DM 暗号化と復号化のための秘密鍵をカスタマイズする

v8.0.0 より前では、 DM 固定AES-256秘密鍵使用して、データ ソースおよび移行タスク構成のパスワードを暗号化および復号化します。ただし、固定の秘密キーを使用すると、特にセキュリティが重要な環境では、セキュリティ リスクが生じる可能性があります。セキュリティを強化するために、v8.0.0 以降、DM は固定の秘密キーを削除し、秘密キーをカスタマイズできるようになりました。

使用法

  1. カスタム キー ファイルを作成します。このファイルには、64 文字の 16 進数 AES-256 秘密キーが含まれている必要があります。このキーを生成する 1 つの方法は、 head -n 256 /dev/urandom | sha256sumなどのランダム データの SHA256 チェックサムを計算することです。
  2. DM-master コマンドラインフラグまたは設定ファイルで、カスタム キー ファイルのパスとしてsecret-key-path指定します。

v8.0.0 より前のバージョンからアップグレードする

DM は v8.0.0 以降では固定秘密キーを使用しなくなったため、DM を v8.0.0 より前のバージョンからアップグレードする場合は、次の点に注意してください。

  • データソース構成移行タスクの構成両方でプレーンテキスト パスワードが使用されている場合、アップグレードに追加の手順は必要ありません。
  • データソース構成移行タスクの構成で暗号化されたパスワードが使用されている場合、または将来的に暗号化されたパスワードを使用する場合は、次の手順を実行する必要があります。
    1. secret-key-pathパラメータをDMマスター構成ファイルに追加し、カスタム キー ファイルのパスとして指定します。ファイルには、64 文字の 16 進数 AES-256 キーが含まれている必要があります。アップグレード前に固定AES-256秘密鍵暗号化に使用していた場合は、この秘密キーをキー ファイルにコピーできます。すべての DM マスター ノードで同じ秘密キー構成が使用されていることを確認してください。
    2. 最初に DM-master のローリング アップグレードを実行し、次に DM-worker のローリング アップグレードを実行します。詳細については、 ローリングアップグレード参照してください。

暗号化と復号化の秘密鍵を更新する

暗号化と復号化に使用される秘密キーを更新するには、次の手順を実行します。

  1. DMマスター構成ファイルのアップデートsecret-key-path

    注記:

  2. DM マスターのローリング再起動を実行します。

  3. 新しいデータソース構成ファイル移行タスク構成ファイルを作成するときは、 tiup dmctl encrypt (dmctl バージョン >= v8.0.0) で暗号化されたパスワードを使用します。

このページは役に立ちましたか?