diff --git a/TOC.md b/TOC.md index 445984c0a2d7..1f9ce96eddae 100644 --- a/TOC.md +++ b/TOC.md @@ -212,7 +212,6 @@ + 安全加固 + [为 TiDB 客户端服务端间通信开启加密传输](/enable-tls-between-clients-and-servers.md) + [为 TiDB 组件间通信开启加密传输](/enable-tls-between-components.md) - + [为 TiDB 开启数据加密存储](/enable-encrypt-stored-data.md) + [生成自签名证书](/generate-self-signed-certificates.md) + 权限 + [与 MySQL 安全特性差异](/security-compatibility-with-mysql.md) diff --git a/enable-encrypt-stored-data.md b/enable-encrypt-stored-data.md deleted file mode 100644 index cbc8bd6b8b90..000000000000 --- a/enable-encrypt-stored-data.md +++ /dev/null @@ -1,45 +0,0 @@ ---- -title: 为 TiDB 开启数据加密存储 -summary: 介绍如何为 TiDB 开启数据加密存储。 -category: how-to ---- - -# 为 TiDB 开启数据加密存储 - -在 TiDB 集群中,用户的数据都存储在 TiKV 中,配置了 TiKV 数据加密存储功能,就代表 TiDB 集群已经加密存储了用户的数据。本部分主要介绍如何配置 TiKV 的加密存储功能。 - -## 操作流程 - -1. 生成 token 文件。 - - token 文件存储的是密钥,用于对用户数据进行加密,以及对已加密的数据进行解密。 - - {{< copyable "shell-regular" >}} - - ```bash - ./tikv-ctl random-hex --len 256 > cipher-file-256 - ``` - - > **注意:** - > - > TiKV 只接受 hex 格式的 token 文件,文件的长度必须是 2n,并且小于等于 1024。 - -2. 配置 TiKV。 - - ```toml - [security] - # Cipher file 的存储路径 - cipher-file = "/path/to/cipher-file-256" - ``` - -> **注意:** -> -> 若使用 [TiDB Lightning](/tidb-lightning/tidb-lightning-overview.md) 向集群导入数据,如果目标集群开启了加密功能,Lightning 生成的 SST 文件也必须是加密的格式。 - -## 使用限制 - -目前 TiKV 数据加密存储存在以下限制: - -- 对之前没有开启加密存储的集群,不支持开启该功能。 -- 已经开启加密功能的集群,不允许关闭加密存储功能。 -- 同一集群内部,不允许部分 TiKV 实例开启该功能,部分 TiKV 实例不开启该功能。对于加密存储功能,所有 TiKV 实例要么都开启该功能,要么都不开启该功能。这是由于 TiKV 实例之间会有数据迁移,如果开启了加密存储功能,迁移过程中数据也是加密的。 diff --git a/whats-new-in-tidb-4.0.md b/whats-new-in-tidb-4.0.md index 678bb1a21b67..8c43a3d6ebf4 100644 --- a/whats-new-in-tidb-4.0.md +++ b/whats-new-in-tidb-4.0.md @@ -81,7 +81,7 @@ TiUP 是 4.0 版本中新推出的包管理器的工具,主要用于管理 TiD ### 安全 + 完善客户端与服务端,组件与组件之间的加密通信,确保连接安全性,保护接收与发送的任何数据不会被网络犯罪分子读取和修改。主要支持基于证书的登录认证、在线更新证书、校验 TLS 证书的 `CommonName` 属性等功能。详情参阅:[开启加密传输](/enable-tls-between-clients-and-servers.md)。 -+ 透明数据加密 (Transparent Data Encryption),简称 TDE,是 TiDB 推出的一个新特性,用来对整个数据库提供保护。数据库开启 TDE 加密功能后,对于连接到数据库的应用程序来说是完全透明的,它不需要对现有应用程序做任何改变。因为TDE 的加密特性是基本于文件级别的,系统会在将数据写到磁盘之前加密,在读取到内存之前解密,确保数据的安全性。目前主要支持 AES128-CTR、AES192-CTR、AES256-CTR 三种加密算法,支持通过 AWS KMS 管理密钥等功能。详情参阅:[开启加密存储](/enable-encrypt-stored-data.md)。 ++ 透明数据加密 (Transparent Data Encryption),简称 TDE,是 TiDB 推出的一个新特性,用来对整个数据库提供保护。数据库开启 TDE 加密功能后,对于连接到数据库的应用程序来说是完全透明的,它不需要对现有应用程序做任何改变。因为TDE 的加密特性是基本于文件级别的,系统会在将数据写到磁盘之前加密,在读取到内存之前解密,确保数据的安全性。目前主要支持 AES128-CTR、AES192-CTR、AES256-CTR 三种加密算法,支持通过 AWS KMS 管理密钥等功能。 ### 备份与恢复