在Yugabyte DB中静态加密如何工作?

时间:2019-11-22 20:13:42

标签: database yugabyte-db

  1. 在yb中已经有数据后,我们可以启用加密吗?它只会加密新数据吗?
  2. 估计加密对性能的影响是什么?
  3. 每次使用密钥启动服务器时,我们是否需要引导服务器?如果他们可以从现有实例中通过RPC方法获取现有密钥,这是否意味着攻击者也可以这样做以获取密钥?
  4. 如果所有主服务器都已停止,恢复群集的过程如何?

1 个答案:

答案 0 :(得分:2)

  1. 是-您可以在现有的YugabyteDB群集上启用加密功能。新的传入数据将立即开始加密。压缩发生时,旧数据将被延迟加密。

  2. 具体取决于工作负载。还没有具体数字可以分享。但是作为指导,对于写入繁重的工作负载,我们预计开销将低于5%。对于读取繁重的工作负载,尤其是那些在缓存中包含热数据集的工作负载,其影响应该可以忽略不计。

  3. 如果yb-tserver重新启动,将使用RPC调用从yb-master获知当前密钥。为了保护这种交换免受攻击,您可以使用在线加密功能,以确保所有服务器到服务器的通信都安全进行。

  4. 如果重新启动yb-master,它将从其他yb-master获悉当前密钥。但是,如果所有母版同时关闭,则所有母版都不会处于内存状态,因此您将不得不使用yb-admin将密钥提供给所有母版。

参考: [1] https://docs.yugabyte.com/latest/secure/encryption-at-rest/ [2] https://docs.yugabyte.com/latest/secure/tls-encryption/

相关问题
最新问题