Apache DevLake 集成 Azure MySQL 灵活服务器的 SSL 证书配置实践

在云原生应用部署过程中，Apache DevLake 与 Azure MySQL 灵活服务器的集成是一个常见场景。当 MySQL 服务器启用了强制安全传输（require_secure_transport=ON）时，传统的非加密连接方式会被拒绝，这要求我们必须正确处理 SSL/TLS 证书配置。

问题背景

Azure MySQL 灵活服务器默认启用了安全传输要求，这意味着任何客户端连接都必须使用 SSL/TLS 加密。当尝试通过 Helm 部署 DevLake 并连接这类 MySQL 实例时，系统会抛出错误代码 3159（HY000），提示"Connections using insecure transport are prohibited"。

解决方案

核心思路

解决这个问题的关键在于将 DigiCertGlobalRootCA 证书正确地注入到 DevLake 容器的可信证书存储中。我们通过以下两种方式实现：

1. 环境变量注入法
   通过 Helm 的 lake.dotenv 参数设置 SSL_CERT_FILE 环境变量，直接指定证书路径。这种方法简单直接，适合证书已预先部署在节点上的场景。

2. Kustomize 补丁法
   更推荐使用 Helm 的 postRenderers 功能结合 Kustomize 进行动态配置。这种方法可以：

   • 通过 Secret 资源安全地管理证书
   • 将证书挂载到容器的标准 CA 证书目录
   • 保持部署的声明式和可重复性

实施步骤

证书准备

首先需要将 DigiCertGlobalRootCA.crt.pem 证书编码为 Base64，并创建 Kubernetes Secret：

apiVersion: v1
kind: Secret
metadata:
  name: ca-cert
  namespace: devlake
type: Opaque
data:
  ca-cert.crt: <BASE64编码的证书内容>

Helm 配置

在 Helm values.yaml 或安装命令中添加以下配置：

postRenderers:
  - kustomize:
      patches:
        - target:
            version: v1
            kind: Deployment
            name: devlake-lake
          patch: |-
            - op: add
              path: /spec/template/spec/volumes
              value: []
            - op: add
              path: /spec/template/spec/volumes/-
              value: 
                name: ca-cert
                secret:
                  secretName: ca-cert
            - op: add
              path: /spec/template/spec/containers/0/volumeMounts
              value: []
            - op: add
              path: /spec/template/spec/containers/0/volumeMounts/-
              value:
                name: ca-cert
                mountPath: /usr/local/share/ca-certificates
                readOnly: true

MySQL 连接配置

确保 DB_URL 使用正确的 SSL 参数：

mysql://user:password@host:3306/dbname?tls=true&ssl-mode=REQUIRED

技术要点解析

1. 证书挂载位置
   Linux 系统通常会在 /usr/local/share/ca-certificates/ 目录下查找额外的 CA 证书。将证书挂载到此位置后，系统会自动将其加入信任链。

2. 安全考虑

   • 使用 Kubernetes Secret 而非 ConfigMap 存储证书
   • 设置 readOnly: true 确保安全性
   • 建议配合 SOPS 等工具对 Secret 进行加密

3. 连接参数优化
   除了基本的 tls=true 参数，还可以根据网络环境调整：

   • ssl-mode=VERIFY_CA 进行更严格的验证
   • 设置连接超时等参数

验证方法

部署完成后，可以通过以下方式验证：

1. 进入 DevLake 容器执行：

openssl s_client -connect <mysql-host>:3306 -CAfile /usr/local/share/ca-certificates/ca-cert.crt

2. 检查 DevLake 日志中是否仍有 SSL 相关错误

总结

通过这种证书注入方式，我们不仅解决了 Azure MySQL 的安全连接问题，还建立了一个可扩展的安全通信框架。这种方法同样适用于其他需要自定义 CA 证书的场景，如内部服务间的 mTLS 认证等。在实际生产环境中，建议将证书管理纳入统一的证书生命周期管理流程，确保证书的及时更新和轮换。

对于更复杂的场景，还可以考虑使用 Service Mesh 或专门的证书管理 Operator 来简化证书的分配和管理工作。