拓扑文件如图,手动生成证书
证书生成按照 生成自签名证书 | TiDB 文档中心这个文档
openssl配置
deploy后集群无法启动pd报错
有帮忙看一看么 证书按着文档生成的应该没问题
手动配置证书没干过,我都是开启tls让其自动生成的,没有问题。
自动的我试过了确实没问题 就是文档就写了手动的部署方式,按着文档来起不来想找找原因 。 另外官网文档里提都没提有tiup cluster tls的命令
可以尝试下如下步骤手动开启tls
1、生成证书
openssl genrsa -out ca.pem 4096
openssl req -new -x509 -days 1000 -key ca.pem -out ca.crt
openssl genrsa -out client.pem 2048
openssl req -new -key client.pem -out client.csr
openssl x509 -req -days 365 -CA ca.crt -CAkey ca.pem -CAcreateserial -in client.csr -out client.crt
2、在管理节点创建tls目录,并将以上生成的证书拷贝进去
mkdir -p ~/.tiup/storage/cluster/clusters/local/tls
cp ca.crt ~/.tiup/storage/cluster/clusters/local/tls/ca.crt
cp ca.pem ~/.tiup/storage/cluster/clusters/local/tls/ca.pem
cp client.crt ~/.tiup/storage/cluster/clusters/local/tls/client.crt
cp client.pem ~/.tiup/storage/cluster/clusters/local/tls/client.pem
3、缩容tls至1个pd节点
tiup cluster scale-in tidb-test -N 192.168.10.11:2379,192.168.10.12:2379
4、开启tls
tiup cluster tls tidb-test enable
报错Error: the CA private key type “PRIVATE KEY” is not supported
openssl高于3.0版本的可以使用以下命令转换pem
openssl rsa -in ca.pem -out ca-traditional.pem -traditional
openssl rsa -in client.pem -out client-traditional.pem -traditional
拷贝替换证书
cp ca-traditional.pem ~/.tiup/storage/cluster/clusters/tidb-test/tls/ca.pem
cp client-traditional.pem ~/.tiup/storage/cluster/clusters/tidb-test/tls/client.pem
tiup cluster tls tidb-test enable #可正常开启
1 个赞
我之前试过了 如果直接tls enable是没问题的 但是如果像文档说的那样 在已运行的集群里生成证书修改配置文件后重启集群没用, 当时看了下pd的启动脚本里面还是http 如果使用tls enable他都会自己生成一套证书然后下发 各个组件的配置文件都是使用的重新生成的证书
我想修改一下证书的路径都不可以都报错
以下是一些可能的解决方案:
-
网络问题:
- 确保
192.168.249.188这台机器的网络是通的,您可以使用ping命令来测试网络连通性。 - 检查是否有任何网络设备(如防火墙或路由器)阻止了到该地址的连接。
- 确保
-
PD 服务状态:
- 确认 PD 服务是否正在运行。您可以通过访问 PD 的仪表盘或使用
pd-ctl命令行工具来检查 PD 的状态。 - 如果 PD 服务没有运行,尝试启动它并检查配置文件是否正确。
- 确认 PD 服务是否正在运行。您可以通过访问 PD 的仪表盘或使用
-
端口占用:
- 确认端口
2379是否被其他服务占用。您可以使用netstat -tulnp | grep 2379来查看端口使用情况。 - 如果端口被占用,您需要找到占用端口的服务并停止它,或者更改 PD 的配置以使用其他端口。
- 确认端口
新的证书是要用tiup生成的那个同一个ca证书签发的才可以,不能自己生成ca并签发
此话题已在最后回复的 7 天后被自动关闭。不再允许新回复。