扫码阅读
手机扫码阅读

TiDB丨如何开启TiDB集群中的节点通信加密?

263 2023-09-08

TiDB神州数码云基地

如何开启生产集群与加密通讯的TLS

作者在银行项目中经过PoC测试,准备上线时发现未通过银行内部漏洞扫描,存在高危漏洞。解决方案包括给TiDB组件间通信开启加密传输以及通过控制指定IP及端口来限制访问范围。考虑到情况,作者选择了第一种方案。

对现有集群开启TLS

TLS(传输层安全性协议)是一种安全协议,旨在为互联网通信提供安全及数据完整性保障。有两种方法可以在已部署的TiDB集群中开启TLS:手动开启和使用TiUP开启。手动开启繁琐且容易出错,因此作者选择使用TiUP开启。

使用TiUP开启TLS
  1. 升级TiUP版本:需要使用TiUP v1.10.0及以上版本,可在线升级或离线下载最新版部署介质。
  2. 检查节点服务状态:确保没有多余的node_exporter service,避免PD扩容加载失败。
  3. 缩容PD节点:如果有多个PD节点,需要将其缩容至只剩一个。
  4. 开启TLS:通过命令tiup cluster tls enable开启,此操作会重启集群。
  5. 检查TLS是否成功开启:通过执行命令检查peerURLs是否为HTTPS。

最后,作者提供了一些操作建议,指出相对于其他用户,开启TLS的人较少。开启TLS的过程虽简单,但需注意版本要求和缩容PD节点的步骤,且所有HTTP连接需改为HTTPS并添加证书。

想要了解更多,点击 查看原文