до базы через nginx?

Это нужно что бы с локально поднятого сервка на машине подключится к базе, на время дева.
Спасибо

Comments

[maddog670]

mysql можно поднять и без nginx

[Michail]

Он поднят, на localhost vds, но он не доступен из внешней сети.

Answer 1

[Дмитрий]

nginx может проксировать НЕ только http/https трафик.
https://docs.nginx.com/nginx/admin-guide/load-bala...
другой момент что это страшный костыль и так делать лучше не надо.
но если очень хочется то вот пример, прям с сайта nginx
https://www.nginx.com/blog/scaling-mysql-tcp-load-...

и да, я присоединяюсь к комменту о том что в базе можно и без nginx-а подключаться вполне себе успешно..

Comments

[Michail]

Она у меня не доступна из vds. Я хз как ее сделать видимой для внешней сети.
В дальнейшем к ней будет ходить node.js сервак который также поднят в локальной сети, а доступ к базе из внешней сети нужен на время дева.
Наверное схема не очень, но пока так.

[Дмитрий]

ну так проверьте что там у нее с настройками сети (что там в my.cnf) , она должна висеть на порту 3306 , проверьте firewall и т.п.

[Денис Юрьев]

Michail, не костыльте через nginx, это тупо и несекьюрно

PS: ответ то верный, а вот вопрос не правильный

[Alexey Dmitriev]

Дмитрий
Вы даете ссылку на описание функций платного nginx plus.
Обычный nginx, согласно документации https://docs.nginx.com/nginx/admin-guide/web-serve...
умеет "It is possible to proxy requests to an HTTP server (another NGINX server or any other server) or a non-HTTP server (which can run an application developed with a specific framework, such as PHP or Python) using a specified protocol. Supported protocols include FastCGI, uwsgi, SCGI, and memcached."
В режиме load balancer тоже самое https://nginx.org/en/docs/http/load_balancing.html

[Дмитрий]

Alexey Dmitriev, окай, я согласен с Вашим комментарием. Ответим так - _обычный_ nginx такое не может, но можно использовать платный) А еще лучше не заниматься фигней, так как в описанном случае можно вообще обойтись без проксирования.

[Денис Юрьев]

Alexey Dmitriev,
https://nginx.org/ru/#generic_proxy_server_features
https://nginx.org/ru/docs/stream/ngx_stream_proxy_...

успокойся, Wintel\Unix Engineer

[Денис Юрьев]

Дмитрий, не ведись, бесплатный тоже умеет проксировать tcp/udp

Answer 2

[Денис Юрьев]

1. забываем про проксирование через nginx, как о глупой идее
   
2. в конфиг mysql
   bind-address = 0.0.0.0
   
3. рестартуем mysql
   
4. проверяем удаленный коннект
   

PS: предполагаем, что фаервола нет
PPS: так же не забываем давать удаленный доступ только для учетки от необходимой базы данных, желательно еще настроить ssl и прочие ништяки, а еще лучше разделить дев и прод базы. ну и конечно же, такие вещи как fail2ban. Через nginx проксировать mysql тупо, так как не сможете запретить удаленное подключение к руту, ибо база все подключения будет видеть как локальные.

Comments

[Michail]

ufw активен. Туда надо правила прописать?

[Денис Юрьев]

Michail,
ufw allow mysql

[Michail]

bind-address = конкретный ip vds ки
mysqlx-bind-address = конкретный ip vds ки
и не хочет подключатся(

[Денис Юрьев]

Michail, какая именно ошибка? вангую, что пользователю удаленный доступ не разрешили

[Денис Юрьев]

заодно

netstat -ltpnd|grep 3306
и
iptables-save

покажите, свой айпишник затереть можете

[Michail]

code: 'ER_HOST_NOT_PRIVILEGED',
errno: 1130,
sqlState: '',
Host такой то is not allowed to connect to this MySQL server

[Michail]

tcp 0 0 x.x.x.x:33060 0.0.0.0:* LISTEN 23035/mysqld
tcp 0 0 x.x.x.x:3306 0.0.0.0:* LISTEN 23035/mysqld

[Michail]

Вроде креды правильные ввожу

[Денис Юрьев]

Michail, в базе у пользователя какой хост указан?

SELECT user,host FROM mysql.user;
напротив пользователя, от имени которого подключатесь во второй колонке будет раз таки хост

[Денис Юрьев]

Michail,

GRANT ALL PRIVILEGES ON database.* TO 'username'@'%' IDENTIFIED BY 'password' WITH GRANT OPTION;
FLUSH PRIVILEGES;

• database
  
• username
  
• password
  

замените на свои

[Michail]

localhost, ясно похоже

[Денис Юрьев]

Michail, удаленный коннект пользователю запрещен

[Michail]

Все заработало. Спасибо огромное за потраченное на мой вопрос время!

Answer 3

[DevMan]

как уже сказали выше: проксировать - костыль. хотя и возможно различными способами, простыми или не очень.

нормальный способ - разрешить удалённое подключение.
а дальше по ситуации:
- если у удаленной машины постоянный адрес, создаём в мускуле юзера только с этим адресом.
- если адрес "плавает", создаём в мускуле пользователя с доступом отовсюду и сложным паролем, сверху навешиваем fail2ban, а лучше ещё добавить порт нокинг. или просто юзаем ссх-туннель.

Comments

[Michail]

Пока план на проде закрыть доступ к бд из сети. Поднять на вдс ке бд сервак, ноду которая будет на него ходить, и nginx который будет доступен из внешней сети. В дальнейшем если не хватит мощи перенесём бд на другой сервак и наймем человека что бы все правильно настроил.

[DevMan]

Michail, какие проблемы? закрывайте.
и открывайте только когда нужно и кому нужно.

можно ручками, можно автоматом. выбор за вами.

Answer 4

[Alexey Dmitriev]

Нет нельзя. nginx проксирует только http\https трафик.

Comments

[Michail]

А как же быть? Может быть есть какие то варианты?

[Дмитрий]

ответ неверный.
nginx может проксировать НЕ только http/https трафик.
https://docs.nginx.com/nginx/admin-guide/load-bala...
другой момент что это страшный костыль и так делать лучше не надо.
но если очень хочется то вот пример, прям с сайта nginx
https://www.nginx.com/blog/scaling-mysql-tcp-load-...

[Денис Юрьев]

Alexey Dmitriev садись, два

[Alexey Dmitriev]

Michail, стандартным способом.
1. Открыть доступ к mysql наружу, чтобы он слушал на внешнем ip интерфейсе.
2. Создать пользователя с ограничением по ip, с которого будете подключаться.
3. Закрыть файрволом доступ к порту mysql с остальных адресов.