16.14 使用加密 InnoDB 表空间的选项

从 4.0.2 版开始,MySQL Enterprise Backup 支持加密的 InnoDB 表空间。有关 MySQL 服务器如何加密和解密 InnoDB 表的详细信息,请参阅 InnoDB Data-at-Rest Encryption。请参阅 第 6 章,使用加密的 InnoDB 表了解 mysqlbackup命令如何处理加密的 InnoDB 表。

当 InnoDB 表空间加密使用 Oracle Key Vault (OKV) 进行加密密钥管理时,该功能称为 MySQL 企业透明数据加密 (TDE)”。

以下是用于处理加密 InnoDB 表的命令行选项:

  • --keyring=VALUE

    命令行格式 --keyring=VALUE
    类型 细绳

    (仅适用于 MySQL Enterprise Backup 4.1.0,或与 MySQL 5.7.20 及更早版本配合使用的 MySQL Enterprise Backup 4.1.1)用于主加密密钥管理的密钥环插件类型。目前,有两个可能的值:

    • keyring_file:使用 keyring_file插件,表示主加密密钥存储在密钥环文件中,其位置由 --keyring_file_data 选项指定。

    • keyring_okv:使用 keyring_okv插件,这意味着主密钥由 Oracle Key Vault (OKV) 管理;Key Vault 的终结点目录的位置由该 --keyring_okv_conf_dir 选项指定。

    必须为复制回和应用日志操作、使用该--generate-new-master-key 选项的复制回操作和脱机备份指定该选项。对于联机备份,服务器上的密钥环插件设置会覆盖此选项设置的值。

  • --keyring_file_data=PATH

    命令行格式 --keyring_file_data=PATH
    类型 文件名

    (仅适用于 MySQL Enterprise Backup 4.1.0,或使用 MySQL 5.7.20 及更早版本的 MySQL Enterprise Backup 4.1.1)密钥环文件的路径。The option is required when the option --keyringhas the value keyring_file. 对于联机备份, --keyring_file_data服务器上的设置会覆盖此选项设置的值。

  • --keyring_okv_conf_dir=PATH

    命令行格式 --keyring_okv_conf_dir=PATH
    类型 目录名称

    (仅适用于 MySQL Enterprise Backup 4.1.0,或与 MySQL 5.7.20 及更早版本一起使用的 MySQL Enterprise Backup 4.1.1) Oracle Key Vault (OKV) 端点目录的路径。The option is required when the option--keyringhas the valuekeyring_okv. 对于联机备份,--keyring_okv_conf_dir 服务器上的设置会覆盖此选项设置的值。

  • --encrypt-password[= STRING]

    命令行格式 --encrypt-password=STRING
    类型 细绳

    对于 MySQL Enterprise Backup 4.1.0 或与 MySQL 5.7.20 及更早版本一起使用的 MySQL Enterprise Backup 4.1.1:用户提供的密码, mysqlbackup 用来加密表空间的加密密钥。

    对于使用 MySQL 5.7.21 及更高版本的 MySQL Enterprise Backup 4.1.1:mysqlbackup 用来加密主加密密钥的用户提供的密码,该 密钥用于加密 InnoDB 表空间的加密密钥。如果服务器正在使用 keyring_encrypted_file插件,则选项提供的密码必须与服务器上系统变量的值相匹配 keyring_encrypted_file_password 。如果在一系列完整备份和增量备份中使用不同的密码进行不同的备份,请确保在执行 apply-logapply-incremental-backupcopy-back-and-apply-log 用它来操作。

    备份具有为 InnoDB 表加密启用密钥环插件的服务器和恢复包含加密的 InnoDB 表的备份时,必须使用该选项。备份期间提供的相同密码必须在 、 或备份操作期间再次提供 copy-back-and-apply-logapply-log否则 apply-incremental-backup mysqlbackup 操作期间遇到加密的 InnoDB 表时会出错。

    不想在命令行或默认文件中提供密码的用户可以使用该选项而不指定任何值;mysqlbackup然后要求用户在操作开始前输入密码。

  • --generate-new-master-key

    命令行格式 --generate-new-master-key

    (仅适用于 MySQL Enterprise Backup 4.1.0,或与 MySQL 5.7.20 及更早版本一起使用的 MySQL Enterprise Backup 4.1.1)生成新的主密钥。在恢复期间,当使用该选项时, mysqlbackup生成一个新的主密钥并使用它重新加密所有表空间密钥。要使用 --generate-new-master-key选项, --keyring选项,以及 --keyring_file_data选项 (when --keyring=keyring_file) 或--keyring_okv_conf_dir选项 (when --keyring=keyring_okv),以便mysqlbackup 可以访问密钥环。