ProxySQL中mysql_servers_ssl_params配置失效问题分析

问题背景

ProxySQL作为高性能的MySQL代理中间件，在2.6.0版本中引入了mysql_servers_ssl_params表，用于替代全局变量来配置后端MySQL服务器的SSL连接参数。然而在实际使用中发现，当通过该表配置SSL证书和密钥文件时，ProxySQL无法正确加载这些文件，导致SSL连接失败。

问题表现

当使用mysql_servers_ssl_params表配置SSL参数时，会出现两种异常情况：

1. 仅配置ssl_ca参数时，ProxySQL会忽略文件打开错误，导致使用自定义CA时证书验证失败
2. 配置ssl_cert和ssl_key进行证书认证时，会直接失败并报错"TLS/SSL error: invalid directory"

技术分析

通过分析源代码和测试环境，发现问题主要出在以下几个方面：

1. 文件路径处理：ProxySQL在处理SSL参数文件路径时，错误地将文件路径识别为目录路径，导致"invalid directory"错误

2. 错误处理不完善：对于CA证书文件加载失败的情况，没有正确的错误处理机制，导致问题被静默忽略

3. 功能覆盖不全：新引入的mysql_servers_ssl_params功能没有覆盖所有可能创建后端连接的场景，包括：

   • 监控线程(MySQL_Monitor)
   • 查询终止线程(kill_query_thread)
   • 配置文件初始化(main函数)

解决方案

针对上述问题，开发团队已经提交了修复方案，主要改进包括：

1. 修正文件路径处理：正确识别和验证SSL参数文件路径，确保文件可访问

2. 完善错误处理：增加对文件加载失败情况的错误处理和日志记录

3. 功能全覆盖：将SSL参数配置功能扩展到所有创建后端连接的场景，包括：

   • 监控线程的连接创建
   • 终止查询时的连接创建
   • 配置文件初始化时的连接创建

最佳实践建议

在使用ProxySQL的SSL功能时，建议：

1. 确保所有SSL证书和密钥文件具有正确的权限设置，ProxySQL进程用户需要有读取权限

2. 在Docker环境中使用时，注意将SSL文件挂载到容器内部可访问的位置

3. 升级到包含修复的版本后，可以通过以下步骤验证SSL配置是否生效：

   • 检查ProxySQL日志中是否有SSL相关错误
   • 使用MySQL客户端通过ProxySQL连接后端，验证SSL连接状态
   • 监控ProxySQL与后端MySQL的连接建立情况

4. 对于复杂的SSL配置，建议先在测试环境验证，再应用到生产环境

总结

ProxySQL 2.6.0版本引入的mysql_servers_ssl_params功能虽然提供了更灵活的SSL配置方式，但在初始实现中存在一些缺陷。通过开发团队的及时修复，这些问题已经得到解决。用户在使用该功能时，应确保使用包含修复的版本，并遵循SSL配置的最佳实践，以保障数据库连接的安全性。