MySQL 5: SSL vs. OpenVPN

H

h00ch

Registered User
Hi,

ich plane mehrere Webserver (unterschiedliche ISP in einem Land, dedicated 100mbit) mit einer zentralen MySQL Datenbank zu verbinden.
Ich möchte die Zugriffe verschlüsseln.

Hat einer Erfahrung oder Benchmark Werte einmal bei einer OpenVPN/MySQL Installation (OpenVPN Server wäre MySQL Server) oder MySQL mit SSL?

OpenVPN bietet noch mehrere Vorteile, jedoch ist die Performance / Praxistauglichkeit viel wichtiger.

MfG, h00ch
 
Mal ganz unabhängig von der Geschwindigkeit, zu der ich erstmal nichts fundiertes sagen kann, ist festzuhalten, dass Du bei Nutzung eines OpenVPN-Servers ein weiteres Glied in der Kette hast, dass ausfallen und kompromittiert kann und gepflegt werden muss.

Die interne mySQL-SSL Lösung bietet eine Verschlüsselung auf bekannter Basis an. Ich denke - ohne fundiertes Wissen in dem Bereich - dass die mySQL-SSL-Lösung die gangbare sein wird.
 
Mit OpenVPN arbeite ich schon sehr lange, ein Sicherheitsrisiko sehe ich daher nicht. Jedoch fehlen mir die Praxiswerte für MySQL Connections.

Es ist daher wirklich nur eine Frage der Performance.
 
Ich stellte weniger Deine Kompetenz in Frage als die Tatsache, dass eine zusätzliche Komponente integriert werden muss, ohne eine wirkliche Notwendigkeit :)
 
Mein Gedankengang war wie folgt:

Bei einer OpenVPN Verbindung erfolgt ein SSL Handshake bei Booten des Servers.
Bei MySQL jedoch jedesmal wenn eine Connection aufgebaut wird. Bei einer hohen Connectionszahl sehe ich da ein Performance Problem. Ist das eins?

Zur MySQL Verbindung: Ich möchte direkt aus PHP5 (MYSQL_CLIENT_SSL) auf die Datenbank zugreifen. Im Falle einer OpenVPN natürlich ohne SSL.
 
h00ch said:
Bei MySQL jedoch jedesmal wenn eine Connection aufgebaut wird. Bei einer hohen Connectionszahl sehe ich da ein Performance Problem. Ist das eins?
Click to expand...

Das kann schon gut sein -- um aber raus zu finden, ob es in Deinem Szenario dann auch tatsächlich ein Problem darstellt, führt wahrscheinlich kein Weg an Belastungstests vorbei, denn niemand außer Dir kennt Deine Connect-Raten, etc.

Das Problem beim VPN ist eher, dass Du sicherstellen musst, dass es in jedem Fall aufgebaut werden kann -- beispielsweise auch, wenn der eine Server zunächst nicht erreichbar ist, wären der andere beim Booten versucht, die Verbindung auf zu bauen. Dann darf er nicht aufgeben, sondern muss es später weiter versuchen, usw.

Just some thoughts,
LinuxAdmin
 
You must log in or register to reply here.
Back
Top