从4.0.2版本开始,MySQL企业备份支持加密的InnoDB表空间。MySQL服务器如何加密和解密InnoDB表,请参见InnoDB数据静止加密.看到第六章,使用加密的InnoDB表如何mysqlbackup命令处理加密的InnoDB表。
当InnoDB表空间加密使用Oracle Key Vault (OKV)进行加密密钥管理时,该特性被称为”MySQL企业透明数据加密(TDE)。”
以下是用于加密InnoDB表的命令行选项:
-
命令行格式 ——密匙环=值
类型 字符串 (仅适用于MySQL企业备份4.1.0,或MySQL企业备份4.1.1与MySQL 5.7.20及更早版本)用于主加密密钥管理的密匙环插件。目前,有两个可能的值:
keyring_file
:keyring_file
插件,这意味着主加密密钥存储在密匙环文件中,该文件的位置由——keyring_file_data
选择。keyring_okv
:keyring_okv
使用插件,这意味着主密钥由Oracle密钥库(OKV)管理;密钥库端点目录的位置由——keyring_okv_conf_dir
选择。
属性的回拷和应用日志操作、回拷操作必须指定此选项
——generate-new-master-key
选项和脱机备份。对于在线备份,服务器上的keyring插件设置将覆盖此选项设置的值。 -
命令行格式 ——keyring_file_data =路径
类型 文件名称 (仅适用于MySQL企业备份4.1.0,或MySQL企业备份4.1.1与MySQL 5.7.20及更早版本)密匙环文件路径。当选项
——密匙环
有价值keyring_file
.对于在线备份,使用——keyring_file_data
服务器上的设置将覆盖此选项设置的值。 -
命令行格式 ——keyring_okv_conf_dir =路径
类型 目录名称 (仅适用于MySQL企业备份4.1.0,或MySQL企业备份4.1.1与MySQL 5.7.20及更早版本)Oracle密钥库(OKV)端点目录的路径。当选项
——密匙环
有价值keyring_okv
.对于在线备份,使用——keyring_okv_conf_dir
服务器上的设置将覆盖此选项设置的值。 -
命令行格式 ——encrypt-password =字符串
类型 字符串 对于MySQL企业备份4.1.0,或MySQL企业备份4.1.1与MySQL 5.7.20及更早版本:用户提供的密码mysqlbackup加密表空间的加密密钥。
对于MySQL 5.7.21及以上版本的MySQL企业备份4.1.1:用户提供的密码mysqlbackupencryption主加密密钥,用于加密InnoDB表空间的加密密钥。如果服务器正在使用
keyring_encrypted_file
插件中,随选项提供的密码必须与系统变量的值匹配keyring_encrypted_file_password
在服务器上。如果在完整备份和增量备份的序列中对不同的备份使用了不同的密码,请确保在执行命令时提供用于创建单个备份的密码运用原木
,apply-incremental-backup
,或copy-back-and-apply-log
用它来操作。当备份服务器时,该选项必须使用,该服务器启用了keyring插件来加密InnoDB表,并且恢复包含加密InnoDB表的备份。备份时提供的相同密码,在执行
copy-back-and-apply-log
,运用原木
,或apply-incremental-backup
备份操作,或mysqlbackup在操作过程中遇到加密的InnoDB表时会出错。不希望在命令行或默认文件中提供密码的用户可以使用该选项而不指定任何值;mysqlbackup然后要求用户在操作开始前输入密码。
-
命令行格式 ——generate-new-master-key
(仅适用于MySQL企业备份4.1.0,或MySQL企业备份4.1.1与MySQL 5.7.20及更早版本)生成新的主密钥。在恢复过程中,当使用该选项时,mysqlbackup生成一个新的主密钥并使用它重新加密所有表空间密钥。使用
——generate-new-master-key
选项时,——密匙环
选项,以及——keyring_file_data
选项(当——密匙环
=keyring_file
)或——keyring_okv_conf_dir
选项(当——密匙环
=keyring_okv
),以便mysqlbackup可以访问密匙环。