Auf dieser Seite wird die AlloyDB Omni-Version 18.1.1 mit der Bereitstellungsoption RPM dokumentiert. Wählen Sie eine andere Bereitstellungsoption aus.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

TDE-fähigen Cluster erstellen

Wählen Sie eine Dokumentationsversion aus:

Hinweis

Lesen Sie AlloyDB Omni-Installation planen.

Konfigurieren Sie die KV-V2-Secrets-Engine von HashiCorp Vault, um sicherzustellen, dass der Schlüsselverschlüsselungsschlüssel-Pfad (KEK) und das JSON Web Token (JWT) verfügbar sind.
Prüfen Sie, ob AlloyDB Omni die Berechtigung zum Lesen der JWT-Tokendatei hat.

Cluster erstellen

Wenn Sie einen TDE-fähigen Cluster erstellen möchten, müssen Sie bei der Initialisierung der Datenbank die erforderliche KMS-Konfiguration (Key Management Service) und die Authentifizierungsanmeldedaten übergeben. Der einzige unterstützte Authentifizierungstyp ist jwt.

AlloyDB Omni mit RPM installieren, um Ihre Umgebung vorzubereiten und das AlloyDB Omni-RPM-Paket zu installieren.

Hinweis :Initialisieren Sie die Datenbank noch nicht.
Initialisieren Sie die Datenbank.

Hinweis :AlloyDB Omni unterstützt auch dateibasierte KMS. Wir empfehlen dies jedoch nur für Testzwecke und nicht für Produktionsarbeitslasten.
HashiCorp Vault KMS

Verwenden Sie diesen Ansatz für Produktionsarbeitslasten.
1. Führen Sie den folgenden Befehl aus, um die Datenbank mit aktivierter TDE zu initialisieren:
  
  sudo PGPASSWORD=POSTGRES_PASSWORD \ PGDATA=DATA_DIR \ VAULT_AUTH_TYPE=jwt \ VAULT_AUTH_MOUNT=JWT_AUTH_ENGINE_MOUNT \ VAULT_JWT_PATH=JWT_FILE_PATH \ VAULT_ROLE=VAULT_ROLE \ VAULT_CERT_PATH=VAULT_CERT_PATH \ POSTGRES_INITDB_ARGS="--tde-kek-url=KEK_URL" \ /usr/lib/postgresql/18/bin/alloydbomni18-setup initdb
  
  Ersetzen Sie Folgendes:
  
  POSTGRES_PASSWORD: Das Passwort für den Datenbanknutzer.
  
  DATA_DIR: Das lokale Verzeichnis, das als Datenvolume für AlloyDB Omni bereitgestellt werden soll, z. B. /local/data.
  
  VAULT_AUTH_TYPE: Der Authentifizierungstyp, der für die Vault-Verbindung verwendet werden soll. Nur jwt wird unterstützt.
  
  JWT_AUTH_ENGINE_MOUNT: Der Pfad, unter dem die HashiCorp Vault-Authentifizierungs-Engine eingebunden ist, z. B. /auth/jwt.
  
  JWT_FILE_PATH: Der Pfad, in dem das Vault-JWT auf Ihren Knoten gespeichert ist, z. B. tde-tls/jwt-token.
  
  (Optional) VAULT_ROLE: Die in Ihrer Vault-Einrichtung definierte Clientrolle, mit der HashiCorp Vault die Authentizität des JWT-Tokens überprüfen kann.
  
  VAULT_CERT_PATH: der Pfad, in dem sich die Zertifikate für die Vault-Verbindung in Ihrem Container befinden, z. B. /tde-tls. Wenn nicht festgelegt, werden die Zertifikate im Standard-Trust Store verwendet.
  
  KEK_URL: Die vollständig qualifizierte URL zum KEK in HashiCorp Vault. Verwenden Sie vault als Protokoll, um HashiCorp Vault als KMS-Anbieter anzugeben, z. B. vault://127.0.0.1:8200/v1/secrets/data/alloydb_kek.
2. Wenn Sie eine Überschreibungsdatei für alloydbomni.service in /etc/systemd/system/alloydbomni18.service.d/override.conf erstellen möchten, fügen Sie der Datei override.conf Folgendes hinzu:
  
  [Service] Environment="VAULT_AUTH_TYPE" Environment="VAULT_AUTH_MOUNT=JWT_AUTH_ENGINE_MOUNT" Environment="VAULT_JWT_PATH=JWT_FILE_PATH" Environment="VAULT_ROLE=VAULT_ROLE" Environment="VAULT_CERT_PATH=VAULT_CERT_PATH"
3. Laden Sie den systemd-Daemon neu, um die Änderungen zu übernehmen.
  
  sudo systemctl daemon-reload
Dateibasiertes KMS

Verwenden Sie diesen Ansatz nur zu Testzwecken.

Wenn Sie TDE lokal mit einem dateibasierten Schlüssel testen möchten, müssen Sie zuerst einen 32‑Byte-KEK auf Ihrem Computer generieren.
1. Erstellen Sie das Verzeichnis, generieren Sie den Schlüssel und legen Sie die entsprechenden Berechtigungen fest.
  
