当前位置：首页 > news >正文

TDengine 安全部署配置建议

news 来源：原创 2025/7/20 19:08:58

在这里插入图片描述

背景

TDengine 的分布式、多组件特性导致 TDengine 的安全配置是生产系统中比较关注的问题。本文档旨在对 TDengine 各组件及在不同部署方式下的安全问题进行说明，并提供部署和配置建议，为用户的数据安全提供支持。

安全配置涉及组件

TDengine 包含多个组件，有：

taosd：内核组件。
taosc：客户端库。
taosAdapter：REST API 和 WebSocket 服务。
taosKeeper：监控服务组件。
taosX：数据管道和备份恢复组件。
taosxAgent：外部数据源数据接入辅助组件。
taosExplorer：Web 可视化管理界面。

与 TDengine 部署和应用相关，还会存在以下组件：

通过各种连接器接入并使用 TDengine 数据库的应用。
外部数据源：指接入 TDengine 的其他数据源，如 MQTT、OPC、Kafka 等。

各组件关系如下：

在这里插入图片描述

关于各组件的详细介绍，请参考组件介绍。

TDengine 安全设置

`taosd`

taosd 集群间使用 TCP 连接基于自有协议进行数据交换，风险较低，但传输过程不是加密的，仍有一定安全风险。

启用压缩可能对 TCP 数据混淆有帮助。

compressMsgSize：是否对 RPC 消息进行压缩，整数，可选：-1：所有消息都不压缩；0：所有消息都压缩；N (N>0)：只有大于 N 个字节的消息才压缩。

为了保证数据库操作可追溯，建议启用审计功能。

audit：审计功能开关，0 为关，1 为开。默认打开。
auditInterval：上报间隔，单位为毫秒。默认 5000。
auditCreateTable：是否针对创建子表开启申计功能。0 为关，1 为开。默认打开。

为保证数据文件安全，可启用数据库加密。

encryptAlgorithm：数据加密算法。
encryptScope：数据加密范围。

启用白名单可限制访问地址，进一步增强私密性。

enableWhiteList：白名单功能开关，0 为关，1 为开；默认关闭。

`taosc`

用户和其他组件与 taosd 之间使用原生客户端库（taosc）和自有协议进行连接，数据安全风险较低，但传输过程仍然不是加密的，有一定安全风险。

`taosAdapter`

taosadapter 与 taosd 之间使用原生客户端库（taosc）和自有协议进行连接，同样支持 RPC 消息压缩，不会造成数据安全问题。

应用和其他组件通过各语言连接器与 taosadapter 进行连接。默认情况下，连接是基于 HTTP 1.1 且不加密的。要保证 taosadapter 与其他组件之间的数据传输安全，需要配置 SSL 加密连接。在 /etc/taos/taosadapter.toml 配置文件中修改如下配置：

[ssl]
enable = true
certFile = "/path/to/certificate-file"
keyFile = "/path/to/private-key"

在连接器中配置 HTTPS/SSL 访问方式，完成加密访问。

为进一步增强安全性，可启用白名单功能，在 taosd 中配置，对 taosdapter 组件同样生效。

`taosX`

taosX 对外包括 REST API 接口和 gRPC 接口，其中 gRPC 接口用于 taos-agent 连接。

REST API 接口是基于 HTTP 1.1 且不加密的，有安全风险。
gRPC 接口基于 HTTP 2 且不加密，有安全风险。

为了保证数据安全，建议 taosX API 接口仅限内部访问。在 /etc/taos/taosx.toml 配置文件中修改如下配置：

[serve]
listen = "127.0.0.1:6050"
grpc = "127.0.0.1:6055"

从 TDengine 3.3.6.0 开始，taosX 支持 HTTPS 连接，在 /etc/taos/taosx.toml 文件中添加如下配置：

[serve]
ssl_cert = "/path/to/server.pem"
ssl_key =  "/path/to/server.key"
ssl_ca =   "/path/to/ca.pem"

并在 Explorer 中修改 API 地址为 HTTPS 连接：

# taosX API 本地连接
x_api = "https://127.0.01:6050"
# Public IP 或者域名地址
grpc = "https://public.domain.name:6055"

`taosExplorer`

与 taosAdapter 组件相似，taosExplorer 组件提供 HTTP 服务对外访问。在 /etc/taos/explorer.toml 配置文件中修改如下配置：

[ssl]
# SSL certificate file
certificate = "/path/to/ca.file"# SSL certificate private key
certificate_key = "/path/to/key.file"

之后，使用 HTTPS 进行 Explorer 访问，如 https://192.168.12.34 。

`taosxAgent`

taosX 启用 HTTPS 后，Agent 组件与 taosx 之间使用 HTTP 2 加密连接，使用 Arrow-Flight RPC 进行数据交换，传输内容是二进制格式，且仅注册过的 Agent 连接有效，保障数据安全。

建议在不安全网络或公共网络环境下的 Agent 服务，始终开启 HTTPS 连接。

`taosKeeper`

taosKeeper 使用 WebSocket 连接与 taosadpater 通信，将其他组件上报的监控信息写入 TDengine。

taosKeeper 当前版本存在安全风险：

监控地址不可限制在本机，默认监控所有地址的 6043 端口，存在网络攻击风险。使用 Docker 或 Kubernetes 部署不暴露 taosKeeper 端口时，此风险可忽略。
配置文件中配置明文密码，需要降低配置文件可见性。在 /etc/taos/taoskeeper.toml 中存在：

