我正在 Heroku 的 Cedar 堆栈上运行 Rails 3.2 应用程序。
我将 Amazon RDS 用于我的 MySQL 数据库,并且在 Heroku 配置变量中设置了正确的 DATABASE_URL。
如何让 Heroku 在连接到 Amazon RDS 时使用 SSL?
通常这会被指定为database.yml中的一个值,但由于Heroku为我们生成database.yml,我不知道如何控制这个设置。
谢谢!
【问题讨论】:
标签: mysql ruby-on-rails-3 ssl heroku
您可以通过DATABASE_URL 配置指定some mysql2 SSL params。它们将作为项目添加到在 Heroku 构建过程中生成的动态 database.yml 中,因此它们将在创建 mysql2 连接时传递。
您需要传递的唯一参数是sslca(不要与sslcapath混淆)。
1.下载Amazon RDS CA certificate 并将其与您的应用捆绑在一起。
(编辑)亚马逊将在 2015 年 3 月成为 rotating this certificate。您需要该页面中的新文件,而不是这个。
curl https://s3.amazonaws.com/rds-downloads/mysql-ssl-ca-cert.pem > ./config/amazon-rds-ca-cert.pem
2。将文件添加到 git,然后重新部署到 Heroku。
3.将DATABASE_URL 改为通过sslca:
heroku config:add DATABASE_URL="mysql2://username:password@hostname/dbname?sslca=config/amazon-rds-ca-cert.pem -a <app_id>
那里的相对路径很重要——见下文。
就是这样!既然您已经使用 SSL,您可能希望强制与该用户的所有连接都只允许 SSL:
GRANT USAGE ON dbname.* TO 'username'@'%' REQUIRE SSL;
疑难解答
确保将相对路径传递给sslca!否则,rake assets:precompile 可能会因 SSL 错误而中断。如果您收到如下错误:
SSL connection error: ASN: bad other signature confirmation
甚至只是:
SSL connection error
...那么 CA 证书文件的引用方式可能有问题。
【讨论】:
heroku apps查看登录用户有哪些应用。
通过查看注入的 database.yml(参见 http://neilmiddleton.com/sharing-databases-between-heroku-applications/ 的底部),您可以将额外的配置作为 db URL 的一部分作为查询参数传递。
理论上,这应该可以让您按照自己的意愿配置它,尽管我没有尝试过。
【讨论】: