DM 暗号化と復号化のための秘密鍵をカスタマイズする
v8.0.0 より前では、 DM 固定AES-256秘密鍵使用して、データ ソースおよび移行タスク構成のパスワードを暗号化および復号化します。ただし、固定の秘密キーを使用すると、特にセキュリティが重要な環境では、セキュリティ リスクが生じる可能性があります。セキュリティを強化するために、v8.0.0 以降、DM は固定の秘密キーを削除し、秘密キーをカスタマイズできるようになりました。
使用法
- カスタム キー ファイルを作成します。このファイルには、64 文字の 16 進数 AES-256 秘密キーが含まれている必要があります。このキーを生成する 1 つの方法は、
head -n 256 /dev/urandom | sha256sum
などのランダム データの SHA256 チェックサムを計算することです。 - DM-master コマンドラインフラグまたは設定ファイルで、カスタム キー ファイルのパスとして
secret-key-path
指定します。
v8.0.0 より前のバージョンからアップグレードする
DM は v8.0.0 以降では固定秘密キーを使用しなくなったため、DM を v8.0.0 より前のバージョンからアップグレードする場合は、次の点に注意してください。
- データソース構成と移行タスクの構成両方でプレーンテキスト パスワードが使用されている場合、アップグレードに追加の手順は必要ありません。
- データソース構成と移行タスクの構成で暗号化されたパスワードが使用されている場合、または将来的に暗号化されたパスワードを使用する場合は、次の手順を実行する必要があります。
secret-key-path
パラメータをDMマスター構成ファイルに追加し、カスタム キー ファイルのパスとして指定します。ファイルには、64 文字の 16 進数 AES-256 キーが含まれている必要があります。アップグレード前に固定AES-256秘密鍵暗号化に使用していた場合は、この秘密キーをキー ファイルにコピーできます。すべての DM マスター ノードで同じ秘密キー構成が使用されていることを確認してください。- 最初に DM-master のローリング アップグレードを実行し、次に DM-worker のローリング アップグレードを実行します。詳細については、 ローリングアップグレード参照してください。
暗号化と復号化の秘密鍵を更新する
暗号化と復号化に使用される秘密キーを更新するには、次の手順を実行します。
DMマスター構成ファイルのアップデート
secret-key-path
。注記:
- すべての DM マスター ノードが同じ秘密キー構成に更新されていることを確認します。
- 秘密鍵の更新中は、新しいデータソース構成ファイルまたは移行タスク構成ファイル作成しないでください。
DM マスターのローリング再起動を実行します。
新しいデータソース構成ファイルと移行タスク構成ファイルを作成するときは、
tiup dmctl encrypt
(dmctl バージョン >= v8.0.0) で暗号化されたパスワードを使用します。