MySQL 8.4+ TDE配置前须确认三件事:一是仅企业版支持,社区版无keyring插件;二是插件路径存在且权限属主为mysql用户;三是加密需按表空间启用,非全局生效。
MySQL 8.4+ TDE 配置前必须确认的三件事
MySQL 原生 TDE(Transparent Data Encryption)仅支持企业版,社区版默认不带 keyring_file 或 keyring_encrypted_file 插件,强行加载会报错 Plugin 'keyring_file' is not enabled。不是配置漏了,是根本没这个能力。
- 检查版本和许可证:
SELECT VERSION(), @@version_comment;—— 含Enterprise字样才可继续 - 确认插件路径:
SHOW VARIABLES LIKE 'plugin_dir';,进对应目录看是否存在keyring_file.so(Linux)或keyring_file.dll(Windows) - 社区版用户别硬上 TDE:可用磁盘级加密(如 LUKS、BitLocker)或应用层 AES 加密替代,否则后续所有操作都会卡在插件加载失败
keyring_file 插件启用与密钥路径权限问题
即使有企业版,keyring_file 插件启动失败最常见原因是路径不可写或 MySQL 进程无权访问。它不读取配置文件里的路径变量,只认绝对路径且要求属主严格匹配 mysqld 进程用户(通常是 mysql)。
- 在
my.cnf中写死路径:early-plugin-load=keyring_file.so+keyring_file_data=/var/lib/mysql-keyring/keyring - 路径必须提前创建并授权:
mkdir -p /var/lib/mysql-keyring && chown mysql:mysql /var/lib/mysql-keyring && chmod 750 /var/lib/mysql-keyring - 切勿用
/tmp或家目录——MySQL 启动时以 drop privileges 模式运行,会拒绝读取非安全路径 - 启动后验证:
SELECT PLUGIN_NAME, PLUGIN_STATUS FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME LIKE 'keyring%';,状态必须是ACTIVE
对表空间启用加密的实际操作步骤
TDE 不是全局开关,而是按表空间(tablespace)粒度控制。系统表空间(ibdata1)默认不加密,必须显式为每个需要加密的表指定 ENCRYPTION='Y',且该表必须使用独立表空间(innodb_file_per_table=ON)。
- 建表时开启:
CREATE TABLE t1 (id INT) ENCRYPTION='Y'; - 已有表转换:
ALTER TABLE t1 ENCRYPTION='Y';—— 会触发全表重建,锁表时间取决于数据量 - 查看是否生效:
SELECT NAME, ENCRYPTION FROM INFORMATION_SCHEMA.INNODB_TABLESPACES WHERE NAME LIKE '%t1%';,返回Y才算成功 - 注意:
ENCRYPTION='Y'仅影响数据文件(.ibd),日志文件(redo/undo)、binlog、临时表仍明文,TDE 不覆盖这些区域
密钥轮换为什么不能直接改 keyring_file 文件
keyring_file 是纯文本 JSON 格式,但 MySQL 进程运行时会缓存密钥内容。手动编辑文件不仅无效,还可能导致实例启动失败或解密异常——因为 MySQL 只在初始化插件时读一次,之后全靠内存缓存。
- 正确轮换方式只有两个:
ALTER INSTANCE ROTATE INNODB MASTER KEY;(重生成主密钥)或ALTER INSTANCE SET ENCRYPTION_KEY = '...';(需配合自定义密钥管理) - 轮换后旧数据仍可读(因数据密钥由主密钥加密保护),但新写入数据用新主密钥加密
- 备份
keyring_file是必须动作,但必须在 MySQL 停止后拷贝,运行中 cp 可能拿到不一致快照 - 没有密钥备份=数据永久丢失,哪怕只是删错一个字符,重启后所有加密表都无法打开
密钥文件一旦损坏或丢失,没有恢复手段。别信“还能从 ibd 里抽出来”这种说法——InnoDB 的加密设计就是让你抽不出来。
