关于 TiDB
快速上手
部署标准集群
- 软硬件环境需求
- 环境与系统配置检查
- 规划集群拓扑
- 安装与启动
  - 使用 TiUP 部署（推荐）
  - 在 Kubernetes 上部署
- 验证集群状态
- 测试集群性能
  - 用 Sysbench 测试 TiDB
  - 对 TiDB 进行 TPC-C 测试
数据迁移
运维操作
- 升级 TiDB 版本
  - 使用 TiUP 升级（推荐）
  - 使用 TiDB Operator
- 扩缩容
  - 使用 TiUP（推荐）
  - 使用 TiDB Operator
- 备份与恢复
  - 使用 BR 工具（推荐）
- 修改时区
- 日常巡检
- TiFlash 常用运维操作
- 使用 TiUP 运维集群
- 在线修改集群配置
监控与告警
故障诊断
性能调优
- 系统调优
  - 操作系统性能参数调优
- 软件调优
  - 配置
  - 下推计算结果缓存
- SQL 性能调优
教程
- 同城多中心部署
- 两地三中心部署
- 同城两中心部署
- 读取历史数据
  - 使用 Stale Read 功能读取历史数据（推荐）
    - Stale Read 使用场景介绍
    - 使用 AS OF TIMESTAMP 语法读取历史数据
  - 使用系统变量 tidb_snapshot 读取历史数据
- 最佳实践
- Placement Rules 使用文档
- Load Base Split 使用文档
- Store Limit 使用文档
TiDB 工具
- 功能概览
- 适用场景
- 工具下载
- TiUP
- TiDB Operator
- Dumpling
- TiDB Lightning
- TiDB Data Migration
- Backup & Restore (BR)
- TiDB Binlog
  - 概述
  - 快速上手
  - 部署使用
  - 运维管理
  - 配置说明
    - Pump
    - Drainer
  - 版本升级
  - 监控告警
  - 增量恢复
  - binlogctl 工具
  - Kafka 自定义开发
  - TiDB Binlog Relay Log
  - 集群间双向同步
  - 术语表
  - 故障诊断
    - 故障诊断
    - 常见错误修复
  - FAQ
- TiCDC
- sync-diff-inspector
- TiSpark
  - TiSpark 快速上手
  - TiSpark 用户指南
参考指南
常见问题解答 (FAQ)
版本发布历史
- 发布版本汇总
- 版本发布时间线
- v5.2
- v5.1
- v5.0
- v4.0
- v3.1
- v3.0
- v2.1
- v2.0
- v1.0
  - 1.0
  - Pre-GA
  - RC4
  - RC3
  - RC2
  - RC1
术语表

生成自签名证书

注意

要在 TiDB 客户端与服务端间通信开启加密传输，你只需配置 auto-tls 参数。

本文档提供使用 openssl 生成自签名证书的一个示例，用户也可以根据自己的需求生成符合要求的证书和密钥。

假设实例集群拓扑如下：

Name	Host IP	Services
node1	172.16.10.11	PD1, TiDB1
node2	172.16.10.12	PD2
node3	172.16.10.13	PD3
node4	172.16.10.14	TiKV1
node5	172.16.10.15	TiKV2
node6	172.16.10.16	TiKV3

安装 OpenSSL

对于 Debian 或 Ubuntu 操作系统：

apt install openssl

对于 RedHat 或 CentOS 操作系统：

yum install openssl

也可以参考 OpenSSL 官方的下载文档进行安装。

生成 CA 证书

CA 的作用是签发证书。实际情况中，请联系你的管理员签发证书或者使用信任的 CA 机构。CA 会管理多个证书对，这里只需生成原始的一对证书，步骤如下：

生成 root 密钥：
```
openssl genrsa -out root.key 4096
```

生成 root 证书：

openssl req -new -x509 -days 1000 -key root.key -out root.crt

验证 root 证书：
```
openssl x509 -text -in root.crt -noout
```

签发各个组件的证书

集群中可能使用到的证书

tidb certificate 由 TiDB 使用，为其他组件和客户端验证 TiDB 身份。
tikv certificate 由 TiKV 使用，为其他组件和客户端验证 TiKV 身份。
pd certificate 由 PD 使用，为其他组件和客户端验证 PD 身份。
client certificate 用于 PD、TiKV、TiDB 验证客户端。例如 pd-ctl，tikv-ctl 等。

给 TiKV 实例签发证书

给 TiKV 实例签发证书的步骤如下：

生成该证书对应的私钥：
```
openssl genrsa -out tikv.key 2048
```
拷贝一份 OpenSSL 的配置模板文件。
模板文件可能存在多个位置，请以实际位置为准：
```
cp /usr/lib/ssl/openssl.cnf .
```
如果不知道实际位置，请在根目录下查找：
```
find / -name openssl.cnf
```
编辑 openssl.cnf，在 [ req ] 字段下加入 req_extensions = v3_req，然后在 [ v3_req ] 字段下加入 subjectAltName = @alt_names。最后新建一个字段，并编辑 SAN 的信息：
```
[ alt_names ]
IP.1 = 127.0.0.1
IP.2 = 172.16.10.14
IP.3 = 172.16.10.15
IP.4 = 172.16.10.16
```
保存 openssl.cnf 文件后，生成证书请求文件（在这一步也可以为该证书指定 Common Name，其作用是让服务端验证接入的客户端的身份，各个组件默认不会开启验证，需要在配置文件中启用该功能才生效）：
```
openssl req -new -key tikv.key -out tikv.csr -config openssl.cnf
```

签发生成证书：

openssl x509 -req -days 365 -CA root.crt -CAkey root.key -CAcreateserial -in tikv.csr -out tikv.crt -extensions v3_req -extfile openssl.cnf

验证证书携带 SAN 字段信息（可选）：
```
openssl x509 -text -in tikv.crt -noout
```
确认在当前目录下得到如下文件：
```
root.crt
tikv.crt
tikv.key
```

为其它 TiDB 组件签发证书的过程类似，此文档不再赘述。

为客户端签发证书

为客户端签发证书的步骤如下。

生成该证书对应的私钥：
```
openssl genrsa -out client.key 2048
```
生成证书请求文件（在这一步也可以为该证书指定 Common Name，其作用是让服务端验证接入的客户端的身份，默认不会开启对各个组件的验证，需要在配置文件中启用该功能才生效）
```
openssl req -new -key client.key -out client.csr
```

签发生成证书：

openssl x509 -req -days 365 -CA root.crt -CAkey root.key -CAcreateserial -in client.csr -out client.crt

下载 PDF 反馈文档问题社区论坛交流

本页导航

安装 OpenSSL
生成 CA 证书
签发各个组件的证书

文档内容是否有帮助？