Ansible 部署方案（强烈推荐） 离线 Ansible 部署方案 Docker 部署方案 Docker Compose 部署方案 跨机房部署方案 配置集群 参数解释 TiDB 配置项解释 开启 TLS 验证 生成自签名证书 监控集群 整体监控框架概述 重要监控指标详解 组件状态 API & 监控 扩容缩容 集群扩容缩容方案 使用 Ansible 扩容缩容 升级 升级组件版本 TiDB 2.0 升级操作指南 Compose 部署方案 跨机房部署方案 配置集群 参数解释 README - 8 - 本文档使用 书栈(BookStack.CN) 构建 TiDB 配置项解释 使用 Ansible 变更组件配置 开启 TLS 验证 生成自签名证书 监控集群 整体监控框架概述 重要监控指标详解 组件状态 API & 监控 扩容缩容 集群扩容缩容方案 使用 Ansible 扩容缩容 升级 升级组件版本 TiDB 2.0 升级操作指南 keepalive 默认: false PEM 格式的 SSL 证书文件路径 默认: “” 当同时设置了该选项和 --ssl-key 选项时，TiDB 将接受（但不强制）客户端使用 TLS 安全地连接到 TiDB。 若指定的证书或私钥无效，则 TiDB 会照常启动，但无法接受安全连接。 PEM 格式的 SSL 证书密钥文件路径，即 --ssl-cert 所指定的证书的私钥 默认: “” 目前 TiDB

start TiCDC using TiUP · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 913 7.2.8 Enable TLS for TiCDC· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 913 7.2 · · · · · · · · · · · · · · · · 1214 8.1.2 Enable TLS between TiDB Clients and Servers · · · · · · · · · · · · · · · · · · · · 1220 8.1.3 Enable TLS Between TiDB Components · · · · · · · · · · · · · · 9 Security Security 8.4 8.3 8.2 8.1 7.5 7.1 6.5 6.1 5.4 5.3 5.2 5.1 Transparent layer security (TLS) Y Y Y Y Y Y Y Y Y Y Y Y Encryption at rest (TDE) Y Y Y Y Y Y Y Y Y Y Y Y Role-based authentication

· · · · · · · · · · · · · · · · · 915 8.1.2 Enable TLS between TiDB Clients and Servers · · · · · · · · · · · · · · · · · · · · 921 8.1.3 Enable TLS Between TiDB Components · · · · · · · · · · · · · · 9 Security Security 8.4 8.3 8.2 8.1 7.5 7.1 6.5 6.1 5.4 5.3 5.2 5.1 Transparent layer security (TLS) Y Y Y Y Y Y Y Y Y Y Y Y Encryption at rest (TDE) Y Y Y Y Y Y Y Y Y Y Y Y Role-based authentication -P 4000 -D test �→ --ssl-mode=VERIFY_IDENTITY --ssl-ca=/etc/ssl/cert.pem -p 144 Note: • When you connect to a TiDB Cloud Serverless cluster, you must use the TLS connection. • If you encounter

· · · · · · · · · · · · · · · · · 840 8.1.2 Enable TLS between TiDB Clients and Servers · · · · · · · · · · · · · · · · · · · · 846 8.1.3 Enable TLS Between TiDB Components · · · · · · · · · · · · · · enabled #9188 @JinheLin • Fix the issue that setting the SSL certificate configuration to an empty string in TiFlash incorrectly enables TLS and causes TiFlash to fail to start #9235 @JaySon-Huang • confusing WARN log when it fails to obtain the keyspace name #54232 @kennytm • Fix the issue that the TLS configuration of TiDB Lightning affects cluster certificates #54172 @ei-sugimoto • Fix the issue that

· · · · · · · · · · · · · · · · · 837 8.1.2 Enable TLS between TiDB Clients and Servers · · · · · · · · · · · · · · · · · · · · 843 8.1.3 Enable TLS Between TiDB Components · · · · · · · · · · · · · · connection protocols #11336 @SandeepPadhi Before v8.2.0, TiCDC Pulsar Sink only supports pulsar and pulsar+ssl connection protocols. Starting from v8.2.0, TiCDC Pulsar Sink also supports pulsar+http and pulsar+https N N 2.3.9 Security Security 8.2 8.1 7.5 7.1 6.5 6.1 5.4 5.3 5.2 5.1 Transparent layer security (TLS) Y Y Y Y Y Y Y Y Y Y Encryption at rest (TDE) Y Y Y Y Y Y Y Y Y Y Role-based authentication (RBAC)

