https://docs.pingcap.com/zh/tidb/stable/encryption-at-rest
请问在这个文中提到的,可以选择将 AWS KMS (Key Management Service) 用于云上部署或本地部署,也可以指定将密钥以明文形式存储在文件中
这个AWS KMS怎么本地化部署?有什么开源软件吗?
能完全替代AWS KMS 并在本地化部署
或者说,如果使用AWS的服务,网络抖动对服务有影响吗?
这个本地密钥的方式支持K8s部署吗?
挂在一个存储,然后挂到每个tikv的镜像里面?
这个可以用文件的形式提供密钥,也就是把密钥写到文件中,让所有tikv节点都可以访问这个密钥文件就可以了。密钥文件路径在每个tikv中保持一致即可。
minio有个开源的kms实现,但我自己没有实际用过,难以判断和AWS的接口差多少。是否兼容。
What is KES?
KES is a distributed key management server that scales horizontally. It can either be run as edge server close to the applications reducing latency to and load on a central key management system (KMS) or as central key management server. Edge servers are self-contained stateless nodes close to the application that can be scaled up/down automatically. Central KES servers or clusters are stateful systems that store and manage cryptographic keys and secrets securely.
https://github.com/minio/minio
minio做的对象存储就不用说了,和aws接口差不多的。这个kms你要愿意折腾可以尝试一下看看,如果能用,实践后发个文章也算是给社区做贡献了。
提供aws的kms写入参数
看帖中,等待最佳答案出现
本地密钥管理服务(除了明文密钥文件外)将考虑兼容MySQL的设计,可查看MySQL相关介绍:https://dev.mysql.com/doc/refman/8.0/en/keyring.html
如果有更多的需求,可以在此提出,我将收集,谢谢
此话题已在最后回复的 7 天后被自动关闭。不再允许新回复。