【Tidb·进阶必看】为 MySQL 客户端开启 TLS

本文主要描述了在 Kubernetes 上如何为 TiDB 集群的 MySQL 客户端开启 TLS。TiDB Operator 从 v1.1 开始已经支持为 Kubernetes 上 TiDB 集群开启 MySQL 客户端 TLS。开启步骤为：

1. 为 TiDB Server 颁发一套 Server 端证书，为 MySQL Client 颁发一套 Client 端证书。并创建两个 Secret 对象，Secret 名字分别为：${cluster_name}-tidb-server-secret 和 ${cluster_name}-tidb-client-secret，分别包含前面创建的两套证书；

   注意

   创建的 Secret 对象必须符合上述命名规范，否则将导致 TiDB 集群部署失败。

2. 部署集群，设置 .spec.tidb.tlsClient.enabled 属性为 true；

3. 配置 MySQL 客户端使用加密连接。

其中，颁发证书的方式有多种，本文档提供两种方式，用户也可以根据需要为 TiDB 集群颁发证书，这两种方式分别为：

• 使用 cfssl 系统颁发证书；
• 使用 cert-manager 系统颁发证书；

当需要更新已有 TLS 证书时，可参考更新和替换 TLS 证书。

为了方便其他想学习Tidb数据库的小伙伴，更详细的文章链接我放在下面了：

https://docs.pingcap.com/zh/tidb-in-kubernetes/stable/enable-tls-for-mysql-client