Redis TLS Origination through the sidecar Author: Sam Stoelinga | Twitter: samosx | GitHub: samos123 Based on blog post: https://samos-it.com/posts/securing-redis-istio-tls-origniation-termination Architecture: K8s app using Redis over TLS only app-1 Namespace ms-1 K8s Pod External DB ms-2 K8s Pod ms-3 K8s Pod TLS only ● App with multiple microservices ● external Redis TLS only ● each microservice traffic Istio TLS Origination Architecture: K8s app using Redis over TLS only (TLS origination) app-1 Namespace ms-1 K8s Pod External DB container app container istio-proxy TCP TLS ● app talks

configure the optimal parameters of the operating system · · 105 4.2.6 Manually configure the SSH mutual trust and sudo without password · 111 4.2.7 Install the numactl tool · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1502 12.9.1 Enable TLS between TiDB Clients and Servers · · · · · · · · · · · · · · · · · · · · 1502 12.9.2 Enable TLS Between TiDB Components · · · · · · · · · · · · · Experimental Experimental Experimental 2.3.9 Security Security 5.2 5.1 5.0 4.0 Transparent layer security (TLS) Y Y Y Y Encryption at rest (TDE) Y Y Y Y Role-based authentication (RBAC) Y Y Y Y Certificate-based

configure the optimal parameters of the operating system · · 125 4.2.6 Manually configure the SSH mutual trust and sudo without password · 131 4.2.7 Install the numactl tool · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1617 12.9.1 Enable TLS between TiDB Clients and Servers · · · · · · · · · · · · · · · · · · · · 1617 12.9.2 Enable TLS Between TiDB Components · · · · · · · · · · · · · shuting down #28096 – Remove the support for insecure 3DES (Triple Data Encryption Algorithm) based TLS cipher suites #27859 – Fix the issue that Lightning connects to offline TiKV nodes during pre-check

configure the optimal parameters of the operating system · · 113 4.2.6 Manually configure the SSH mutual trust and sudo without password · 119 4.2.7 Install the numactl tool · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1561 12.9.1 Enable TLS between TiDB Clients and Servers · · · · · · · · · · · · · · · · · · · · 1561 12.9.2 Enable TLS Between TiDB Components · · · · · · · · · · · · · type Description TiDB con- figuration file security. �→ auto- �→ tls Newly added Determines whether to automati- cally generate the TLS certificates on startup. The default value is false. TiDB con- figuration

configure the optimal parameters of the operating system · · 129 4.2.6 Manually configure the SSH mutual trust and sudo without password · 135 4.2.7 Install the numactl tool · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 2204 12.9.1 Enable TLS between TiDB Clients and Servers · · · · · · · · · · · · · · · · · · · · 2204 12.9.2 Enable TLS Between TiDB Components · · · · · · · · · · · · · Experimental Experimental 2.3.9 Security Security 5.4 5.3 5.2 5.1 5.0 4.0 Transparent layer security (TLS) Y Y Y Y Y Y Encryption at rest (TDE) Y Y Y Y Y Y Role-based authentication (RBAC) Y Y Y Y Y Y Certificate-based

configure the optimal parameters of the operating system · · 631 5.2.7 Manually configure the SSH mutual trust and sudo without password · 638 5.2.8 Install the numactl tool · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 835 8.1.2 Enable TLS between TiDB Clients and Servers · · · · · · · · · · · · · · · · · · · · 841 8.1.3 Enable TLS Between TiDB Components · · · · · · · · · · · · · · t authentication (introduced in v8.1.0) TiCDC supports client authentication using mutual Transport Layer �→ Security (mTLS) or TiDB username and password. This feature enables �→ CLI or

configure the optimal parameters of the operating system · · 622 5.2.7 Manually configure the SSH mutual trust and sudo without password · 628 5.2.8 Install the numactl tool · · · · · · · · · · · · · · · · · · · · · · · · · · · · 3697 14.11.1 Enable TLS between TiDB Clients and Servers · · · · · · · · · · · · · · · · · · · · 3697 14.11.2 Enable TLS Between TiDB Components · · · · · · · · · · · · · t authentication (introduced in v8.1.0) TiCDC supports client authentication using mutual Transport Layer �→ Security (mTLS) or TiDB username and password. This feature enables �→ CLI or

configure the optimal parameters of the operating system · · 634 5.2.7 Manually configure the SSH mutual trust and sudo without password · 641 5.2.8 Install the numactl tool · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 840 8.1.2 Enable TLS between TiDB Clients and Servers · · · · · · · · · · · · · · · · · · · · 846 8.1.3 Enable TLS Between TiDB Components · · · · · · · · · · · · · · issue that setting the SSL certificate configuration to an empty string in TiFlash incorrectly enables TLS and causes TiFlash to fail to start #9235 @JaySon-Huang • Fix the issue that TiFlash might panic when

configure the optimal parameters of the operating system · · 720 5.2.7 Manually configure the SSH mutual trust and sudo without password · 727 5.2.8 Install the numactl tool · · · · · · · · · · · · · · start TiCDC using TiUP · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 913 7.2.8 Enable TLS for TiCDC· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 913 7.2 · · · · · · · · · · · · · · · · 1214 8.1.2 Enable TLS between TiDB Clients and Servers · · · · · · · · · · · · · · · · · · · · 1220 8.1.3 Enable TLS Between TiDB Components · · · · · · · · · · · · · ·

configure the optimal parameters of the operating system · · 715 5.2.7 Manually configure the SSH mutual trust and sudo without password · 722 5.2.8 Install the numactl tool · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 915 8.1.2 Enable TLS between TiDB Clients and Servers · · · · · · · · · · · · · · · · · · · · 921 8.1.3 Enable TLS Between TiDB Components · · · · · · · · · · · · · · 9 Security Security 8.4 8.3 8.2 8.1 7.5 7.1 6.5 6.1 5.4 5.3 5.2 5.1 Transparent layer security (TLS) Y Y Y Y Y Y Y Y Y Y Y Y Encryption at rest (TDE) Y Y Y Y Y Y Y Y Y Y Y Y Role-based authentication