· · · · · · · · · · · · · · · · · 835 8.1.2 Enable TLS between TiDB Clients and Servers · · · · · · · · · · · · · · · · · · · · 841 8.1.3 Enable TLS Between TiDB Components · · · · · · · · · · · · · · changes introduced in intermediate versions. 2.2.2.1 Behavior changes • In earlier versions, the tidb.tls configuration item in TiDB Lightning treats values "false" and "" the same, as well as treating the TiDB Lightning distinguishes the be- havior of "false", "", "skip-verify", and "preferred" for tidb.tls. For more information, see TiDB Lightning configuration. 43 • For tables with AUTO_ID_CACHE=1, TiDB

底层网络接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880 19.3 ssl --- 套接字对象的 TLS/SSL 封装 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901 19.4 select --- including FreeBSD <= 6.3 and Cygwin have known issues when using fork() from a thread. 警告: 有关 SSL 模块与 fork() 结合的应用，请参阅ssl。 可用性: Unix。 os.forkpty() Fork 出一个子进程，使用新的伪终端作为子进程的控制终端。返回一对 (pid, fd)，其中 pid 在子进 程中为 credentials 参数。 16.8. logging.handlers --- 日志处理 643 The Python Library Reference, 发布 3.7.13 要指定使用安全协议 (TLS)，请传入一个元组作为 secure 参数。这将仅在提供了验证凭据时才能被使 用。元组应当或是一个空元组，或是一个包含密钥文件名的单值元组，或是一个包含密钥文件和证书 文件的 2 值元组。（此元组会被传给smtplib

底层网络接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 829 19.3 ssl --- 套接字对象的 TLS/SSL 封装 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849 19.4 select --- Waiting from a thread. 516 Chapter 16. 通用操作系统服务 The Python Library Reference, 发布 3.7.13 警告: 有关 SSL 模块与 fork() 结合的应用，请参阅ssl。 可用性: Unix。 os.forkpty() Fork 出一个子进程，使用新的伪终端作为子进程的控制终端。返回一对 (pid, fd)，其中 pid 在 子进程中为 参数。如果你使用一个字符串，则会使用标准 SMTP 端口。如果你的 SMTP 服务器要求验 证，你可以指定一个 (username, password) 元组作为 credentials 参数。 要指定使用安全协议 (TLS)，请传入一个元组作为 secure 参数。这将仅在提供了验证凭据时才能被 使用。元组应当或是一个空元组，或是一个包含密钥文件名的单值元组，或是一个包含密钥文件和 证书文件的 2 值元组。（此元组会被传给smtplib

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 935 iii 18.3 ssl --- 套接字对象的 TLS/SSL 包装器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 958 18.4 select --- 引发一个不带参数的审计事件 os.fork。 在 3.8 版更改: 不再支持在子解释器中调用 fork() （将抛出RuntimeError 异常）。 警告: 有关 SSL 模块与 fork() 结合的应用，请参阅ssl。 可用性: Unix。 os.forkpty() Fork 出一个子进程，使用新的伪终端作为子进程的控制终端。返回一对 (pid, fd)，其中 pid 在子进 16 参数。如果你使用一个字符串，则会使用标准 SMTP 端口。如果你的 SMTP 服务器要求验证， 你可以指定一个 (username, password) 元组作为 credentials 参数。 要指定使用安全协议 (TLS)，请传入一个元组作为 secure 参数。这将仅在提供了验证凭据时才能被使 用。元组应当或是一个空元组，或是一个包含密钥文件名的单值元组，或是一个包含密钥文件和证书 文件的 2 值元组。（此元组会被传给smtplib

底层网络接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 871 18.3 ssl --- 套接字对象的 TLS/SSL 包装器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 893 18.4 select --- 等待 I/O 引发一个不带参数的审计事件 os.fork。 在 3.8 版更改: 不再支持在子解释器中调用 fork() （将抛出RuntimeError 异常）。 警告: 有关 SSL 模块与 fork() 结合的应用，请参阅ssl。 可用性: Unix。 os.forkpty() Fork 出一个子进程，使用新的伪终端作为子进程的控制终端。返回一对 (pid, fd)，其中 pid 在 子进程中为 参数。如果你使用一个字符串，则会使用标准 SMTP 端口。如果你的 SMTP 服务器要求验 证，你可以指定一个 (username, password) 元组作为 credentials 参数。 要指定使用安全协议 (TLS)，请传入一个元组作为 secure 参数。这将仅在提供了验证凭据时才能被 使用。元组应当或是一个空元组，或是一个包含密钥文件名的单值元组，或是一个包含密钥文件和 证书文件的 2 值元组。（此元组会被传给smtplib