Contents

1. 1. 18.5.1 IP Address Whitelisting
2. 2. 18.5.2 Secure Socket Layer Support (SSL)

https://dev.mysql.com/doc/refman/8.0/en/group-replication-security.html

18.5.1 IP Address Whitelisting

MGR有个配置项可以决定哪些server可以被GR接受，它就是group_replication_ip_whitelist
如果你在s1设置了这个选项，然后s2给s1发送连接想要加入这个组，那么s1就会去whitelist中检查，如果s2在选项中，那么允许，如果不在选项中，那么拒绝

如果你没有显示的配置whitelist，那么MGR引擎（XCom）就会自动根据host的活跃接口自动配置一个私有的子网
这些地址和localhost ip地址会被自动创建
自动生产的whitelist因此包括host中发现的任意网段

IPv4 (as defined in RFC 1918)
10/8 prefix       (10.0.0.0 - 10.255.255.255) - Class A 
172.16/12 prefix  (172.16.0.0 - 172.31.255.255) - Class B
192.168/16 prefix (192.168.0.0 - 192.168.255.255) - Class C

IPv6 (as defined in RFC 4193 and RFC 5156)
fc00:/7 prefix    - unique-local addresses
fe80::/10 prefix  - link-local unicast addresses

127.0.0.1 - localhost for IPv4
::1       - localhost for IPv6

如果你要手动指定某些whitelist，就需要使用 group_replication_ip_whitelist 选项，必须先停止MGR

mysql> STOP GROUP_REPLICATION;
mysql> SET GLOBAL group_replication_ip_whitelist="192.0.2.21/24,198.51.100.44,203.0.113.0/24,2001:db8:85a3:8d3:1319:8a2e:370:7348,example.org,www.example.com/24";
mysql> START GROUP_REPLICATION;

为了方便，推荐每个服务器都配置相同的whitelist，并且都包括所有 group_replication_group_seeds 的成员

18.5.2 Secure Socket Layer Support (SSL)

这个用的不多，暂时不讲，有需要自己看官方文档