- 我们可以在 yb 中已有数据后启用加密吗?它只会加密新数据吗?
- 加密的估计性能影响是什么?
- 每次使用密钥启动时,我们是否需要引导 tserver?如果他们可以通过 RPC 方法从现有实例中获取现有密钥,这是否意味着攻击者可以这样做来获取密钥?
- 如果所有的 master 都停止了,恢复集群的过程是怎样的?
问问题
124 次
1 回答
2
是的 - 您可以在现有 YugabyteDB 集群上启用加密。新的传入数据将立即开始加密。旧数据将被延迟加密 - 当压缩发生时。
具体将取决于工作量。还没有具体的数字可以分享。但作为指导方针,对于写入繁重的工作负载,我们预计开销将低于 5%。对于读取繁重的工作负载,尤其是那些热数据集在缓存中的工作负载,影响应该可以忽略不计。
yb-tserver(s) 如果重新启动,将使用 RPC 调用从 yb-master(s) 获知当前密钥。为了保护此交换免受攻击,您可以使用在线加密功能,以确保所有服务器到服务器的通信都安全进行。
如果 yb-master 重新启动,它将从其他 yb-masters 获知当前密钥。但是,如果所有的 master 都同时宕机,那么没有一个 master 会处于记忆状态,你将不得不使用
yb-admin给所有的 master 钥匙。
参考文献:[1] https://docs.yugabyte.com/latest/secure/encryption-at-rest/ [2] https://docs.yugabyte.com/latest/secure/tls-encryption/
于 2019-11-22T22:45:34.703 回答