关于 TiDB
快速上手
- 快速上手指南
- SQL 基本操作
部署标准集群
- 软硬件环境需求
- 环境与系统配置检查
- 规划集群拓扑
- 安装与启动
  - 使用 TiUP 部署（推荐）
  - 在 Kubernetes 上部署
- 验证集群状态
- 测试集群性能
  - 用 Sysbench 测试 TiDB
  - 对 TiDB 进行 TPC-C 测试
数据迁移
- 数据迁移场景
- 迁移工具
- 从 MySQL 迁移至 TiDB
- 从 CSV 文件迁移至 TiDB
  - 使用 TiDB Lightning 导入 CSV 文件
  - 使用 LOAD DATA 语句导入 CSV 文件
- 从 SQL 文件迁移到 TiDB
运维操作
- 升级 TiDB 版本
  - 使用 TiUP 升级（推荐）
  - 使用 TiDB Operator
- 扩缩容
  - 使用 TiUP（推荐）
  - 使用 TiDB Operator
- 备份与恢复
  - 使用 BR 工具（推荐）
- 修改时区
- 日常巡检
- TiFlash 常用运维操作
- 使用 TiUP 运维集群
- 在线修改集群配置
监控与告警
故障诊断
性能调优
- 系统调优
  - 操作系统性能参数调优
- 软件调优
  - 配置
  - 下推计算结果缓存
- SQL 性能调优
教程
- 同城多中心部署
- 两地三中心部署
- 读取历史数据
  - 使用 Stale Read 功能读取历史数据（推荐）
    - Stale Read 使用场景介绍
    - 使用 AS OF TIMESTAMP 语法读取历史数据
  - 使用系统变量 tidb_snapshot 读取历史数据
- 最佳实践
- Placement Rules 使用文档
- Load Base Split 使用文档
- Store Limit 使用文档
TiDB 工具
- 功能概览
- 适用场景
- 工具下载
- TiUP
- TiDB Operator
- Dumpling
- TiDB Lightning
- TiDB Data Migration
- Backup & Restore (BR)
- TiDB Binlog
  - 概述
  - 快速上手
  - 部署使用
  - 运维管理
  - 配置说明
    - Pump
    - Drainer
  - 版本升级
  - 监控告警
  - 增量恢复
  - binlogctl 工具
  - Kafka 自定义开发
  - TiDB Binlog Relay Log
  - 集群间双向同步
  - 术语表
  - 故障诊断
    - 故障诊断
    - 常见错误修复
  - FAQ
- TiCDC
- sync-diff-inspector
- TiSpark
  - TiSpark 快速上手
  - TiSpark 用户指南
参考指南
常见问题解答 (FAQ)
版本发布历史
- 发布版本汇总
- v5.1
- v5.0
- v4.0
- v3.1
- v3.0
- v2.1
- v2.0
- v1.0
  - 1.0
  - Pre-GA
  - RC4
  - RC3
  - RC2
  - RC1
术语表

为 TiDB 组件间通信开启加密传输

本部分介绍如何为 TiDB 集群内各部组件间开启加密传输，一旦开启以下组件间均将使用加密传输：

TiDB 与 TiKV、PD
TiKV 与 PD
TiDB Control 与 TiDB，TiKV Control 与 TiKV，PD Control 与 PD
TiKV、PD、TiDB 各自集群内内部通讯

目前暂不支持只开启其中部分组件的加密传输。

配置开启加密传输

准备证书。
推荐为 TiDB、TiKV、PD 分别准备一个 Server 证书，并保证可以相互验证，而它们的 Control 工具则可选择共用 Client 证书。
有多种工具可以生成自签名证书，如 openssl，easy-rsa，cfssl。
这里提供一个使用 openssl 生成证书的示例：生成自签名证书。

配置证书。

TiDB

在 config 文件或命令行参数中设置：

[security]
# Path of file that contains list of trusted SSL CAs for connection with cluster components.
cluster-ssl-ca = "/path/to/ca.pem"
# Path of file that contains X509 certificate in PEM format for connection with cluster components.
cluster-ssl-cert = "/path/to/tidb-server.pem"
# Path of file that contains X509 key in PEM format for connection with cluster components.
cluster-ssl-key = "/path/to/tidb-server-key.pem"

TiKV

在 config 文件或命令行参数中设置，并设置相应的 URL 为 https：

[security]
# set the path for certificates. Empty string means disabling secure connectoins.
ca-path = "/path/to/ca.pem"
cert-path = "/path/to/tikv-server.pem"
key-path = "/path/to/tikv-server-key.pem"

