课程名称:课程版本(101/201/301)+ 3.8.3 Cloud Security(云安全)
学习时长:20
课程内容:
一、 管理TLS
- K8S Secert
- Secert 基于base64 加密。不是特别安全,不建议加到源码管理中。
- 通过RBAC在权限上进行保护
- 使用
- Cert Manager
- Issuer
- Certificate
- CertificateRequest
- 部署
helm install cert-manager jetstack/cert-manager --namespace cert-manager --version v0.16.0 --set installCRDs=true
- Manage TIDB TLS
- Create self-signed lssuer
- Create self-signed CA certificate
- Use CA certificate to create lssuer
- Create a server Certificate for every TiDB cluster component (PD/TiKV/TiDB/Pump/Drainer)
- Create a client Certificate
- Configure TidbCluster spec.tlscluster.enabled to true
- 约定限制
- 命名格式
server secret: ${cluster_name}-${component_name}-cluster-secret
client secret: ${cluster_name}-cluster-client-secret - CommonName (CN) verfication: only one CN supported right now
- Server certificate supports online renewal
- 命名格式
二、 TIDB 在公有云的安全
- Cloud IAM
- K8S 与 AWS 权限
通过 OIDC, AWS 将权限注入到K8S 的apiserver 上 - Enable OIDC for EKS:
eksctl utils associate-iam-oidc-provider --cluster {cluster_name} --approve- 备份实例
注意: sendCredToTikv 一定为False
- 备份实例
学习过程中遇到的问题或延伸思考:
- 问题 1:
- 问题 2:
- 延伸思考 1:
- 延伸思考 2: