Sebelum memulai
Konfigurasi mesin secret KV-V2 HashiCorp Vault untuk memastikan jalur Kunci Enkripsi Kunci (KEK) dan Token Web JSON (JWT) tersedia.
Pastikan AlloyDB Omni memiliki izin untuk membaca file token JWT.
Membuat cluster
Untuk membuat cluster yang mendukung TDE, Anda harus meneruskan konfigurasi Layanan Pengelolaan Kunci (KMS) dan kredensial autentikasi yang diperlukan selama inisialisasi database. Satu-satunya jenis autentikasi yang didukung adalah jwt.
Instal AlloyDB Omni menggunakan RPM untuk menyiapkan lingkungan Anda dan menginstal paket RPM AlloyDB Omni.
Inisialisasi database.
KMS HashiCorp Vault
Gunakan pendekatan ini untuk beban kerja produksi.
Jalankan perintah berikut untuk menginisialisasi database dengan TDE diaktifkan:
sudo PGPASSWORD=POSTGRES_PASSWORD \ PGDATA=DATA_DIR \ VAULT_AUTH_TYPE=jwt \ VAULT_AUTH_MOUNT=JWT_AUTH_ENGINE_MOUNT \ VAULT_JWT_PATH=JWT_FILE_PATH \ VAULT_ROLE=VAULT_ROLE \ VAULT_CERT_PATH=VAULT_CERT_PATH \ POSTGRES_INITDB_ARGS="--tde-kek-url=KEK_URL" \ /usr/lib/postgresql/18/bin/alloydbomni18-setup initdb
Ganti kode berikut:
POSTGRES_PASSWORD: sandi untuk pengguna database.DATA_DIR: direktori lokal yang akan dipasang sebagai volume data untuk AlloyDB Omni—misalnya,/local/data.VAULT_AUTH_TYPE: jenis autentikasi yang akan digunakan untuk koneksi vault. Hanyajwtyang didukung.JWT_AUTH_ENGINE_MOUNT: jalur tempat mesin autentikasi HashiCorp Vault dipasang—misalnya,/auth/jwt.JWT_FILE_PATH: jalur tempat JWT vault disimpan di node Anda—misalnya,tde-tls/jwt-token.- (Opsional)
VAULT_ROLE: peran klien yang ditentukan dalam penyiapan vault yang memungkinkan HashiCorp Vault memverifikasi keaslian token JWT. VAULT_CERT_PATH: jalur tempat sertifikat untuk koneksi vault berada di container Anda—misalnya,/tde-tls. Jika tidak ditetapkan, sertifikat di trust store default akan digunakan.KEK_URL: URL yang sepenuhnya memenuhi syarat ke KEK di HashiCorp Vault. Gunakanvaultsebagai protokol untuk menentukan HashiCorp Vault sebagai penyedia KMS—misalnya,vault://127.0.0.1:8200/v1/secrets/data/alloydb_kek.
Untuk membuat file penggantian untuk
alloydbomni.service in /etc/systemd/system/alloydbomni18.service.d/override.conf, tambahkan hal berikut ke fileoverride.conf:[Service] Environment="VAULT_AUTH_TYPE" Environment="VAULT_AUTH_MOUNT=JWT_AUTH_ENGINE_MOUNT" Environment="VAULT_JWT_PATH=JWT_FILE_PATH" Environment="VAULT_ROLE=VAULT_ROLE" Environment="VAULT_CERT_PATH=VAULT_CERT_PATH"
Untuk menerapkan perubahan, muat ulang daemon systemd.
sudo systemctl daemon-reload
KMS Berbasis File
Gunakan pendekatan ini hanya untuk tujuan pengujian.
Untuk menguji TDE secara lokal menggunakan kunci berbasis file, Anda harus membuat KEK 32 byte di mesin terlebih dahulu.
Buat direktori, buat kunci, dan tetapkan izin yang sesuai.
KEK_DIR=KEK_DIR mkdir -p $KEK_DIR sudo chown 999:999 $KEK_DIR openssl rand -base64 32 | sudo tee $KEK_DIR/key sudo chmod 0755 $KEK_DIR/key
Inisialisasi database dengan meneruskan URI file lokal sebagai URL KEK.
sudo PGPASSWORD=POSTGRES_PASSWORD \ PGDATA=DATA_DIR \ POSTGRES_INITDB_ARGS="--tde-kek-url=file:///$KEK_DIR/key" \ /usr/lib/postgresql/18/bin/alloydbomni18-setup initdb
Ganti kode berikut:
POSTGRES_PASSWORD: sandi untuk pengguna database.DATA_DIR: direktori lokal yang akan dipasang sebagai volume data untuk AlloyDB Omni—misalnya,/local/data.KEK_DIR: direktori tempat KEK berbasis file lokal disimpan—misalnya,/tmp/alloydb/kms.
Setelah database diinisialisasi, ikuti petunjuk di Menginstal AlloyDB Omni menggunakan RPM untuk menyiapkan database, menyiapkan host, dan memulai layanan
systemd.
Melihat metrik TDE
Setelah cluster diinisialisasi, selesaikan langkah-langkah berikut untuk memverifikasi bahwa TDE diaktifkan dan melihat metrik TDE terkait.
- Hubungkan ke database Anda menggunakan
psqlatau klien pilihan Anda. Untuk mengetahui petunjuk mendetail tentang cara menghubungkan ke instance Anda, lihat Menjalankan dan menghubungkan ke AlloyDB Omni. Jalankan perintah berikut:
select * FROM pgsnap.g$tde_stats;Output menunjukkan metrik TDE seperti apakah TDE diaktifkan, URL KEK, versi KEK, dan stempel waktu pembuatan KEK.
Tabel berikut menjelaskan arti setiap metrik.
Nama Deskripsi Label Unit Jenis alloydb_omni_database_tde_data_blocks_decrypted_count_totalJumlah blok data yang didekripsi. Tidak berlaku penghitung alloydb_omni_database_tde_data_blocks_encrypted_count_totalJumlah blok data yang dienkripsi. Tidak berlaku penghitung alloydb_omni_database_tde_data_decryption_time_us_totalTotal waktu yang dihabiskan dalam dekripsi blok data. Tidak berlaku mikrodetik penghitung alloydb_omni_database_tde_data_encryption_time_us_totalTotal waktu yang dihabiskan dalam enkripsi blok data. Tidak berlaku mikrodetik penghitung alloydb_omni_database_tde_enabledStatus TDE diaktifkan. Tidak berlaku pengukur alloydb_omni_database_tde_kek_infoInformasi KEK TDE. kek_version: Versi KEK
yang digunakan untuk key wrapping.kek_url: Jalur yang sepenuhnya memenuhi syarat
ke KEK di KMSkek_creation_timestamp:
Waktu pembuatan versi KEK yang digunakan.
pengukur alloydb_omni_database_tde_temp_blocks_decrypted_count_totalJumlah blok sementara yang didekripsi. Tidak berlaku penghitung alloydb_omni_database_tde_temp_blocks_encrypted_count_totalJumlah blok sementara yang dienkripsi. Tidak berlaku penghitung alloydb_omni_database_tde_temp_decryption_time_us_totalTotal waktu yang dihabiskan dalam dekripsi blok sementara. Tidak berlaku mikrodetik penghitung alloydb_omni_database_tde_temp_encryption_time_us_totalTotal waktu yang dihabiskan dalam enkripsi blok sementara. Tidak berlaku mikrodetik penghitung alloydb_omni_database_tde_wal_blocks_decrypted_count_totalJumlah blok WAL yang didekripsi. Tidak berlaku penghitung alloydb_omni_database_tde_wal_blocks_encrypted_count_totalJumlah blok WAL yang dienkripsi. Tidak berlaku penghitung alloydb_omni_database_tde_wal_decryption_time_us_totalTotal waktu yang dihabiskan dalam dekripsi blok WAL. Tidak berlaku mikrodetik penghitung alloydb_omni_database_tde_wal_encryption_time_us_totalTotal waktu yang dihabiskan dalam enkripsi blok WAL. Tidak berlaku mikrodetik penghitung