192.168.100.113 Log 文件 默认: “” 如果没设置这个参数，log 会默认输出到 “stderr”，如果设置了， log 就会输出到对应的文件里面，在每 天凌晨，log 会自动轮转使用一个新的文件，并且将以前的文件改名备份 Prometheus Push Gateway 地址 默认: “” 如果为空，TiDB 不会将统计信息推送给 Push Gateway ，参数格式 如 --metrics- --ssl-key 选项时，TiDB 将接受（但不强制）客户端使用 TLS 安全地连接到 TiDB。 若指定的证书或私钥无效，则 TiDB 会照常启动，但无法接受安全连接。 PEM 格式的 SSL 证书密钥文件路径，即 --ssl-cert 所指定的证书的私钥 默认: “” 目前 TiDB 不支持加载由密码保护的私钥。 PEM 格式的受信任 CA 的证书文件路径 retry-limit skip-grant-table 格式。另外目前 TiDB 尚不支持加载有密码保护的私钥，因此必须提供一个没有密码的私 钥文件。若提供的证书或私钥无效，则 TiDB 服务端将照常启动，但并不支持客户端加密连接到 TiDB 服务端。 上述证书及密钥可以使用 OpenSSL 签发和生成，也可以使用 MySQL 自带的工具 mysql_ssl_rsa_setup 快捷生 成： 1. mysql_ssl_rsa_setup --datadir=

1.1 替换成你的部署目标机器 IP，按提示输入部署 目标机器 tidb 用户密码，执行成功后即创建好 SSH 互信，其他机器同理。新建的 tidb 用户下没有 .ssh 目录，需要执行生成 rsa 密钥的命令来生成 .ssh 目录。如果要在中控机上部署 TiDB 组件，需要为中控 机和中控机自身配置互信。 ssh-keygen -t rsa ssh-copy-id -i ~/.ssh/id_rsa example 和TiFlash 配置参数。 4.4.1.4 第 4 步：执行部署命令 注意： 通过 TiUP 进行集群部署可以使用密钥或者交互密码方式来进行安全认证： • 如果是密钥方式，可以通过 -i 或者 --identity_file 来指定密钥的路径； • 如果是密码方式，可以通过 -p 进入密码交互窗口； • 如果已经配置免密登录目标机，则不需填写认证。 一般情况下 TiUP TiUP 管理的集群情况 tiup cluster list TiUP 支持管理多个 TiDB 集群，该命令会输出当前通过 TiUP cluster 管理的所有集群信息，包括集群名称、部署 用户、版本、密钥信息等： Starting /home/tidb/.tiup/components/cluster/v1.5.0/cluster list Name User Version Path �→ PrivateKey

1.1 替换成你的部署目标机器 IP，按提示输入部署 目标机器 tidb 用户密码，执行成功后即创建好 SSH 互信，其他机器同理。新建的 tidb 用户下没有 .ssh 目录，需要执行生成 rsa 密钥的命令来生成 .ssh 目录。如果要在中控机上部署 TiDB 组件，需要为中控 机和中控机自身配置互信。 ssh-keygen -t rsa ssh-copy-id -i ~/.ssh/id_rsa example 和TiFlash 配置参数。 104 4.4.1.4 第 4 步：执行部署命令 注意： 通过 TiUP 进行集群部署可以使用密钥或者交互密码方式来进行安全认证： • 如果是密钥方式，可以通过 -i 或者 --identity_file 来指定密钥的路径； • 如果是密码方式，可以通过 -p 进入密码交互窗口； • 如果已经配置免密登录目标机，则不需填写认证。 一般情况下 TiUP TiUP 管理的集群情况 tiup cluster list TiUP 支持管理多个 TiDB 集群，该命令会输出当前通过 TiUP cluster 管理的所有集群信息，包括集群名称、部署 用户、版本、密钥信息等： 105 Starting /home/tidb/.tiup/components/cluster/v1.5.0/cluster list Name User Version Path

