透明数据加密

    使用 TDE 之前,管理员必须要提前配置密钥管理服务 KMS,并且把 KMS 的 URI 通过 core-site.xml 提供给 Ozone。

    使用 TDE

    创建加密密钥的方法为:

    • 使用 hadoop key 命令创建桶加密密钥,和 HDFS 加密区域的使用方法类似。

    这条命令执行后,所以写往 encryptedBucket 的数据都会用 encKey 进行加密,当读取里面的数据时,客户端通过 KMS 获取密钥进行解密。换句话说,Ozone 中存储的数据一直是加密的,但用户和客户端对此完全无感知。