Сеть и кластеры в Managed Service for MySQL®
При создании кластера MySQL® вы можете:
- задать сеть для самого кластера;
- задать подсети для каждого из хостов кластера;
- запросить публичный доступ, чтобы подключаться к кластеру извне Yandex Cloud.
Вы можете создать кластер, не задавая подсети для хостов, если выбранная для каждого хоста зона доступности содержит ровно одну подсеть сети кластера.
Имя хоста и FQDN
Имя для каждого хоста в кластере Managed Service for MySQL® генерируется при его создании. Это имя будет являться доменным именем хоста (FQDN). Имя хоста и, соответственно, FQDN невозможно изменить.
О том, как получить FQDN хоста, см. инструкцию.
FQDN можно использовать для доступа к хосту в рамках одной облачной сети. Подробнее читайте в документации сервиса Yandex Virtual Private Cloud.
Публичный доступ к хосту
Любой хост в кластере может быть доступен извне Yandex Cloud, если вы запросили публичный доступ при создании или изменении настроек хоста. Чтобы подключиться к такому хосту, используйте его FQDN.
При удалении хоста с публичным FQDN соответствующий этому имени IP-адрес отзывается.
Подключение к хостам кластера
Подключение к хостам кластера Managed Service for MySQL® возможно:
-
Через интернет, если вы настроили публичный доступ для нужного хоста. К таким хостам подключиться можно только используя SSL-соединение.
-
С виртуальных машин Yandex Cloud, расположенных в той же облачной сети. Если к хосту нет публичного доступа, для подключения с таких виртуальных машин необязательно использовать SSL-соединение.
Максимальное количество подключений определяется настройкой max_connections, которая зависит от класса хостов.
Помимо имен хостов для подключения к кластеру можно использовать особые FQDN, указывающие на текущий хост-мастер и наименее отстающую реплику.
Группы безопасности
Для групп безопасности действует принцип «весь трафик, который не разрешен, запрещен». Для подключения к кластеру задайте правила в группе безопасности. Они разрешают трафик с определенных портов, IP-адресов или из других групп безопасности. Например, ВМ не сможет подключиться к кластеру, если:
- ВМ находится в подсети 10.128.0.0/16, а в правилах на входящий трафик указана только подсеть 10.133.0.0/24.
- ВМ находится в подсети 10.133.0.0/24, но обращается к порту, не указанному в правилах группы безопасности.
Подробнее о том, как настроить группы безопасности, читайте в разделе Настройка групп безопасности.
Совет
При подключении к кластеру из той же облачной сети, в которой он находится, настройте группы безопасности не только для кластера, но и для хоста, с которого выполняется подключение.
Особенности работы с группами безопасности:
-
Даже если кластер и хост находятся в одной группе безопасности, для подключения к кластеру с этого хоста потребуются правила, разрешающие прохождение трафика между ними. По умолчанию такие правила содержатся в группе безопасности, которая создается вместе с облачной сетью. Это правила
Self
, разрешающие неограниченное прохождение трафика внутри группы безопасности. -
Настройки групп безопасности влияют только на возможность подключения к кластеру. Они не влияют на функционирование кластеров: работу репликации, шардирования, возможность снятия резервных копий и другие возможности.
Подробнее см. в документации Virtual Private Cloud.