1.1 替换成你的部署目标机器 IP，按提示输入部署 目标机器 tidb 用户密码，执行成功后即创建好 SSH 互信，其他机器同理。新建的 tidb 用户下没有 .ssh 目录，需要执行生成 rsa 密钥的命令来生成 .ssh 目录。如果要在中控机上部署 TiDB 组件，需要为中控 机和中控机自身配置互信。 ssh-keygen -t rsa ssh-copy-id -i ~/.ssh/id_rsa example 和TiFlash 配置参数。 4.4.1.4 第 4 步：执行部署命令 注意： 通过 TiUP 进行集群部署可以使用密钥或者交互密码方式来进行安全认证： • 如果是密钥方式，可以通过 -i 或者 --identity_file 来指定密钥的路径； • 如果是密码方式，可以通过 -p 进入密码交互窗口； • 如果已经配置免密登录目标机，则不需填写认证。 一般情况下 TiUP TiUP 管理的集群情况 tiup cluster list TiUP 支持管理多个 TiDB 集群，该命令会输出当前通过 TiUP cluster 管理的所有集群信息，包括集群名称、部署 用户、版本、密钥信息等： Starting /home/tidb/.tiup/components/cluster/v1.7.0/cluster list Name User Version Path �→ PrivateKey

系统表时，TiDB 需要 使用匹配的 PD 版本。 • 对 log 相关参数，TiDB Server、PD Server 和 TiKV Server 将采用统一的参数命名方式来管理日志命名、输出格 式、轮转和过期的规则。参见TiKV 配置文件 - log。 • 自 v5.4.0 起，对于通过 Plan Cache 已经缓存的执行计划，如果为其创建绑定 (Binding)，会使得对应查询已 经缓存的计划失效。v5 TiFlash – 优化本地算子通讯 42 – 调高 gRPC 非临时线程数，避免频繁创建/销毁线程 • Tools – Backup & Restore (BR) * 增加 BR 加密备份时，对密钥的合法性检查 #29794 – TiCDC * 减少 “EventFeed retry rate limited” 日志的数量 #4006 * 降低在同步大量表时的同步延时 #3900 * 减少 表示设置集群版本，可以通过 tiup list tidb 命令来查看当前支持部署的 TiDB 版本 • 参数 -p 表示在连接目标机器时使用密码登录 注意： 如果主机通过密钥进行 SSH 认证，请使用 -i 参数指定密钥文件路径，-i 与 -p 不可同 时使用。 按照引导，输入”y” 及 root 密码，来完成部署： Do you want to continue? [y/N]: y Input

SHOW JOB 操作崩溃的问题 #38980 @tangenta – 修复了 tidb_decode_key 函数未正确处理分区表编码的问题 #39304 @Defined2014 – 修复了日志轮转时，gRPC 的错误日志信息未被重定向到正确的日志文件的问题 #38941 @xhebox – 修复了 BEGIN; SELECT... FOR UPDATE; 点查在读数据存储引擎 (tidb_ 表示设置集群版本，例如 v6.5.9。可以通过 tiup list tidb 命令来查看当前支持 部署的 TiDB 版本 • 参数 -p 表示在连接目标机器时使用密码登录 注意： 如果主机通过密钥进行 SSH 认证，请使用 -i 参数指定密钥文件路径，-i 与 -p 不可同 时使用。 按照引导，输入”y” 及 root 密码，来完成部署： 86 Do you want to continue? [y/N]: y 1.1 替换成你的部署目标机器 IP，按提示输入部署 目标机器 tidb 用户密码，执行成功后即创建好 SSH 互信，其他机器同理。新建的 tidb 用户下没有 .ssh 目录，需要执行生成 rsa 密钥的命令来生成 .ssh 目录。如果要在中控机上部署 TiDB 组件，需要为中控 机和中控机自身配置互信。 ssh-keygen -t rsa ssh-copy-id -i ~/.ssh/id_rsa

密 钥管理。从 v8.0.0 起，你可以通过 Google Cloud KMS 管理 TiKV 的主密钥，构建基于 Cloud KMS 的静态加密能 力，从而提高用户数据的安全性。 39 要启用基于 Google Cloud KMS 的静态加密，你需要在 Google Cloud 上创建一个密钥，然后在 TiKV 配置文件 中添加 [security.encryption.master-key] 拉取数据进行下游处理的用户简化从 MySQL 迁移到 TiDB 的过程。 更多信息，请参考用户文档。 • DM 支持使用用户提供的密钥对源数据库和目标数据库的密码进行加密和解密 #9492 @D3Hunter 在之前的版本中，DM 使用了一个内置的固定秘钥，安全性相对较低。从 v8.0.0 开始，你可以上传并指 定一个密钥文件，用于对上下游数据库的密码进行加密和解密操作。此外，你还可以按需替换秘钥文 件，以提升数据的安全性。 设置才生 效。 50 配置文件 配置项 修改类型 描述 TiKV security. �→ encryption �→ . �→ master �→ -key. �→ vendor 修改 主密钥可 选的服务 商类型新 增 gcp。 TiKV rocksdb. �→ defaultcf �→ .titan �→ . �→ shared �→ -blob- �→ cache 新增 控制是否

