• 使用自己的安全协议实现，包括 TLS/SSL 和入站 Group Communication System（GCS）连接的白名单。

• 使用 MySQL Server 自己的连接安全性取代 Group Replication 的实现。使用 MySQL 协议意味着可以使用标准用户身份验证方法来授予（或撤销）对组的访问权限，而不是白名单，并且服务器协议的最新功能总是可用的。

Group Replication 对 MySQL 通信栈的要求

• 每个组成员的网络地址，配置由group_ replication_local_address系统变量指定，必须设置为MySQL Server监听的IP地址和端口之一，正如bind_address系统变量对服务器指定的那样。每个成员的IP地址和端口组合必须在组中唯一。建议将group_ replication_group_seeds系统变量对每个组成员配置，以包含所有组成员的本地地址。

• MySQL 通信栈支持网络命名空间，而XCom 通信栈不支持。如果使用网络命名空间与组复制本地地址（group_ replication_local_address），这些必须对每个组成员使用CHANGE REPLICATION SOURCE TO语句配置。同时，对于每个组成员，report_host服务器系统变量必须设置为报告命名空间。所有组成员都必须使用相同的命名空间，以避免分布式恢复期间可能出现的地址解析问题。

• 必须将group_replication_ssl_mode系统变量设置为群组通信所需的设置。这個系统变量控制是否启用或禁用TLS/SSL对群组通信。当使用MySQL通信栈时，TLS/SSL配置将来自Group Replication的分布式恢复设置。该设置应在所有群组成员上相同，以避免潜在冲突。

• 服务器系统变量require_secure_transport的值应该在所有群组成员上相同，以避免潜在冲突。如果group_replication_ssl_mode设置为REQUIRED、VERIFY_CA或VERIFY_IDENTITY，请使用require_secure_transport=ON。如果group_replication_ssl_mode设置为DISABLED，请使用require_secure_transport=OFF。

• 如果为群组通信启用TLS/SSL，Group Replication的分布式恢复安全设置必须配置或验证。如果这些设置已经存在，可以忽略本节内容。MySQL 通信栈使用这些设置不仅用于成员之间的分布式恢复连接，还用于一般群组通信中的TLS/SSL配置。group_ replication_recovery_use_ssl和其他group_ replication_recovery_*系统变量在第20.6.3.2节，“Secure Socket Layer (SSL) Connections for Distributed Recovery”中有详细解释。

• Group Replication allowlist在使用MySQL 通信栈时不被使用，因此group_ replication_ip_allowlist系统变量将被忽略，不需要设置。

• Group Replication用于分布式恢复的replication用户账户，使用CHANGE REPLICATION SOURCE TO语句配置，将在MySQL 通信栈中用于Group Replication连接的身份验证。这账户，在所有群组成员上相同，必须具有以下权限：

  • GROUP_REPLICATION_STREAM. 该权限是用户账户需要的，以便使用 MySQL 通信栈来建立 Group Replication 连接。

  • CONNECTION_ADMIN. 该权限是必要的，以免在某个服务器被置于离线模式时，Group Replication 连接被终止。如果没有这权限，MySQL 通信栈将在其中一个服务器被置于离线模式时将其从组中驱逐。

  此外，还需要所有复制用户账户都具有的权限REPLICATION SLAVE和BACKUP_ADMIN(见第20.2.1.3节，“分布式恢复用户凭证”）。在添加新权限时，请确保在每个组成员上设置SET SQL_LOG_BIN=0，然后执行GRANT语句，并在完成后设置SET SQL_LOG_BIN=1，以免本地事务干扰 Group Replication 重启。