[2] TLS が有効かどうかは SHOW STATUS LIKE "Ssl_cipher"
適当な cipher が返ってきたら、 TLS が有効です。
[3] mysql コマンドほかいくつかのクライアントライブラリーは TLS が指定されていてもそれが適用されなかった場合にも、これをエラーとしないので、 注意が必要です。
[33] mysql クライアントから ClearDB サーバーに接続するには
$ mysql --user=XXX --password=XXX --host=XXX XXX --ssl-ca=cleardb-ca.pem --ssl-cert=XXX-cert.pem --ssl-key=XXX-key.pem
最初の4つのXXXは Heroku の設定変数として設定されている CLEARDB_DATABASE_URL の値から採る。最後の3つのファイルは Heroku の設定ページから ClearDB のページに行き、ダウンロードする (ログイン必要なのでブラウザで保存する)。
秘密鍵のエラーが出る時は (OpenSSL のバージョンの問題らしい)、
$ openssl rsa -in XXX-key.pem -out XXX-key-pkcs1.pem... として作られたファイルを指定すれば良い。
本当に SSL で接続できたかは
SHOW STATUS LIKE 'Ssl_cipher';... で値が空文字列になっていないかどうかで確認できる。
[34] Perl の DBI で接続する時は
DBI:mysql:database=%s;host=%s;user=%s;password=%s;mysql_ssl=1;mysql_ssl_ca_file=%s;mysql_ssl_client_cert=%s;mysql_ssl_client_key=%s... のような dsn で同じ要領で接続できる。ただし DBD::mysql は標準では SSL 無効でコンパイルされる。その場合 mysql_ssl* は無視されるので注意しないといけない。無視されるがエラーにならずに平文で接続できてしまう。
DBD::mysql インストール時の Makefile.PL でオプション --ssl をつけると SSL 付きでコンパイルされる。 cpanm でインストールするなら --configure-args=--ssl をつければ良い。 pmbp.pl を使うなら今日の版以降は標準で --ssl 付きでコンパイルされる。
SSL なしで接続できてしまうのは怖いが、 MySQL で SSL 固定にするには GRANT ほにゃららを実行するらしい。 ClearDB では GRANT を実行する権限がなさそう (未確認)。
接続時に SHOW STATUS LIKE 'Ssl_cipher' して確認する実装にしておかないと怖い。
[35] AnyEvent::MySQL は SSL に対応していない。
[31] なぜかサーバーが起動せず、 docker logs
の -d
[32] 環境変数の組み合わせが間違っているとかで、わりと簡単に >>31 のような状況になるようです。
[36] CircleCI で実行すると mbind: Invalid argument
my $url = Mojo::MySQL5::URL->new('mysql://sri:foo@server:3306/test?foo=bar');
[5] 他にも色々バリエーションがあるようです。
[49] ひたすら面倒になっただけに見えるんだが... これ意味あるのかなあ?
[41] GIS 系の SQL 関数の古いもの (非推奨になっていたもの) は MySQL 8 で廃止されて削除されて使えなくなってしまったようです。
だいたいは先頭に ST_
は ST_Length
Can't initialize timers
