Yugabyte DB 中的静态加密是如何工作的?
How does encryption at rest work in Yugabyte DB?
- yb 中已有数据后,我们可以启用加密吗?它只会加密新数据吗?
- 加密的估计性能影响是多少?
- 每次使用密钥启动时,我们是否需要 bootstrap tservers?如果他们可以通过 RPC 方法从现有实例中获取现有密钥,是否意味着攻击者可以做同样的事情来获取密钥?
- 如果所有主节点都停止,恢复集群的过程是怎样的?
是的——您可以在现有的 YugabyteDB 集群上启用加密。新传入的数据将立即开始加密。旧数据将延迟加密 - 当压缩发生时。
具体取决于工作量。还没有具体数字可以分享。但作为指导,对于写入繁重的工作负载,我们预计开销将低于 5%。对于读取繁重的工作负载,尤其是那些热数据集在缓存中的工作负载,影响应该可以忽略不计。
yb-tserver(s),如果重新启动,将使用 RPC 调用从 yb-master(s) 了解当前密钥。为保护此交换免受攻击,您可以使用在线加密功能,这可确保所有服务器到服务器的通信安全进行。
如果一个 yb-master 重新启动,它会从其他 yb-masters 得知当前密钥。但是,如果所有master一下子down掉,none个master内存状态会有这个,你就得用yb-admin把key给所有master了。
参考资料:
[1] https://docs.yugabyte.com/latest/secure/encryption-at-rest/
[2] https://docs.yugabyte.com/latest/secure/tls-encryption/
- yb 中已有数据后,我们可以启用加密吗?它只会加密新数据吗?
- 加密的估计性能影响是多少?
- 每次使用密钥启动时,我们是否需要 bootstrap tservers?如果他们可以通过 RPC 方法从现有实例中获取现有密钥,是否意味着攻击者可以做同样的事情来获取密钥?
- 如果所有主节点都停止,恢复集群的过程是怎样的?
是的——您可以在现有的 YugabyteDB 集群上启用加密。新传入的数据将立即开始加密。旧数据将延迟加密 - 当压缩发生时。
具体取决于工作量。还没有具体数字可以分享。但作为指导,对于写入繁重的工作负载,我们预计开销将低于 5%。对于读取繁重的工作负载,尤其是那些热数据集在缓存中的工作负载,影响应该可以忽略不计。
yb-tserver(s),如果重新启动,将使用 RPC 调用从 yb-master(s) 了解当前密钥。为保护此交换免受攻击,您可以使用在线加密功能,这可确保所有服务器到服务器的通信安全进行。
如果一个 yb-master 重新启动,它会从其他 yb-masters 得知当前密钥。但是,如果所有master一下子down掉,none个master内存状态会有这个,你就得用
yb-admin把key给所有master了。
参考资料: [1] https://docs.yugabyte.com/latest/secure/encryption-at-rest/ [2] https://docs.yugabyte.com/latest/secure/tls-encryption/