使用keyring组件或keyring插件¶
的keyring_vault插件可以将加密密钥存储在HashiCorp库。
雷竞技下载官网用于MySQL的Percona服务器可以使用以下任何一个插件:
Keyring_file在本地存储keyring数据
keyring_vault提供了一个接口,用于使用HashiCorp Vault服务器存储密钥和安全加密密钥。
请注意
的keyring_file插件不应用于法规遵从性。
要安装插件,请执行安装和卸载插件指令。
加载keyring插件¶
你应该在服务器启动时加载插件-early-plugin-load选项,以启用钥匙环。
警告
一次只能启用一个keyring插件。不支持启用多个keyring插件,可能导致数据丢失。
我们建议您在配置文件中加载插件,以促进加密表的恢复。此外,重做日志加密和撤销日志加密不能在没有——early-plugin-load。正常的插件加载在启动时发生过晚。
请注意
keyring_vault扩展,”。因此,应该更改保险库配置的文件位置,以匹配操作系统的扩展名和操作系统中的文件位置。
要使用keyring_vault,你可以在配置文件中添加这个选项:
(mysqld) early-plugin-load = " keyring_vault = keyring_vault。/home/mysql/keyring_vault.conf“keyring_vault扩展名”。因此,应该更改保险库配置的文件位置,以匹配您的操作系统扩展名和操作系统位置。你也可以运行下面的命令来加载keyring_file插件:
美元mysqld——early-plugin-load=“keyring_file = keyring_file.so”请注意
如果服务器启动时加载了不同的插件,则——early-plugin-load选项应该包含双引号列表中的插件名称,每个插件名称用分号分隔。双引号的使用确保了分号在脚本中执行列表时不会产生问题。
除了安装插件,你还必须设置keyring_vault_config变量指向keyring_vault配置文件。
keyring_vault_config文件包含如下信息:
vault_url—Vault服务器地址secret_mount_point- keyring_vault存储密钥的挂载点名称。secret_mount_point_version- - -发动机版本(KV或KV -v2)使用。中实现雷竞技下载官网用于MySQL的Percona服务器8.0.23-14。令牌—由Vault服务器生成的tokenvault_ca(可选)—如果机器不信任Vault的CA证书,则此变量指向用于签署Vault证书的CA证书
这是一个配置文件的示例:
vault_url = https://vault.public.com:8202 secret_mount_point = secret secret_mount_point_version = AUTO token = 58a20c08-8001-fd5f-5192-7498a48eaf20 vault_ca = /data/keyring_vault_conf /vault_ca.crt警告
每一个secret_mount_point只能由一台服务器使用。如果多个服务器使用相同的secret_mount_point,则行为不可预测。
第一次从keyring获取密钥时,keyring_vault与Vault服务器通信以检索密钥类型和数据。
secret_mount_point_version信息¶
中实现雷竞技下载官网用于MySQL的Percona服务器8.0.23-14,secret_mount_point_version可以是1,2,汽车,或secret_mount_point_version参数未在配置文件中列出。
| 价值 | 描述 |
|---|---|
| 1 | 适用于KV秘密引擎-版本1 (KV)。在形成键操作url时,secret_mount_point总是在不进行任何转换的情况下使用。例如,返回一个名为skey,网址为 |
| 2 | 适用于KV秘密引擎-版本2 (KV)初始化逻辑拆分secret_mount_point参数分为两部分:
mount_point_path和directory_path构成关键访问url: |
| 汽车 | 自动检测机制探测并确定秘密引擎版本是否正确kv或kv-v2并根据结果使用secret_mount_pointAs is, or split thesecret_mount_point分为两部分。 |
| 未列出的 | 如果secret_mount_point_version未在配置文件中列出,行为是否与汽车。 |
如果你设置secret_mount_point_version来2但道路指向secret_mount_point是基于KV秘密引擎-版本1 (KV)时,会报错,插件初始化失败。
如果你设置secret_mount_point_version来1但道路指向secret_mount_point是基于KV秘密引擎-版本2 (KV -v2),插件初始化成功,但MySQL keyring相关操作失败。
从8.0.22-13或之前版本升级到8.0.23-14或更高版本¶
的keyring_vault之前创建的插件配置文件雷竞技下载官网用于MySQL的Percona服务器8.0.23-14工作仅与KV秘密引擎-版本1 (KV)并没有secret_mount_point_version参数。升级到8.0.23-14及以上版本后,可以使用secret_mount_point_version被隐式地考虑汽车并对信息进行了探秘和引擎版本的确定1。
从Vault Secrets引擎版本1升级到版本2¶
您可以从Vault Secrets引擎版本1升级到版本2。可以使用以下两种方法中的一种:
设置
secret_mount_point_version来汽车中的变量未设置keyring_vault插件配置文件在所有Percona服务器。雷竞技下载官网的汽车值确保在插件初始化期间调用自动检测机制。设置
secret_mount_point_version来2以确保插件不初始化,除非kv来kv-v2升级完成。
请注意
的keyring_vault使用的插件kv-v2秘密引擎不使用内置的密钥版本控制功能。密匙环密钥版本被编码为密钥名称。
KV秘密引擎从5.7升级到8.0的注意事项¶
当你从雷竞技下载官网用于MySQL的Percona服务器5.7.32或以上版本,只能使用发动机1 (KV)。的任何版本雷竞技下载官网用于MySQL的Percona服务器8.0.无论是老的keyring_vault插件和新keyring_vault插件可以正确地使用现有的Vault服务器数据keyring_vault插件配置文件。
如果你从雷竞技下载官网用于MySQL的Percona服务器5.7.33或更新版本,您有以下选项:
如果你正在使用
发动机1 (KV)的任何版本都可以升级雷竞技下载官网用于MySQL的Percona服务器8.0.如果你正在使用
KV秘密引擎2 (KV -v2)您可以使用雷竞技下载官网用于MySQL的Percona服务器8.0.23或更新版本。雷竞技下载官网用于MySQL的Percona服务器8.0.23.14是8.0系列的第一个版本keyring_vault支持的插件kv-v2。
只有使用keyring_udf插件才能删除用户创建的密钥,并从内存散列映射和Vault服务器中删除密钥。不能删除系统密钥,例如主密钥。
该插件支持用于密匙环密钥管理的SQL接口通用Keyring密钥管理功能手册。
插件库包含用户定义的keyring函数,允许访问内部keyring服务函数。若要启用这些功能,必须启用keyring_udf插件:
mysql >安装插件keyring_udfSONAME“keyring_udf.so”;请注意
的keyring_udf必须安装插件。使用用户定义的函数而不使用keyring_udf插件生成错误。
还必须创建密匙环加密用户定义函数。
使用keyring_file组件¶
看到Keyring组件安装有关安装组件的信息。
警告
的keyring_file组件不应用于法规遵从性。
系统变量¶
keyring_vault_config¶
| 选项 | 描述 |
|---|---|
| 命令行 | -keyring-vault-config |
| 范围 | 全球 |
| 动态 | 是的 |
| 数据类型 | 文本 |
| 默认的 |
这个变量定义了keyring_vault_plugin配置文件的位置。
keyring_vault_timeout¶
| 选项 | 描述 |
|---|---|
| 命令行 | -keyring-vault-timeout |
| 范围 | 全球 |
| 动态 | 是的 |
| 数据类型 | 数字 |
| 默认的 | 15 |
设置Vault服务器连接超时时间(以秒为单位)。默认值为15。允许的范围是0来86400。通过将此变量设置为,还可以禁用超时以等待无限长的时间0。
