MySQL8 中文参考（二十九）（1）

原文：docs.oracle.com/javase/tutorial/reallybigindex.html

原文：dev.mysql.com/doc/refman/8.0/en/validate-password-transitioning.html

8.4.3.3 过渡到密码验证组件

注意

在 MySQL 8.0 中，validate_password插件被重新实现为validate_password组件。validate_password插件已被弃用；预计将在 MySQL 的未来版本中删除。

目前使用validate_password插件的 MySQL 安装应该过渡到使用validate_password组件。为此，请使用以下过程。该过程在卸载插件之前安装组件，以避免出现没有密码验证发生的时间窗口。（组件和插件可以同时安装。在这种情况下，服务器尝试使用组件，如果组件不可用，则退回到插件。）

1. 安装validate_password组件：

INSTALL COMPONENT 'file://component_validate_password';

1. 测试validate_password组件以确保其按预期工作。如果需要设置任何validate_password.*xxx*系统变量，可以使用SET GLOBAL在运行时执行。（必须进行的任何选项文件更改在下一步中执行。）
   
2. 调整任何引用插件系统和状态变量的引用，以引用相应的组件系统和状态变量。假设以前您使用类似于以下选项文件在启动时配置插件：

[mysqld]
validate-password=FORCE_PLUS_PERMANENT
validate_password_dictionary_file=/usr/share/dict/words
validate_password_length=10
validate_password_number_count=2

1. 那些设置适用于插件，但必须修改以适用于组件。要调整选项文件，请省略--validate-password选项（仅适用于插件，而不是组件），并将系统变量引用从适用于插件的无点名称修改为适用于组件的有点名称：

[mysqld]
validate_password.dictionary_file=/usr/share/dict/words
validate_password.length=10
validate_password.number_count=2

1. 对于在运行时引用validate_password插件系统和状态变量的应用程序，需要进行类似的调整。将无点插件变量名称更改为相应的有点组件变量名称。
2. 卸载validate_password插件：

UNINSTALL PLUGIN validate_password;

1. 如果在服务器启动时使用--plugin-load或--plugin-load-add选项加载validate_password插件，请从服务器启动过程中省略该选项。例如，如果该选项在服务器选项文件中列出，请从文件中删除。
2. 重新启动服务器。
   

8.4.4 MySQL 密钥环

原文：dev.mysql.com/doc/refman/8.0/en/keyring.html

8.4.4.1 密钥环组件与密钥环插件的比较

8.4.4.2 密钥环组件安装

8.4.4.3 密钥环插件安装

8.4.4.4 使用 component_keyring_file 基于文件的密钥环组件

8.4.4.5 使用 component_keyring_encrypted_file 加密文件密钥环组件

8.4.4.6 使用 keyring_file 基于文件的密钥环插件

8.4.4.7 使用 keyring_encrypted_file 加密文件密钥环插件

8.4.4.8 使用 keyring_okv KMIP 插件

8.4.4.9 使用 keyring_aws 亚马逊 Web 服务密钥环插件

8.4.4.10 使用 HashiCorp Vault 密钥环插件

8.4.4.11 使用 Oracle Cloud 基础设施 Vault 密钥环组件

8.4.4.12 使用 Oracle Cloud 基础设施 Vault 密钥环插件

8.4.4.13 支持的密钥环密钥类型和长度

8.4.4.14 迁移密钥

8.4.4.15 通用密钥环密钥管理功能

8.4.4.16 插件特定的密钥环密钥管理功能

8.4.4.17 密钥环元数据

8.4.4.18 密钥环命令选项

8.4.4.19 密钥环系统变量

MySQL 服务器支持一个密钥环，使内部服务器组件和插件能够安全地存储敏感信息以供以后检索。该实现包括以下元素：

• 管理支持存储或与存储后端通信的密钥环组件和插件。密钥环的使用涉及从可用组件和插件中安装一个。密钥环组件和插件都管理密钥环数据，但配置不同，可能存在操作上的差异（参见第 8.4.4.1 节，“密钥环组件与密钥环插件”）。这些密钥环组件可用：

• component_keyring_file: 将密钥环数据存储在服务器主机的本地文件中。从 MySQL 8.0.24 版本开始，可在 MySQL 社区版和 MySQL 企业版发行版中使用。参见第 8.4.4.4 节，“使用 component_keyring_file 基于文件的密钥环组件”。
  
• component_keyring_encrypted_file:  将密钥环数据存储在服务器主机本地的加密、受密码保护的文件中。自 MySQL 8.0.24 起在 MySQL 企业版发行版中可用。参见  Section 8.4.4.5, “使用 component_keyring_encrypted_file 加密文件型密钥环组件”。
  