  KEK_DIR=KEK_DIR mkdir -p $KEK_DIR sudo chown 999:999 $KEK_DIR openssl rand -base64 32 | sudo tee $KEK_DIR/key sudo chmod 0755 $KEK_DIR/key
2. Initialisieren Sie die Datenbank, indem Sie den URI der lokalen Datei als KEK-URL übergeben.
  
  sudo PGPASSWORD=POSTGRES_PASSWORD \ PGDATA=DATA_DIR \ POSTGRES_INITDB_ARGS="--tde-kek-url=file:///$KEK_DIR/key" \ /usr/lib/postgresql/18/bin/alloydbomni18-setup initdb
  
  Ersetzen Sie Folgendes:
  
  POSTGRES_PASSWORD: Das Passwort für den Datenbanknutzer.
  
  DATA_DIR: Das lokale Verzeichnis, das als Datenvolume für AlloyDB Omni bereitgestellt werden soll, z. B. /local/data.
  
  KEK_DIR: Das Verzeichnis, in dem der lokale dateibasierte KEK gespeichert ist, z. B. /tmp/alloydb/kms.
Nachdem die Datenbank initialisiert wurde, folgen Sie der Anleitung unter AlloyDB Omni mit RPM installieren, um die Datenbank vorzubereiten, den Host einzurichten und den systemd-Dienst zu starten.

Messwerte für die Geräteverschlüsselung aufrufen

Nachdem der Cluster initialisiert wurde, führen Sie die folgenden Schritte aus, um zu prüfen, ob TDE aktiviert ist, und um zugehörige TDE-Messwerte aufzurufen.

Stellen Sie mit psql oder Ihrem bevorzugten Client eine Verbindung zu Ihrer Datenbank her. Eine detaillierte Anleitung zum Herstellen einer Verbindung zu Ihren Instanzen finden Sie unter AlloyDB Omni ausführen und eine Verbindung herstellen.

Führen Sie dazu diesen Befehl aus:

select * FROM pgsnap.g$tde_stats;

Die Ausgabe enthält TDE-Messwerte wie die KEK-URL, die KEK-Version und den KEK-Erstellungszeitstempel.

In der folgenden Tabelle wird die Bedeutung der einzelnen Messwerte erläutert.

Name	Beschreibung	Label	Einheit	Typ
`alloydb_omni_database_tde_data_blocks_decrypted_count_total`	Anzahl der entschlüsselten Datenblöcke.	Nicht zutreffend		Zähler
`alloydb_omni_database_tde_data_blocks_encrypted_count_total`	Anzahl der verschlüsselten Datenblöcke.	Nicht zutreffend		Zähler
`alloydb_omni_database_tde_data_decryption_time_us_total`	Gesamtzeit für die Entschlüsselung von Datenblöcken.	Nicht zutreffend	Mikrosekunden	Zähler
`alloydb_omni_database_tde_data_encryption_time_us_total`	Gesamtzeit für die Verschlüsselung von Datenblöcken.	Nicht zutreffend	Mikrosekunden	Zähler
`alloydb_omni_database_tde_enabled`	Status der TDE-Aktivierung.	Nicht zutreffend		Gauge
`alloydb_omni_database_tde_kek_info`	TDE-KEK-Informationen.	`kek_version`: Version des KEK , der für das Verpacken von Schlüsseln verwendet wird. `kek_url`: Vollständig qualifizierter Pfad zum KEK in KMS `kek_creation_timestamp`: Erstellungszeit der verwendeten KEK-Version.		Gauge
`alloydb_omni_database_tde_temp_blocks_decrypted_count_total`	Anzahl der entschlüsselten temporären Blöcke.	Nicht zutreffend		Zähler
`alloydb_omni_database_tde_temp_blocks_encrypted_count_total`	Anzahl der verschlüsselten temporären Blöcke.	Nicht zutreffend		Zähler
`alloydb_omni_database_tde_temp_decryption_time_us_total`	Gesamtzeit für die Entschlüsselung temporärer Blöcke.	Nicht zutreffend	Mikrosekunden	Zähler
`alloydb_omni_database_tde_temp_encryption_time_us_total`	Gesamtzeit, die mit der temporären Blockverschlüsselung verbracht wurde.	Nicht zutreffend	Mikrosekunden	Zähler
`alloydb_omni_database_tde_wal_blocks_decrypted_count_total`	Anzahl der entschlüsselten WAL-Blöcke.	Nicht zutreffend		Zähler
`alloydb_omni_database_tde_wal_blocks_encrypted_count_total`	Anzahl der verschlüsselten WAL-Blöcke.	Nicht zutreffend		Zähler
`alloydb_omni_database_tde_wal_decryption_time_us_total`	Gesamtzeit, die für die Entschlüsselung von WAL-Blöcken aufgewendet wurde.	Nicht zutreffend	Mikrosekunden	Zähler
`alloydb_omni_database_tde_wal_encryption_time_us_total`	Gesamtzeit, die für die WAL-Blockverschlüsselung aufgewendet wurde.	Nicht zutreffend	Mikrosekunden	Zähler

TDE-fähigen Cluster erstellen Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Hinweis

Cluster erstellen

HashiCorp Vault KMS

Dateibasiertes KMS

Messwerte für die Geräteverschlüsselung aufrufen

TDE-fähigen Cluster erstellen