Kubernetes 场景下，证书是通过 secret 的方式来管理，使用时通过 secret mount 以 Volume 形式挂载。 存在以下三个问题：  Secret 管理方式与现有密钥管理系统有冲突，需要密钥管理系统强依赖 Kubernetes  Secret 以明文形式挂载在容器的文件系统中，存在安全隐患  Secret 更新时，Sidecar 需要通过热重启方式重新加载，成本高昂基于 Discovery Service 是 Envoy 提出的 Sidecar 证书管理方案，方案的核心流程在于引入 SDS Server 进行密钥管理和分发，Sidecar 通过 gRPC 请求获取证书，并利用 gRPC stream 能力实现证书动态轮转。 当然，Sidecar 和 SDS Server 的通信也需要保证自身的通信安全，存在以下两种方案：  Sidecar 与 SDS Server require Envoy to restart.基于 Secret Discovery Service Sidecar 的证书管理方案 蚂蚁金服证书管理方案  基于 Citadel 对接内部密钥管理系统  使用 AppLocalToken 替换 Service Account  支持多种Sidecar 通过Citadel Agent 获取证书使用可信身份服务构建敏感数据下发通道 背景介绍

192.168.100.113 Log 文件 默认: “” 如果没设置这个参数，log 会默认输出到 “stderr”，如果设置了， log 就会输出到对应的文件里面，在每 天凌晨，log 会自动轮转使用一个新的文件，并且将以前的文件改名备份 Prometheus Push Gateway 地址 默认: “” 如果为空，TiDB 不会将统计信息推送给 Push Gateway ，参数格式 如 --metrics- --ssl-key 选项时，TiDB 将接受（但不强制）客户端使用 TLS 安全地连接到 TiDB。 若指定的证书或私钥无效，则 TiDB 会照常启动，但无法接受安全连接。 PEM 格式的 SSL 证书密钥文件路径，即 --ssl-cert 所指定的证书的私钥 默认: “” 目前 TiDB 不支持加载由密码保护的私钥。 PEM 格式的受信任 CA 的证书文件路径 retry-limit skip-grant-table 格式。另外目前 TiDB 尚不支持加载有密码保护的私钥，因此必须提供一个没有密码的私 钥文件。若提供的证书或私钥无效，则 TiDB 服务端将照常启动，但并不支持客户端加密连接到 TiDB 服务端。 上述证书及密钥可以使用 OpenSSL 签发和生成，也可以使用 MySQL 自带的工具 mysql_ssl_rsa_setup 快捷生 成： 1. mysql_ssl_rsa_setup --datadir=

1.2 SHAKE 可变长度摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533 15.1.3 密钥派生 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533 15.1.4 BLAKE2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534 15.2 hmac --- 基于密钥的消息验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541 15.3 secrets --- 生成管理密码的安全随机数 rotate(other, context=None) 返回对第一个操作数的数码按第二个操作数所指定的数量进行轮转的结果。第二个操作数必 须为 -precision 至 precision 精度范围内的整数。第二个操作数的绝对值给出要轮转的位数。如 果第二个操作数为正值则向左轮转；否则向右轮转。如有必要第一个操作数的系数会在左侧 填充零以达到 precision 所指定的长度。第一个操作数的符号和指数保持不变。

SHAKE 可变长度摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571 15.1.3 密钥派生 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572 15.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572 15.2 hmac --- 基于密钥的消息验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580 15.3 secrets --- rotate(other, context=None) 返回对第一个操作数的数码按第二个操作数所指定的数量进行轮转的结果。第二个操作数必须为 -precision 至 precision 精度范围内的整数。第二个操作数的绝对值给出要轮转的位数。如果第二个 操作数为正值则向左轮转；否则向右轮转。如有必要第一个操作数的系数会在左侧填充零以达到 precision 所指定的长度。第一个操作数的符号和指数保持不变。

1.2 SHAKE 可变长度摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519 15.1.3 密钥派生 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519 15.1.4 BLAKE2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520 15.2 hmac --- 基于密钥的消息验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527 15.3 secrets --- 生成管理密码的安全随机数 rotate(other, context=None) 返回对第一个操作数的数码按第二个操作数所指定的数量进行轮转的结果。第二个操作数必 须为 -precision 至 precision 精度范围内的整数。第二个操作数的绝对值给出要轮转的位数。如 果第二个操作数为正值则向左轮转；否则向右轮转。如有必要第一个操作数的系数会在左侧 填充零以达到 precision 所指定的长度。第一个操作数的符号和指数保持不变。

