Apache DevLake 集成 Azure MySQL 灵活服务器的 SSL 证书配置指南

背景介绍

在云原生应用部署中，Apache DevLake 作为开源的数据湖平台，经常需要与云数据库服务进行集成。当使用 Azure MySQL 灵活服务器时，由于其默认启用了安全传输要求（require_secure_transport=ON），传统的非加密连接方式会导致连接失败。

问题分析

在 Helm 部署 DevLake 时，如果配置了外部 MySQL 服务（如 Azure MySQL），系统会抛出错误代码 3159，提示"Connections using insecure transport are prohibited"。这是因为 Azure MySQL 强制要求使用 SSL/TLS 加密连接，而默认的 Helm 配置中缺少相应的证书配置。

解决方案

核心解决思路

通过 Helm 的 postRenderers 功能，在部署时动态修改 Kubernetes 部署描述，将 SSL 证书以 Secret 形式挂载到容器中。这种方法既保持了部署的灵活性，又满足了安全要求。

具体实施步骤

1. 准备证书 Secret 首先需要将 DigiCertGlobalRootCA 证书文件编码为 base64，并创建 Kubernetes Secret：

apiVersion: v1
kind: Secret
metadata:
    name: ca-cert
    namespace: devlake
type: Opaque
data:
    ca-cert.crt: <base64编码的证书内容>

建议使用 sops 等工具对 Secret 进行加密，增强安全性。

2. 配置 Helm 部署

在 Helm 安装或升级命令中，通过 postRenderers 配置证书挂载：

postRenderers:
  - kustomize:
      patches:
        - target:
            version: v1
            kind: Deployment
            name: devlake-lake
          patch: |-
            - op: add
              path: /spec/template/spec/volumes
              value: []
            - op: add
              path: /spec/template/spec/volumes/-
              value: 
                name: ca-cert
                secret:
                  secretName: ca-cert
                  namespace: devlake
            - op: add
              path: /spec/template/spec/containers/0/volumeMounts
              value: []
            - op: add
              path: /spec/template/spec/containers/0/volumeMounts/-
              value:
                name: ca-cert
                mountPath: /usr/local/share/ca-certificates/root-ca-cert
                readOnly: true
                subPath: ca-cert.crt

3. 验证配置

部署完成后，可以进入容器验证证书是否已正确挂载：

kubectl exec -it <devlake-pod> -- ls /usr/local/share/ca-certificates/root-ca-cert

技术原理

这种解决方案利用了 Kubernetes 的几个关键特性：

1. Secret 管理：将敏感证书信息存储在 Secret 中，避免直接暴露在部署文件中
2. Volume 挂载：通过 Volume 将证书挂载到容器指定目录
3. Helm 后渲染：使用 postRenderers 在不修改原始 Chart 的情况下动态调整部署配置

最佳实践建议

1. 对于生产环境，建议将证书管理纳入统一的证书管理系统
2. 定期轮换证书并更新 Secret
3. 考虑使用 Cert-Manager 等工具自动化证书管理
4. 在 CI/CD 流水线中加入证书验证步骤

总结

通过本文介绍的方法，可以有效地解决 Apache DevLake 与 Azure MySQL 灵活服务器集成时的 SSL 连接问题。这种方案不仅适用于当前场景，其原理也可以推广到其他需要自定义证书的云服务集成场景中。随着云原生安全要求的不断提高，掌握这类证书管理技术将成为 DevOps 工程师的必备技能。