在 config 文件或命令行参数中设置，并设置相应的 URL 为 https：

[security]
# Path of file that contains list of trusted SSL CAs. if set, following four settings shouldn't be empty
cacert-path = "/path/to/ca.pem"
# Path of file that contains X509 certificate in PEM format.
cert-path = "/path/to/pd-server.pem"
# Path of file that contains X509 key in PEM format.
key-path = "/path/to/pd-server-key.pem"

TiFlash（从 v4.0.5 版本开始引入）

在 tiflash.toml 文件中设置，将 http_port 项改为 https_port:

[security]
# Path of file that contains list of trusted SSL CAs. if set, following four settings shouldn't be empty
ca_path = "/path/to/ca.pem"
# Path of file that contains X509 certificate in PEM format.
cert_path = "/path/to/tiflash-server.pem"
# Path of file that contains X509 key in PEM format.
key_path = "/path/to/tiflash-server-key.pem"

在 tiflash-learner.toml 文件中设置，

[security]
# Sets the path for certificates. The empty string means that secure connections are disabled.
ca-path = "/path/to/ca.pem"
cert-path = "/path/to/tiflash-server.pem"
key-path = "/path/to/tiflash-server-key.pem"

TiCDC

在启动命令行中设置，并设置相应的 URL 为 https：

cdc server --pd=https://127.0.0.1:2379 --log-file=ticdc.log --addr=0.0.0.0:8301 --advertise-addr=127.0.0.1:8301 --ca=/path/to/ca.pem --cert=/path/to/ticdc-cert.pem --key=/path/to/ticdc-key.pem

此时 TiDB 集群各个组件间已开启加密传输。

注意

若 TiDB 集群各个组件间开启加密传输后，在使用 tidb-ctl、tikv-ctl 或 pd-ctl 工具连接集群时，需要指定 client 证书，示例：

./tidb-ctl -u https://127.0.0.1:10080 --ca /path/to/ca.pem --ssl-cert /path/to/client.pem --ssl-key /path/to/client-key.pem

./pd-ctl -u https://127.0.0.1:2379 --cacert /path/to/ca.pem --cert /path/to/client.pem --key /path/to/client-key.pem

./tikv-ctl --host="127.0.0.1:20160" --ca-path="/path/to/ca.pem" --cert-path="/path/to/client.pem" --key-path="/path/to/clinet-key.pem"

认证组件调用者身份

通常被调用者除了校验调用者提供的密钥、证书和 CA 有效性外，还需要校验调用方身份以防止拥有有效证书的非法访问者进行访问（例如：TiKV 只能被 TiDB 访问，需阻止拥有合法证书但非 TiDB 的其他访问者访问 TiKV）。

如希望进行组件调用者身份认证，需要在生证书时通过 Common Name 标识证书使用者身份，并在被调用者配置检查证书 Common Name 列表来检查调用者身份。

TiDB

在 config 文件或命令行参数中设置：

[security]
cluster-verify-cn = [
  "TiDB-Server",
  "TiKV-Control",
]

TiKV

在 config 文件或命令行参数中设置：

[security]
cert-allowed-cn = [
    "TiDB-Server", "PD-Server", "TiKV-Control", "RawKvClient1",
]

在 config 文件或命令行参数中设置：

[security]
cert-allowed-cn = ["TiKV-Server", "TiDB-Server", "PD-Control"]

TiCDC

在启动命令行中设置：

cdc server --pd=https://127.0.0.1:2379 --log-file=ticdc.log --addr=0.0.0.0:8301 --advertise-addr=127.0.0.1:8301 --ca=/path/to/ca.pem --cert=/path/to/ticdc-cert.pem --key=/path/to/ticdc-key.pem --cert-allowed-cn="client1,client2"

TiFlash（从 v4.0.5 版本开始引入）

在 tiflash.toml 文件中设置：

[security]
cert_allowed_cn = ["TiKV-Server", "TiDB-Server"]

在 tiflash-learner.toml 文件中设置：

[security]
cert-allowed-cn = ["PD-Server", "TiKV-Server", "TiFlash-Server"]

证书重加载

TiDB、PD 和 TiKV 和各种 Client 都会在每次新建相互通讯的连接时重新读取当前的证书和密钥文件内容，实现证书和密钥的重加载。目前暂不支持 CA 的重加载。

另请参阅

为 TiDB 客户端服务端间通信开启加密传输

下载 PDF 反馈文档问题社区论坛交流

本页导航

配置开启加密传输
认证组件调用者身份
证书重加载
另请参阅

文档内容是否有帮助？