—安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487 15.2 hmac —基于密钥的消息验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498 15.3 secrets —生成安全随机数字用于管理密码 rotate(other, context=None) 返回对第一个操作数的数码按第二个操作数所指定的数量进行轮转的结果。第二个操作数必须为 -precision 至 precision 精度范围内的整数。第二个操作数的绝对值给出要轮转的位数。如果第二个 操作数为正值则向左轮转；否则向右轮转。如有必要第一个操作数的系数会在左侧填充零以达到 precision 所指定的长度。第一个操作数的符号和指数保持不变。 15.1.3 密钥派生 密钥派生和密钥延展算法被设计用于安全密码哈希。sha1(password) 这样的简单算法无法防御暴力攻击。 好的密码哈希函数必须可以微调、放慢步调，并且包含 加盐。 hashlib.pbkdf2_hmac(hash_name, password, salt, iterations, dklen=None) 此函数提供 PKCS#5 基于密码的密钥派生函数 2。它使用

—安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487 15.2 hmac —基于密钥的消息验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498 15.3 secrets —生成安全随机数字用于管理密码 rotate(other, context=None) 返回对第一个操作数的数码按第二个操作数所指定的数量进行轮转的结果。第二个操作数必须为 -precision 至 precision 精度范围内的整数。第二个操作数的绝对值给出要轮转的位数。如果第二个 操作数为正值则向左轮转；否则向右轮转。如有必要第一个操作数的系数会在左侧填充零以达到 precision 所指定的长度。第一个操作数的符号和指数保持不变。 15.1.3 密钥派生 密钥派生和密钥延展算法被设计用于安全密码哈希。sha1(password) 这样的简单算法无法防御暴力攻击。 好的密码哈希函数必须可以微调、放慢步调，并且包含 加盐。 hashlib.pbkdf2_hmac(hash_name, password, salt, iterations, dklen=None) 此函数提供 PKCS#5 基于密码的密钥派生函数 2。它使用

SHAKE 可变长度摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555 15.1.3 密钥派生 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556 15.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556 15.2 hmac --- 基于密钥的消息验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564 15.3 secrets --- rotate(other, context=None) 返回对第一个操作数的数码按第二个操作数所指定的数量进行轮转的结果。第二个操作数必须为 -precision 至 precision 精度范围内的整数。第二个操作数的绝对值给出要轮转的位数。如果第二个 操作数为正值则向左轮转；否则向右轮转。如有必要第一个操作数的系数会在左侧填充零以达到 precision 所指定的长度。第一个操作数的符号和指数保持不变。

--- 安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469 15.2 hmac --- 基于密钥的消息验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478 15.3 secrets --- 生成安全随机数字用于管理密码 rotate(other, context=None) 返回对第一个操作数的数码按第二个操作数所指定的数量进行轮转的结果。第二个操作数必 须为 -precision 至 precision 精度范围内的整数。第二个操作数的绝对值给出要轮转的位数。如 果第二个操作数为正值则向左轮转；否则向右轮转。如有必要第一个操作数的系数会在左侧 填充零以达到 precision 所指定的长度。第一个操作数的符号和指数保持不变。 15.1.3 密钥派生 密钥派生和密钥延展算法被设计用于安全密码哈希。sha1(password) 这样的简单算法无法防御暴力 攻击。好的密码哈希函数必须可以微调、放慢步调，并且包含 加盐。 hashlib.pbkdf2_hmac(hash_name, password, salt, iterations, dklen=None) 此函数提供 PKCS#5 基于密码的密钥派生函数 2。它使用

安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497 15.2 hmac --- 基于密钥的消息验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508 15.3 secrets --- rotate(other, context=None) 返回对第一个操作数的数码按第二个操作数所指定的数量进行轮转的结果。第二个操作数必须为 -precision 至 precision 精度范围内的整数。第二个操作数的绝对值给出要轮转的位数。如果第二个 操作数为正值则向左轮转；否则向右轮转。如有必要第一个操作数的系数会在左侧填充零以达到 precision 所指定的长度。第一个操作数的符号和指数保持不变。 15.1.3 密钥派生 密钥派生和密钥延展算法被设计用于安全密码哈希。sha1(password) 这样的简单算法无法防御暴力攻击。 好的密码哈希函数必须可以微调、放慢步调，并且包含 加盐。 hashlib.pbkdf2_hmac(hash_name, password, salt, iterations, dklen=None) 此函数提供 PKCS#5 基于密码的密钥派生函数 2。它使用