Apache DevLake 集成 Azure MySQL 灵活服务器的 SSL 证书配置实践

2025-06-30 01:08:22作者：咎竹峻Karen

Apache DevLake is an open-source dev data platform to ingest, analyze, and visualize the fragmented data from DevOps tools, extracting insights for engineering excellence, developer experience, and community growth.

项目地址：https://gitcode.com/gh_mirrors/in/incubator-devlake

在云原生应用部署过程中，Apache DevLake 与 Azure MySQL 灵活服务器的集成是一个常见场景。当 MySQL 服务器启用了强制安全传输（require_secure_transport=ON）时，传统的非加密连接方式会被拒绝，这要求我们必须正确处理 SSL/TLS 证书配置。

问题背景

Azure MySQL 灵活服务器默认启用了安全传输要求，这意味着任何客户端连接都必须使用 SSL/TLS 加密。当尝试通过 Helm 部署 DevLake 并连接这类 MySQL 实例时，系统会抛出错误代码 3159（HY000），提示"Connections using insecure transport are prohibited"。

解决方案

核心思路

解决这个问题的关键在于将 DigiCertGlobalRootCA 证书正确地注入到 DevLake 容器的可信证书存储中。我们通过以下两种方式实现：

环境变量注入法
通过 Helm 的 lake.dotenv 参数设置 SSL_CERT_FILE 环境变量，直接指定证书路径。这种方法简单直接，适合证书已预先部署在节点上的场景。
Kustomize 补丁法
更推荐使用 Helm 的 postRenderers 功能结合 Kustomize 进行动态配置。这种方法可以：
- 通过 Secret 资源安全地管理证书
- 将证书挂载到容器的标准 CA 证书目录
- 保持部署的声明式和可重复性

实施步骤

证书准备

首先需要将 DigiCertGlobalRootCA.crt.pem 证书编码为 Base64，并创建 Kubernetes Secret：

apiVersion: v1
kind: Secret
metadata:
  name: ca-cert
  namespace: devlake
type: Opaque
data:
  ca-cert.crt: <BASE64编码的证书内容>

Helm 配置

在 Helm values.yaml 或安装命令中添加以下配置：

postRenderers:
  - kustomize:
      patches:
        - target:
            version: v1
            kind: Deployment
            name: devlake-lake
          patch: |-
            - op: add
              path: /spec/template/spec/volumes
              value: []
            - op: add
              path: /spec/template/spec/volumes/-
              value: 
                name: ca-cert
                secret:
                  secretName: ca-cert
            - op: add
              path: /spec/template/spec/containers/0/volumeMounts
              value: []
            - op: add
              path: /spec/template/spec/containers/0/volumeMounts/-
              value:
                name: ca-cert
                mountPath: /usr/local/share/ca-certificates
                readOnly: true

MySQL 连接配置

确保 DB_URL 使用正确的 SSL 参数：

mysql://user:password@host:3306/dbname?tls=true&ssl-mode=REQUIRED

技术要点解析

证书挂载位置
Linux 系统通常会在 /usr/local/share/ca-certificates/ 目录下查找额外的 CA 证书。将证书挂载到此位置后，系统会自动将其加入信任链。
安全考虑
- 使用 Kubernetes Secret 而非 ConfigMap 存储证书
- 设置 readOnly: true 确保安全性
- 建议配合 SOPS 等工具对 Secret 进行加密
连接参数优化
除了基本的 tls=true 参数，还可以根据网络环境调整：
- ssl-mode=VERIFY_CA 进行更严格的验证
- 设置连接超时等参数

验证方法

部署完成后，可以通过以下方式验证：

进入 DevLake 容器执行：

openssl s_client -connect <mysql-host>:3306 -CAfile /usr/local/share/ca-certificates/ca-cert.crt

检查 DevLake 日志中是否仍有 SSL 相关错误

总结

通过这种证书注入方式，我们不仅解决了 Azure MySQL 的安全连接问题，还建立了一个可扩展的安全通信框架。这种方法同样适用于其他需要自定义 CA 证书的场景，如内部服务间的 mTLS 认证等。在实际生产环境中，建议将证书管理纳入统一的证书生命周期管理流程，确保证书的及时更新和轮换。

对于更复杂的场景，还可以考虑使用 Service Mesh 或专门的证书管理 Operator 来简化证书的分配和管理工作。

incubator-devlake

项目地址：https://gitcode.com/gh_mirrors/in/incubator-devlake

登录后查看全文

项目优选

收起

kernel

deepin linux kernel

atomcode

Claude Code 的开源替代方案。连接任意大模型，编辑代码，运行命令，自动验证 — 全自动执行。用 Rust 构建，极致性能。｜ An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed. Get Started

本项目是CANN提供的数学类基础计算算子库，实现网络在NPU上加速计算。

🎉 (RuoYi)官方仓库基于SpringBoot，Spring Security，JWT，Vue3 & Vite、Element Plus 的前后端分离权限管理系统

Ascend Extension for PyTorch

openEuler内核是openEuler操作系统的核心，既是系统性能与稳定性的基石，也是连接处理器、设备与服务的桥梁。

413

339

cherry-studio

🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端

Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台，包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分，采用java语言实现，可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用

Java