[tdengine]
host = "localhost"
port = 6041
username = "root"
password = "taosdata"
usessl = false

安全增强

我们建议使用在局域网内部使用 TDengine。

如果必须在局域网外部提供访问，请考虑添加以下配置：

负载均衡

使用负载均衡对外提供 taosAdapter 服务。

以 Nginx 为例，配置多节点负载均衡：

http {server {listen 6041;location / {proxy_pass http://websocket;# Headers for websocket compatibleproxy_http_version 1.1;proxy_set_header Upgrade $http_upgrade;proxy_set_header Connection $connection_upgrade;# Forwarded headersproxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;proxy_set_header X-Forwarded-Host $host;proxy_set_header X-Forwarded-Port $server_port;proxy_set_header X-Forwarded-Server $hostname;proxy_set_header X-Real-IP $remote_addr;}}upstream websocket {server 192.168.11.61:6041;server 192.168.11.62:6041;server 192.168.11.63:6041;}
}

如果 taosAdapter 组件未配置 SSL 安全连接，还需要配置 SSL 才能保证安全访问。SSL 可以配置在更上层的 API Gateway，也可以配置在 Nginx 中；如果你对各组件之间的安全性有更强的要求，您可以在所有组件中都配置 SSL。Nginx 配置如下：

http {server {listen 443 ssl;ssl_certificate /path/to/your/certificate.crt;ssl_certificate_key /path/to/your/private.key;}
}

安全网关

在现在互联网生产系统中，安全网关使用也很普遍。traefik 是一个很好的开源选择，我们以 traefik 为例，解释在 API 网关中的安全配置。

Traefik 中通过 middleware 中间件提供多种安全配置，包括：

认证（Authentication）：Traefik 提供 BasicAuth、DigestAuth、自定义认证中间件、OAuth 2.0 等多种认证方式。
IP 白名单（IPWhitelist）：限制允许访问的客户端 IP。
频率限制（RateLimit）：控制发送到服务的请求数。
自定义 Headers：通过自定义 Headers 添加 allowedHosts 等配置，提高安全性。

一个常见的中间件示例如下：

labels:- "traefik.enable=true"- "traefik.http.routers.tdengine.rule=Host(`api.tdengine.example.com`)"- "traefik.http.routers.tdengine.entrypoints=https"- "traefik.http.routers.tdengine.tls.certresolver=default"- "traefik.http.routers.tdengine.service=tdengine"- "traefik.http.services.tdengine.loadbalancer.server.port=6041"- "traefik.http.middlewares.redirect-to-https.redirectscheme.scheme=https"- "traefik.http.middlewares.check-header.headers.customrequestheaders.X-Secret-Header=SecretValue"- "traefik.http.middlewares.check-header.headers.customresponseheaders.X-Header-Check=true"- "traefik.http.middlewares.tdengine-ipwhitelist.ipwhitelist.sourcerange=127.0.0.1/32, 192.168.1.7"- "traefik.http.routers.tdengine.middlewares=redirect-to-https,check-header,tdengine-ipwhitelist"

上面的示例完成以下配置：

TLS 认证使用 default 配置，这个配置可使用配置文件或 traefik 启动参数中配置，如下：

traefik:
image: "traefik:v2.3.2"
hostname: "traefik"
networks:
- traefik
command:
- "--log.level=INFO"
- "--api.insecure=true"
- "--providers.docker=true"
- "--providers.docker.exposedbydefault=false"
- "--providers.docker.swarmmode=true"
- "--providers.docker.network=traefik"
- "--providers.docker.watch=true"
- "--entrypoints.http.address=:80"
- "--entrypoints.https.address=:443"
- "--certificatesresolvers.default.acme.dnschallenge=true"
- "--certificatesresolvers.default.acme.dnschallenge.provider=alidns"
- "--certificatesresolvers.default.acme.dnschallenge.resolvers=ns1.alidns.com"
- "--certificatesresolvers.default.acme.email=linhehuo@gmail.com"
- "--certificatesresolvers.default.acme.storage=/letsencrypt/acme.json"

上面的启动参数配置了 default TSL 证书解析器和自动 acme 认证（自动证书申请和延期）。

中间件 redirect-to-https：配置从 HTTP 到 HTTPS 的转发，强制使用安全连接。
```
- "traefik.http.middlewares.redirect-to-https.redirectscheme.scheme=https"
```
中间件 check-header：配置自定义 Headers 检查。外部访问必须添加自定义 Header 并匹配 Header 值，避免非法访问。这在提供 API 访问时是一个非常简单有效的安全机制。
中间件 tdengine-ipwhitelist：配置 IP 白名单。仅允许指定 IP 访问，使用 CIDR 路由规则进行匹配，可以设置内网及外网 IP 地址。

总结

数据安全是 TDengine 产品的一项关键指标，这些措施旨在保护 TDengine 部署免受未经授权的访问和数据泄露，同时保持性能和功能。但 TDengine 自身的安全配置不是生产中的唯一保障，结合用户业务系统制定更加匹配客户需求的解决方案更加重要。

背景

安全配置涉及组件

TDengine 安全设置

taosd

taosc

taosAdapter

taosX

taosExplorer

taosxAgent

taosKeeper