Delta-rs项目处理自签名S3证书的配置指南

在使用Delta-rs项目连接自托管S3对象存储时，经常会遇到自签名SSL证书导致的连接问题。本文将详细介绍如何正确配置Delta-rs以支持自签名证书的S3存储服务。

问题背景

当使用Delta-rs连接自托管的S3兼容存储服务（如分布式文件系统）时，如果该服务使用了自签名SSL证书，默认情况下Delta-rs会拒绝连接，导致读写操作失败。这是因为Delta-rs底层使用Rust的object_store库，该库默认会验证SSL证书的有效性。

解决方案

通过配置storage_options参数中的allow_invalid_certificates选项，可以绕过SSL证书验证。以下是完整的配置示例：

storage_options = {
    "endpoint_url": "https://your.s3.endpoint.com/",
    "aws_access_key_id": "your_access_key",
    "aws_secret_access_key": "your_secret_key",
    "aws_region": "us-east-1",  # 即使使用自托管S3也需要指定区域
    "allow_invalid_certificates": "true"  # 关键配置项
}

配置说明

1. endpoint_url：指定S3服务的完整URL地址
2. 认证信息：提供访问S3所需的access key和secret key
3. 区域设置：虽然自托管S3可能不需要特定区域，但Delta-rs要求此参数以避免警告
4. 证书验证：allow_invalid_certificates设置为"true"将禁用SSL证书验证

安全注意事项

虽然禁用证书验证可以解决连接问题，但这会降低连接的安全性，使系统容易受到中间人攻击。在生产环境中，建议：

1. 为自托管S3服务配置有效的SSL证书
2. 如果必须使用自签名证书，可以考虑将证书添加到系统的信任库
3. 仅在开发和测试环境中使用此配置

其他兼容性提示

Delta-rs的S3连接配置与其他工具（如rclone或fsspec）有所不同：

• rclone使用--no-check-certificate参数
• fsspec使用client_kwargs={'verify':False}配置

理解这些差异有助于在不同工具间迁移配置时减少困惑。

通过以上配置，开发者可以顺利地在使用自签名证书的S3兼容存储上使用Delta-rs进行数据操作。