TiDB丨如何开启TiDB集群中的节点通信加密？

TiDB神州数码云基地

如何开启生产集群与加密通讯的TLS

作者在银行项目中经过PoC测试，准备上线时发现未通过银行内部漏洞扫描，存在高危漏洞。解决方案包括给TiDB组件间通信开启加密传输以及通过控制指定IP及端口来限制访问范围。考虑到情况，作者选择了第一种方案。

对现有集群开启TLS

TLS（传输层安全性协议）是一种安全协议，旨在为互联网通信提供安全及数据完整性保障。有两种方法可以在已部署的TiDB集群中开启TLS：手动开启和使用TiUP开启。手动开启繁琐且容易出错，因此作者选择使用TiUP开启。

使用TiUP开启TLS

1. 升级TiUP版本：需要使用TiUP v1.10.0及以上版本，可在线升级或离线下载最新版部署介质。
2. 检查节点服务状态：确保没有多余的node_exporter service，避免PD扩容加载失败。
3. 缩容PD节点：如果有多个PD节点，需要将其缩容至只剩一个。
4. 开启TLS：通过命令tiup cluster tls enable开启，此操作会重启集群。
5. 检查TLS是否成功开启：通过执行命令检查peerURLs是否为HTTPS。

最后，作者提供了一些操作建议，指出相对于其他用户，开启TLS的人较少。开启TLS的过程虽简单，但需注意版本要求和缩容PD节点的步骤，且所有HTTP连接需改为HTTPS并添加证书。