Gunakan fitur Enkripsi Data Transparan (TDE) - ApsaraDB for OceanBase

Topik ini menjelaskan cara menggunakan fitur Transparent Data Encryption (TDE). Setelah mengaktifkan fitur TDE, fitur tersebut tidak dapat dinonaktifkan. Lanjutkan dengan hati-hati.

Informasi latar belakang

ApsaraDB for OceanBase menyediakan fitur TDE untuk penyimpanan dan panggilan prosedur jarak jauh (RPC).

Enkripsi penyimpanan melindungi data pada disk.
Enkripsi RPC melindungi komunikasi antar node OBServer.

Catatan

Fitur TDE tersedia di ApsaraDB for OceanBase V3.2.3, V3.2.4, dan V4.2.1.

Saat ini, TDE mendukung kunci layanan dan kunci kustom.

Kunci layanan

Kunci layanan dibuat dan dikelola oleh ApsaraDB for OceanBase.

Kunci kustom

Kunci kustom dibuat menggunakan Alibaba Cloud Key Management Service (KMS). Setelah membeli Alibaba Cloud KMS, Anda dapat membuat kunci kustom di Konsol KMS. Untuk informasi lebih lanjut, lihat Buat CMK.

Batasan

Batasan pada Kunci Layanan
- Setelah mengaktifkan fitur TDE, fitur tersebut tidak dapat dinonaktifkan.
- Tenant Oracle mendukung kunci AES-256, AES-128, AES-192, dan SM4-CBC, sedangkan tenant MySQL hanya mendukung kunci AES-256. Setelah menentukan jenis kunci, Anda tidak dapat mengubahnya atau mengonversi kunci tersebut ke jenis lain.
Batasan pada Kunci Kustom
- Setelah mengaktifkan fitur TDE, fitur tersebut tidak dapat dinonaktifkan.
- Tenant Oracle mendukung kunci AES-256, AES-128, AES-192, dan SM4-CBC, sedangkan tenant MySQL hanya mendukung kunci AES-256. Setelah menentukan jenis kunci, Anda tidak dapat mengubahnya atau mengonversi kunci tersebut ke jenis lain.
- Saat ini, kunci kustom hanya didukung di ApsaraDB for OceanBase V2.2.77 dan versi yang lebih baru.
- Peran layanan unik dibuat untuk setiap produk cloud. Untuk ApsaraDB for OceanBase, peran AliyunServiceRoleForOceanBase dibuat agar Anda dapat mengenkripsi data di ApsaraDB for OceanBase. Anda harus menggunakan akun Alibaba Cloud Anda atau akun dengan izin AliyunSTSAssumeRoleAccess.
- Jangan nonaktifkan kunci, jadwalkan tugas penghapusan kunci, atau hapus kunci di Konsol KMS. Jika tidak, TDE tidak dapat diaktifkan.
- Setelah membuat kunci di KMS console, tambahkan tag oceanbase:encryption: true ke kunci tersebut.
- Anda harus memilih versi HSM untuk KMS.
Mengaktifkan TDE tidak mempengaruhi kinerja pembaruan, tetapi dapat menyebabkan penurunan kinerja ringan untuk operasi lainnya. Untuk informasi lebih lanjut, lihat Laporan Uji TDE.

Prosedur

Di panel navigasi sebelah kiri, klik Instances dan pilih instance kluster target untuk masuk ke halaman Cluster Instance Workspace.
Di panel navigasi sebelah kiri, klik Security Settings.
Di tab TDE, konfigurasikan pengaturan TDE.
1. Klik Enable TDE di kolom Actions.
  Catatan
  Setelah mengaktifkan fitur TDE, fitur tersebut memengaruhi kinerja database dan tidak dapat dinonaktifkan. Lanjutkan dengan hati-hati.
2. Dalam kotak dialog yang muncul, klik OK untuk menentukan jenis kunci.
  Kunci layanan dan kunci kustom didukung:
  - Kunci layanan dibuat dan dikelola oleh ApsaraDB for OceanBase.
    Catatan
    Saat ini, jenis kunci Aliyun_AES_256 dan Aliyun_SM4 didukung. Setelah menentukan jenis kunci, Anda tidak dapat mengubahnya atau mengonversi kunci tersebut ke jenis lain.
  - Kunci kustom dibuat menggunakan Alibaba Cloud KMS. Setelah membeli Alibaba Cloud KMS, Anda dapat membuat kunci kustom di Konsol KMS. Untuk informasi lebih lanjut, lihat Buat CMK.
    Catatan
    Saat ini, jenis kunci Aliyun_AES_256 dan Aliyun_SM4 didukung. Setelah menentukan jenis kunci, Anda tidak dapat mengubahnya atau mengonversi kunci tersebut ke jenis lain.
    Peran layanan unik dibuat untuk setiap produk cloud. Untuk ApsaraDB for OceanBase, peran AliyunServiceRoleForOceanBase dibuat agar Anda dapat mengenkripsi data di ApsaraDB for OceanBase.
3. Setelah menentukan jenis kunci, klik OK.

Buat ruang tabel terenkripsi

Klik Create Tablespace di kolom Actions.
Di kotak dialog Create Tablespace, tentukan Encrypted Tablespace Name dan Encryption Algorithm.
Klik OK.
Setelah membuat ruang tabel terenkripsi, Anda dapat melakukan operasi DDL menggunakan alat R&D data atau alat CLI lainnya untuk membuat tabel dan menetapkan tabel ke ruang tabel terenkripsi tertentu. Berikut adalah beberapa contoh:
- Penyewa Oracle
```
create table table_name (column1 int, column2 int) tablespace tablespace_name;
```
- Penyewa MySQL
```
create table table_name (column1 int, column2 int) tablespace tablespace_name;
```
Catatan
1. Untuk mengenkripsi data, Anda harus mengaktifkan TDE, membuat tablespace di tab TDE, dan melakukan operasi DDL untuk membuat tabel terenkripsi. Contoh pernyataan DDL untuk membuat tabel terenkripsi: obclient> CREATE TABLE t1 (id int,id2 int) TABLESPACE sectest_ts1;
2. Setelah menambahkan tabel data historis ke tablespace terenkripsi, lakukan kompaksi besar untuk mempertahankan data.
Untuk melihat nama ruang tabel, algoritma enkripsi, dan waktu pembuatan semua ruang tabel terenkripsi dalam tenant, klik tanda plus (+) di depan tenant.
Anda dapat mengklik nama tablespace terenkripsi untuk melihat status enkripsi dan kemajuan tabel terenkripsi. Kemajuan enkripsi menunjukkan persentase blok data yang sudah dienkripsi di tabel data.

Lakukan kompaksi penuh untuk tabel data historis

Untuk melakukan kompaksi penuh untuk tabel data historis t1, lakukan langkah-langkah berikut:

Atur nilai parameter progressive_merge_num menjadi 1.

obclient> ALTER TABLE t1 set progressive_merge_num = 1;

Di halaman Cluster Instance Workspace, inisiasi kompaksi besar secara manual. Untuk informasi lebih lanjut, lihat Major compaction.
Setelah kompaksi besar selesai, atur nilai parameter progressive_merge_num menjadi 0.
```
obclient> ALTER TABLE t1 set progressive_merge_num = 0;
```