本文目录#
证书轮换挑战#
数据库 TLS 证书过期会导致业务中断。通过混沌演练模拟证书轮换过程,可以验证应用是否支持新证书、是否具备自动刷新能力。
演练步骤#
- 准备即将过期与更新后的证书;
- 在影子环境切换数据库端证书;
- 观察连接池是否自动重连,业务是否正常;
- 在生产执行滚动替换,并监控连接错误率。
自检清单#
- 是否在客户端配置证书刷新逻辑(如 HikariCP
VALIDATION_TIMEOUT)? - 是否有自动化脚本检查证书有效期并提醒?
- 是否建立证书轮换 Runbook 与回退方案?
参考资料#
- PostgreSQL TLS 配置:https://www.postgresql.org/docs/current/libpq-ssl.html
- MySQL SSL 指南:https://dev.mysql.com/doc/refman/8.0/en/using-ssl-connections.html
- Google SRE SSL 轮换经验
本作品系原创,采用知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议进行许可,转载请注明出处。