• component_keyring_oci：将密钥环数据存储在 Oracle Cloud 基础设施 Vault 中。自 MySQL 8.0.31 起在 MySQL 企业版发行版中可用。参见 Section 8.4.4.11, “使用 Oracle Cloud 基础设施 Vault 密钥环组件”。
  

• 可用的密钥环插件包括：
  

• keyring_file（自 MySQL 8.0.34 起弃用）：将密钥环数据存储在服务器主机本地的文件中。在 MySQL 社区版和 MySQL 企业版发行版中可用。参见 Section 8.4.4.6, “使用 keyring_file 文件型密钥环插件”。
  
• keyring_encrypted_file（自 MySQL 8.0.34 起弃用）：将密钥环数据存储在服务器主机本地的加密、受密码保护的文件中。在 MySQL 企业版发行版中可用。参见 Section 8.4.4.7, “使用 keyring_encrypted_file 加密文件型密钥环插件”。
  
• keyring_okv：用于与支持  KMIP 的后端密钥环存储产品（如 Oracle Key Vault 和 Gemalto SafeNet KeySecure  Appliance）一起使用的 KMIP 1.1 插件。在 MySQL 企业版发行版中可用。参见 Section 8.4.4.8, “使用  keyring_okv KMIP 插件”。
  
• keyring_aws：与亚马逊 Web 服务密钥管理服务通信，用于密钥生成并使用本地文件进行密钥存储。在 MySQL 企业版发行版中可用。参见 Section 8.4.4.9, “使用 keyring_aws 亚马逊 Web 服务密钥环插件”。
  
• keyring_hashicorp：与 HashiCorp Vault 通信，用于后端存储。自 MySQL 8.0.18 起在 MySQL 企业版发行版中可用。参见 Section 8.4.4.10, “使用 HashiCorp Vault 密钥环插件”。
  
• keyring_oci（自  MySQL 8.0.31 起弃用）：与 Oracle Cloud 基础设施 Vault 通信，用于后端存储。自 MySQL 8.0.22 起在  MySQL 企业版发行版中可用。参见 Section 8.4.4.12, “使用 Oracle Cloud 基础设施 Vault  密钥环插件”。
  

• 用于 keyring 密钥管理的 keyring 服务接口。此服务可在两个级别访问：

• SQL 接口：在 SQL 语句中，调用 Section 8.4.4.15, “General-Purpose Keyring Key-Management Functions” 中描述的函数。
  
• C 接口：在 C 语言代码中，调用 Section 7.6.9.2, “The Keyring Service” 中描述的 keyring 服务函数。
  

• 密钥元数据访问：

• Performance Schema keyring_keys 表公开了 keyring 中密钥的元数据。密钥元数据包括密钥 ID、密钥所有者和后端密钥 ID。keyring_keys 表不公开任何敏感的 keyring 数据，如密钥内容。自 MySQL 8.0.16 版本起可用。参见 Section 29.12.18.2, “The keyring_keys table”。
  
• Performance Schema keyring_component_status 表提供了关于正在使用的 keyring 组件的状态信息，如果已安装。自 MySQL 8.0.24 版本起可用。参见 Section 29.12.18.1, “The keyring_component_status Table”。
  

• 密钥迁移功能。MySQL 支持在密钥库之间迁移密钥，使得 DBA 可以将 MySQL 安装从一个密钥库切换到另一个。参见 Section 8.4.4.14, “Migrating Keys Between Keyring Keystores”。
  
• 从 MySQL 8.0.24 版本开始，keyring 插件的实现已经修订为使用组件基础架构。这是通过使用名为 daemon_keyring_proxy_plugin 的内置插件来实现的，该插件充当插件和组件服务 API 之间的桥梁。参见 Section 7.6.8, “The Keyring Proxy Bridge Plugin”。
  

警告

对于加密密钥管理，component_keyring_file 和 component_keyring_encrypted_file 组件，以及 keyring_file 和 keyring_encrypted_file 插件并不是用作合规性解决方案。诸如 PCI、FIPS 等安全标准要求使用密钥管理系统来在密钥库或硬件安全模块（HSM）中安全、管理和保护加密密钥。

在 MySQL 中，keyring 服务的消费者包括：

• InnoDB 存储引擎使用 keyring 存储其表空间加密的密钥。参见 Section 17.13, “InnoDB Data-at-Rest Encryption”。
  
• MySQL 企业审计使用密钥环存储审计日志文件加密密码。请参见加密审计日志文件。
  
• 二进制日志和中继日志管理支持基于密钥环的日志文件加密。启用日志文件加密后，密钥环存储用于加密二进制日志文件和中继日志文件密码的密钥。请参见第 19.3.2 节，“加密二进制日志文件和中继日志文件”。
  
