安全套接字可以用于组通信组的成员之间的连接。复制系统变量group_replication_ssl_mode用于激活使用SSL进行组通信连接和指定连接的安全模式。默认设置意味着不使用SSL。选择有以下可能的值:

其余配置组复制的组通信连接来自服务器的SSL配置。更多信息在服务器的SSL配置的选项,看看加密连接的命令选项。服务器的SSL选项用于复制组的组通信连接如下:

在复制组,OpenSSL协商使用最高的TLS协议得到所有成员的支持。加入成员,被配置为只使用TLSv1.3 (tls_version = TLSv1.3)不能加入一个复制组,不支持任何现有成员TLSv1.3,因为小组成员在这种情况下使用TLS协议版本较低。加入小组的成员,你必须配置加入成员也允许使用较低的TLS协议版本支持的现有的小组成员。相反,如果不支持TLSv1.3加入成员,但是现有的组织成员都做和正在使用这个版本相互连接,成员可以加入如果现有的成员已经允许使用一个合适的低TLS协议版本,或者如果你配置它们。在这种情况下,OpenSSL使用TLS协议版本较低的连接从每个成员加入会员。每个成员的连接到现有的其他成员继续使用最高可用协议成员的支持。

从MySQL 8.0.16,您可以更改tls_version系统变量在运行时改变允许TLS协议版本的服务器列表。请注意,对于集团复制改变实例重载TLS声明,重新配置服务器的TLS系统变量的上下文从当前值,定义了上下文,不会改变的TLS上下文组复制的组通信连接而组复制正在运行。应用这些连接的重新配置,您必须执行停止GROUP_REPLICATION紧随其后的是开始GROUP_REPLICATION重启组复制的成员或成员,你改变了tls_version系统变量。同样的,如果你想让一群的所有成员改变使用TLS协议版本或高或低,你必须进行轧制后重新启动复制组的成员改变允许TLS协议版本的列表,以便OpenSSL协商使用TLS协议版本越高时,重启完成。说明变化的列表允许TLS协议版本在运行时,看到的部分再,“加密连接TLS协议和密码”和加密连接的服务器端运行时配置和监控。

下面的示例显示了一个部分的my.cnf文件配置SSL服务器上,并激活组复制组通信的SSL连接:

(mysqld) ssl_ca = " cacert。pem " ssl_capath = " /……/ca_directory" ssl_cert = "server-cert.pem" ssl_cipher = "DHE-RSA-AEs256-SHA" ssl_crl = "crl-server-revoked.crl" ssl_crlpath = "/.../crl_directory" ssl_key = "server-key.pem" group_replication_ssl_mode= REQUIRED

连接加入成员与现有成员为分布式恢复不受上述选项。这些连接使用复制的专用的分布式恢复SSL选项分组,中描述部分18.6.3.2”安全套接字层(SSL)连接分布式复苏”。