安德烈亚斯·舍尔鲍姆:Percona透明数据加密(TDE)性能测试
💡
原文英文,约1300词,阅读约需5分钟。
📝
内容提要
本文比较了Percona的pg_tde扩展与未修改的PostgreSQL性能。pg_tde提供数据页和WAL文件加密,性能影响可测但不大,加密WAL的性能影响约为20%。pg_tde使用OpenSSL加密,操作简单,但需使用Percona PostgreSQL包。目前,TDE尚未成为PostgreSQL的核心功能。
🎯
关键要点
- 本文比较了Percona的pg_tde扩展与未修改的PostgreSQL性能。
- pg_tde提供数据页和WAL文件加密,性能影响可测但不大。
- 加密WAL的性能影响约为20%。
- pg_tde使用OpenSSL加密,操作简单,但需使用Percona PostgreSQL包。
- TDE尚未成为PostgreSQL的核心功能。
- 透明数据加密(TDE)保护存储在数据库中的敏感数据。
- PostgreSQL支持加密连接,但没有内置的数据库存储加密功能。
- pgcrypto扩展提供基本的加密支持,但处理复杂且无法安全索引。
- 加密和解密是CPU密集型操作,会增加额外的CPU开销。
- 测试使用pgbench,进行多种测试,包括选择模式和读写模式。
- pg_tde的性能与原生PostgreSQL几乎相同,差异微乎其微。
- WAL加密在重读/写测试中可测量的开销可达20%。
- 使用pg_tde需要使用Percona PostgreSQL包,无法在未修改的PostgreSQL中使用。
- 密钥管理可以通过本地密钥或密钥管理存储进行,后者更安全。
- pg_tde的使用与常规PostgreSQL数据库相似。
- 短期内TDE不太可能成为PostgreSQL的核心功能,但对合规性需求较高。
- Percona对测试过程没有影响,测试结果由我自主决定。
➡️