• 解密持久化敏感系统变量的文件密钥的主密钥存储在密钥环中。MySQL 服务器实例必须启用密钥环组件以支持对持久化系统变量值进行安全存储，而不是使用不支持该功能的密钥环插件。请参见持久化敏感系统变量。
  

有关一般密钥环安装说明，请参见第 8.4.4.2 节，“密钥环组件安装”和第 8.4.4.3 节，“密钥环插件安装”。有关特定密钥环组件或插件的安装和配置信息，请参见描述该组件的部分。

有关使用密钥环函数的信息，请参见第 8.4.4.15 节，“通用密钥环密钥管理函数”。

密钥环组件、插件和函数访问提供与密钥环接口的密钥环服务。有关访问此服务和编写密钥环插件的信息，请参见第 7.6.9.2 节，“密钥环服务”和编写密钥环插件。

原文：dev.mysql.com/doc/refman/8.0/en/keyring-component-plugin-comparison.html

8.4.4.1 密钥环组件与密钥环插件

MySQL Keyring 最初使用服务器插件实现了密钥库功能，但从 MySQL 8.0.24  开始开始过渡到使用组件基础架构。本节简要比较了密钥环组件和插件，以提供它们之间差异的概述。这可能有助于您从插件过渡到组件，或者如果您刚开始使用密钥环，则有助于您选择是使用组件还是插件。

• 密钥环插件加载使用 --early-plugin-load 选项。密钥环组件加载使用清单。
  
• 密钥环插件配置基于特定于插件的系统变量。对于密钥环组件，不使用系统变量。相反，每个组件都有自己的配置文件。
  
• 与密钥环插件相比，密钥环组件在密钥类型和长度方面的限制较少。请参阅第 8.4.4.13 节，“支持的密钥环密钥类型和长度”。
  注意
  component_keyring_oci（类似于keyring_oci插件）只能生成类型为AES且大小为 16、24 或 32 字节的密钥。
  
• 密钥环组件支持对持久化系统变量值进行安全存储，而密钥环插件不支持该功能。
  必须在  MySQL  服务器实例上启用密钥环组件，以支持对持久化系统变量值进行安全存储。以这种方式可以保护的敏感数据包括出现在系统变量值中的私钥和密码等项目。在存储持久化系统变量的操作系统文件中，敏感系统变量的名称和值以加密格式存储，以及用于解密它们的生成文件密钥。生成的文件密钥又使用存储在密钥环中的主密钥进行加密。请参阅持久化敏感系统变量。
  

原文：dev.mysql.com/doc/refman/8.0/en/keyring-component-installation.html

8.4.4.2 密钥环组件安装

密钥环服务使用者要求必须安装密钥环组件或插件：

• 若要使用密钥环组件，请从这里的说明开始。
  
• 若要使用密钥环插件，请从 Section 8.4.4.3, “Keyring Plugin Installation”开始。
  
• 如果打算与所选的密钥环组件或插件一起使用密钥环函数，请在安装该组件或插件后安装这些函数，使用 Section 8.4.4.15, “General-Purpose Keyring Key-Management Functions”中的说明。
  

注意

一次只能启用一个密钥环组件或插件。启用多个密钥环组件或插件是不受支持的，结果可能不如预期。

MySQL 提供以下密钥环组件选择：

• component_keyring_file: 将密钥环数据存储在服务器主机上的文件中。在 MySQL Community Edition 和 MySQL Enterprise Edition 发行版中可用。
  
• component_keyring_encrypted_file: 将密钥环数据存储在服务器主机上的加密、受密码保护的文件中。在 MySQL Enterprise Edition 发行版中可用。
  
• component_keyring_oci: 将密钥环数据存储在 Oracle Cloud Infrastructure Vault 中。在 MySQL Enterprise Edition 发行版中可用。
  

要供服务器使用，组件库文件必须位于 MySQL 插件目录中（由 plugin_dir 系统变量命名的目录）。如有必要，在服务器启动时通过设置 plugin_dir 的值来配置插件目录位置。

必须在服务器启动序列的早期加载密钥环组件或插件，以便其他组件在它们自己的初始化过程中可以根据需要访问它。例如，InnoDB 存储引擎使用密钥环进行表空间加密，因此必须在 InnoDB 初始化之前加载并可用密钥环组件或插件。

注意

如果需要支持持久化系统变量值的安全存储，则必须在 MySQL 服务器实例上启用密钥环组件。密钥环插件不支持此功能。请参阅持久化敏感系统变量。

与密钥环插件不同，密钥环组件不是使用--early-plugin-load服务器选项加载或使用系统变量配置的。相反，服务器在启动期间使用清单确定要加载哪个密钥环组件，并且加载的组件在初始化时会查阅自己的配置文件。因此，要安装密钥环组件，您必须：

