请教下目前pd通过https://github.com/tikv/client-go就能直连,没有账号密码管控,如果使用SSL证书会带来多少的性能损失?以及有没有IP黑名单管控等措施来限制客户端直连?
性能损失不大,但是不能只开启这一个,组件之间的交互都得开启ssl,https://docs.pingcap.com/zh/tidb/v5.4/enable-tls-between-components#为-tidb-组件间通信开启加密传输
其实考虑到安全性的话,可以通过防火前限制访问pd的机器列表。
2 个赞
请问下这个性能损失有官方比对数据吗?
官方应该是没有的,这个就是证书对数据加解密的开销,影响基本微乎其微。
1 个赞
影响不大
没什么影响
1 个赞
没有影响。
关于性能,TLS加密解密操作会消耗额外的CPU资源,但对整体性能的影响通常是可控的。在开启TLS后,观测到生产集群的平均QPS有大约3%的下降 。这个数值会因具体硬件、TLS配置、集群负载和流量模式有所不同。考虑到TLS带来的安全性提升,这点性能损耗在多数生产环境中是可以接受的。
2 个赞
PD 基于 gRPC 通信(client-go 本质是 gRPC 客户端),SSL/TLS 对性能的影响主要来自 **握手阶段的密钥交换 和 传输阶段的加解密计算 ,整体影响可控,具体取决于部署场景和配置优化
PD 本身不直接提供 IP 黑名单功能,但可通过 多层防护组合 实现客户端访问限制,结合 SSL 证书认证,形成完整的安全管控体系
如果用在生产环境SSL 双向认证(TLS 1.3) + 防火墙 IP 白名单 → 兼顾安全与性能
is ok then
性能损耗和节点数、region数量有很大关系
安全类的部件,肯定会有性能牺牲的