【TiDB 4.0 PCTA 学习笔记】- 3.8.3 Cloud Security(云安全)@1班:魔幻之翼

课程名称:课程版本(301)+ 3.8.3 Cloud Security(云安全)

学习时长:

20分钟

课程收获:

掌握在 K8s 和 Cloud 环境下tidb集群的安全机制,并且了解如何配置保证 TiDB 数据库集群的安全

课程内容:

  • 管理tidb TLS certificate
  • 公有云配置tidb密钥联系

管理tidb TLS certificate

  • 回顾 tidb TLS
    • mTLS 组件之间的加密和传输
    • Mysql TLS ,客户端到服务端之间的加密和传输
  • k8s 密钥 (base64 加密文本,存储在ETCD中)
    • 源码中Yaml 配置文件不能出现在敏感信息
    • 配置k8s 集群时可以启用静态加密
    • 通过RBAC,在权限上进行保护
      • mount secret file
      • reference secret in env
      • kubectl create secret generic mysecret --from-literal=user=admin --from-literal=password = 123456adbvd113
  • 证书管理 cert-manager
    • 支持使用多种CA 证书
    • 证书自动更新和发布
    • 使用很方便
    • API
      • issuer
      • certificate
      • certificateRequest
      • helm install cert-manager jetstack/cert-manager --namespace cert-manager --version v0.16.0 --set installCRDs=true
  • 管理 tidb tls 认证及证书
    • DNS通讯
    • 内部均是自签名CA证书
    • create self-signed issuer
    • create self-signed CA certificate
    • use CA certificate to create user
    • create a server Certificate for every tidb cluster component (PD TIKV TIDB PUMP Drainer)
    • create a client certificate
    • configuare tidbCluster spec.tlsCluster.enabled to true
    • 证书命名方式有明确约束
      • server secrte ${cluster_name}-${component_name}-cluster-secret
      • client secrte: ${cluster_name}-cluster-client-secret
    • Common Name(CN)验证,只支持使用同一个CN
    • 服务端证书支持自动续签和在线更新

公有云的配置

  • Cloud IAM
    • tidb 支持备份到 S3 或者 GCS 对象系统
    • tidb 能够使用AWS KMS 加密 tikv data
    • 访问云资源需要S3 和 KMS,另外需要凭证
  • cloud authn & authz
    • 对比K8s 和 AWS 的区别,根据实际的场景需求配置相应的授权和认证信息
    • K8s 和AWS 的权限系统是可以整合的
  • 管理tidb云认证信息
    • 使用 IAM 的角色信息来覆盖 云API
    • 使用 OIDC,并且启用 EKS 的api服务来分配角色和临时的token访问授权
    • eksctl utils associate-iam-oidc-provider --cluster {cluster_name} --approve
  • S3 安全配置
    • 创建S3的桶,并授权给TIDB
    • 启用S3 桶互信的加密通道

同学你好,感谢参与 TiDB 4.0 课程的学习!

本篇笔记逻辑清晰、内容丰富,被评选为优质笔记,将额外获得 20 积分,并在 「TiDB 培训」分类下获得“置顶”权益,积分兑换规则将于近期开放,敬请关注!

期待您继续产出优质内容!