【Tidb·进阶必看】为 TiDB 组件间开启 TLS

本文主要描述了在 Kubernetes 上如何为 TiDB 集群组件间开启 TLS。TiDB Operator 从 v1.1 开始已经支持为 Kubernetes 上 TiDB 集群组件间开启 TLS。开启步骤为：

1. 为即将被创建的 TiDB 集群的每个组件生成证书：

   • 为 PD/TiKV/TiDB/Pump/Drainer/TiFlash/TiKV Importer/TiDB Lightning 组件分别创建一套 Server 端证书，保存为 Kubernetes Secret 对象：${cluster_name}-${component_name}-cluster-secret
   • 为它们的各种客户端创建一套共用的 Client 端证书，保存为 Kubernetes Secret 对象：${cluster_name}-cluster-client-secret

   注意

   创建的 Secret 对象必须符合上述命名规范，否则将导致各组件部署失败。

2. 部署集群，设置 .spec.tlsCluster.enabled 属性为 true；

   注意

   在集群创建后，不能修改此字段，否则将导致集群升级失败。

3. 配置 pd-ctl，tikv-ctl 连接集群。

4. 为了方便其他想学习Tidb数据库的小伙伴，更详细的文章链接我放在下面了：

https://docs.pingcap.com/zh/tidb-in-kubernetes/stable/enable-tls-between-components