openGauss TDE 透明加密常见问题解答

根据您提出的关于 openGauss 数据库中 TDE（Transparent Data Encryption，透明数据加密） 的三个核心问题，结合所提供的知识库信息，现做出如下详细解答：

1. openGauss 使用 TDE 加密的密钥管理服务只能是华为云 KMS 吗？有没有其他的？

主要支持华为云 KMS，其他 KMS 服务需接口兼容才可能支持。

根据官方文档和知识库内容：

• openGauss 5.0 实现了与 华为云 KMS（Key Management Service） 的对接，TDE 功能依赖该服务提供加密所需的主密钥。
• 要开启 TDE，用户必须先在 华为云数据加密服务（DEW） 中申请并开通 KMS 服务，获取 36 位的 tde_cmk_id（客户主密钥 ID）。
• 在参数配置阶段，需要通过 gs_guc 工具将 tde_cmk_id 设置为华为云 KMS 返回的 UUID。
• 混合云场景下，如果使用 华为云 KMS 和其管控面功能，则可以支持 TDE；若使用其他厂商的 KMS 服务，前提是其接口必须与华为云 KMS 兼容，否则 无法支持。

结论：当前版本（如 openGauss 5.0）默认且主要依赖华为云 KMS。虽然理论上兼容接口的第三方 KMS 可能可用，但非标准支持，实际使用中强烈建议采用华为云 KMS。

2. 是否测试过开启 TDE 加密后，插入、查询等操作的性能损耗大概是多少？

知识库中未提供具体的性能损耗数据。

尽管 openGauss 的 TDE 功能在架构上被设计为对应用透明（即应用程序无需修改），但加密/解密操作必然带来一定的性能开销，尤其是在 I/O 密集型场景下：

• TDE 是“表级透明加密”，在数据写入磁盘前加密，读取到内存时解密，这一过程发生在 存储层（Storage Layer） 和 缓冲池（Buffer Pool） 之间。
• 加密算法支持 AES_128_CTR 和 SM4_CTR，其中 SM4 为国密算法，计算复杂度相对较高，可能带来更高 CPU 开销。
• 虽然 openGauss 采用内核级集成和优化（如 CodeGen 技术），但 现有资料未明确量化开启 TDE 后的 TPC-C、插入/查询延迟等性能指标的具体损耗百分比。

建议：对于性能敏感的生产环境，应在实际业务负载下进行压测对比，评估开启 TDE 前后的性能差异，尤其是在高并发写入或大数据量扫描的场景中。

3. 开启 TDE 加密后进行物理备份恢复，除了备份主密钥外是否需要其他额外操作？

需要特别注意：跨区域场景不支持，且恢复时必须确保 KMS 服务可用。

根据规格约束和 TDE 工作机制：

• 必须备份并妥善保管主密钥（即 tde_cmk_id），因为它是解密数据的唯一途径。丢失主密钥将导致数据永久无法恢复。
• 跨 region 的备份恢复不受支持：文档明确指出 “不支持跨 region 的备份恢复”。这意味着：
  • 若备份在 Region A，恢复操作也必须在同一 region 内进行。
  • 恢复目标环境必须能够访问到生成备份时所用的 KMS 服务及主密钥。
• 物理备份工具（如 gs_backup、gs_dump）会备份加密后的数据页，但 不会包含 KMS 中的密钥材料，因此恢复时必须保证：
  1. KMS 服务正常运行；
  2. 主密钥未被删除或禁用；
  3. 数据库配置中正确设置 tde_cmk_id。

操作建议：

• 定期备份并安全存档 tde_cmk_id。
• 确保 KMS 服务具备高可用和灾备能力。
• 避免在不同 region 间进行物理备份与恢复操作。

总结

如需进一步操作指导，可参考 openGauss 官方文档 或访问 openGauss 社区论坛 获取更多实践案例。