表示设置集群版本，例如 v8.1.0。可以通过 tiup list tidb 命令来查看当前支持 部署的 TiDB 版本 • 参数 -p 表示在连接目标机器时使用密码登录 注意： 如果主机通过密钥进行 SSH 认证，请使用 -i 参数指定密钥文件路径，-i 与 -p 不可同 时使用。 按照引导，输入”y” 及 root 密码，来完成部署： 68 Do you want to continue? [y/N]: y 1.1 替换成你的部署目标机器 IP，按提示输入部署 目标机器 tidb 用户密码，执行成功后即创建好 SSH 互信，其他机器同理。新建的 tidb 用户下没有 .ssh 目录，需要执行生成 rsa 密钥的命令来生成 .ssh 目录。如果要在中控机上部署 TiDB 组件，需要为中控 机和中控机自身配置互信。 ssh-keygen -t rsa ssh-copy-id -i ~/.ssh/id_rsa TiFlash config.toml.example 5.4.1.4 第 4 步：执行部署命令 注意： 通过 TiUP 进行集群部署可以使用密钥或者交互密码方式来进行安全认证： • 如果是密钥方式，可以通过 -i 或者 –identity_file 来指定密钥的路径。 • 如果是密码方式，可以通过 -p 进入密码交互窗口。 • 如果已经配置免密登录目标机，则不需填写认证。 一般情况下 TiUP

6.0。可以通过 tiup list tidb 命令来查看当前支持 部署的 TiDB 版本 • 参数 -p 表示在连接目标机器时使用密码登录 78 注意： 如果主机通过密钥进行 SSH 认证，请使用 -i 参数指定密钥文件路径，-i 与 -p 不可同 时使用。 按照引导，输入”y” 及 root 密码，来完成部署： Do you want to continue? [y/N]: y Input 1.1 替换成你的部署目标机器 IP，按提示输入部署 目标机器 tidb 用户密码，执行成功后即创建好 SSH 互信，其他机器同理。新建的 tidb 用户下没有 .ssh 目录，需要执行生成 rsa 密钥的命令来生成 .ssh 目录。如果要在中控机上部署 TiDB 组件，需要为中控 机和中控机自身配置互信。 ssh-keygen -t rsa ssh-copy-id -i ~/.ssh/id_rsa TiFlash config.toml.example 5.4.1.4 第 4 步：执行部署命令 注意： 通过 TiUP 进行集群部署可以使用密钥或者交互密码方式来进行安全认证： • 如果是密钥方式，可以通过 -i 或者 –identity_file 来指定密钥的路径。 • 如果是密码方式，可以通过 -p 进入密码交互窗口。 • 如果已经配置免密登录目标机，则不需填写认证。 一般情况下 TiUP

起，日志备份数据也支持客户端加密。在 上传日志备份到备份存储之前，你可以选择以下方式之一对日志备份数据进行加密，从而确保备份数 据的安全性： – 使用自定义的固定密钥加密 – 使用本地磁盘的主密钥加密 – 使用 KMS（密钥管理服务）的主密钥加密 更多信息，请参考用户文档。 44 • BR 降低了从云存储服务系统恢复数据的权限要求 #55870 @Leavrth 在 v8.4.0 之前，BR 串格式， aes128- �→ ctr 对 应 128 位 （16 字节） 密钥长度， aes192- �→ ctr 为 24 字节， aes256- �→ ctr 为 32 字节。 BR --log. �→ crypter �→ .key- �→ file 新增 设置日志 备份数据 的密钥文 件，可直 接将存放 密钥的文 件路径作 为参数传 入，此时 log. �→ crypter �→ 种算法， 缺省值为 plaintext， 表示不加 密。 BR --master- �→ key 新增 设置日志 备份数据 的主密钥， 可以是基 于本地磁 盘的主密 钥或基于 云 KMS (Key Manage- ment Service) 的 主密钥。 62 配置文件 或组件 配置项 修改类型 描述 BR --master- �→ key- �→ crypter �→ - �→