1. 编写一个清单，告诉服务器要加载哪个密钥环组件。
   
2. 为该密钥环组件编写一个配置文件。
   

安装密钥环组件的第一步是编写一个指示要加载哪个组件的清单。在启动期间，服务器会读取全局清单文件或与本地清单文件配对的全局清单文件：

• 服务器将尝试从安装服务器的目录中读取其全局清单文件。
  
• 如果全局清单文件指示使用本地清单文件，则服务器将尝试从数据目录读取其本地清单文件。
  
• 尽管全局和本地清单文件位于不同的目录中，但文件名在两个位置都是mysqld.my。
  
• 清单文件不存在并不是一个错误。在这种情况下，服务器不会尝试加载与文件相关联的任何组件。
  

本地清单文件允许为服务器的多个实例设置组件加载，以便每个服务器实例的加载指令特定于给定的数据目录实例。这使得不同的 MySQL 实例可以使用不同的密钥环组件。

服务器清单文件具有以下属性：

• 清单文件必须采用有效的 JSON 格式。
  
• 清单文件允许这些项：

• "read_local_manifest"：此项仅允许在全局清单文件中。如果该项不存在，则服务器仅使用全局清单文件。如果该项存在，则其值为true或false，指示服务器是否应从本地清单文件中读取组件加载信息。如果全局清单文件中存在"read_local_manifest"项以及其他项，则服务器首先检查"read_local_manifest"项的值：

• 如果值为false，服务器将处理全局清单文件中的其他项，并忽略本地清单文件。
  
• 如果值为true，服务器将忽略全局清单文件中的其他项，并尝试读取本地清单文件。
  

• "components"：此项指示要加载的组件。该项值是一个字符串，指定一个有效的组件 URN，例如"file://component_keyring_file"。组件 URN 以file://开头，并指示位于 MySQL 插件目录中实现组件的库文件的基本名称。
  

• 服务器对清单文件的访问权限应为只读。例如，mysqld.my服务器清单文件可能由root拥有，并对root读/写，但对用于运行 MySQL 服务器的帐户应为只读。如果在启动期间发现清单文件对该帐户为读/写，则服务器会向错误日志写入警告，建议将文件设置为只读。
  
• 数据库管理员有责任创建要使用的任何清单文件，并确保它们的访问模式和内容正确。如果发生错误，服务器启动将失败，管理员必须根据服务器错误日志中的诊断信息纠正任何问题。
  

根据前面的清单文件属性，要配置服务器以加载component_keyring_file，请在mysqld安装目录中创建一个名为mysqld.my的全局清单文件，并在数据目录中可选地创建一个名为mysqld.my的本地清单文件。以下说明描述了如何加载component_keyring_file。要加载不同的密钥环组件，请用其名称替换component_keyring_file。

• 仅使用全局清单文件时，文件内容如下所示：

{
  "components": "file://component_keyring_file"
}

• 在mysqld安装的目录中创建此文件。
• 或者，要使用全局和本地清单文件对，全局文件如下所示：

{
  "read_local_manifest": true
}

• 在mysqld安装的目录中创建此文件。
  本地文件如下所示：

{
  "components": "file://component_keyring_file"
}

• 在数据目录中创建此文件。

有了清单后，继续配置密钥环组件。要做到这一点，请查看您选择的密钥环组件的说明，以获取特定于该组件的配置说明：

• component_keyring_file: 第 8.4.4.4 节，“使用基于文件的 component_keyring_file 密钥环组件”。
  
• component_keyring_encrypted_file: 第 8.4.4.5 节，“使用基于文件的 component_keyring_encrypted_file 加密密钥环组件”。
  
• component_keyring_oci: 第 8.4.4.11 节，“使用 Oracle Cloud 基础设施 Vault 密钥环组件”。
  

执行任何特定于组件的配置后，启动服务器。通过检查性能模式keyring_component_status表来验证组件安装：

mysql> SELECT * FROM performance_schema.keyring_component_status;
+---------------------+-------------------------------------------------+
| STATUS_KEY          | STATUS_VALUE                                    |
+---------------------+-------------------------------------------------+
| Component_name      | component_keyring_file                          |
| Author              | Oracle Corporation                              |
| License             | GPL                                             |
| Implementation_name | component_keyring_file                          |
| Version             | 1.0                                             |
| Component_status    | Active                                          |
| Data_file           | /usr/local/mysql/keyring/component_keyring_file |
| Read_only           | No                                              |
+---------------------+-------------------------------------------------+

Component_status值为Active表示组件初始化成功。

如果组件无法加载，服务器启动将失败。检查服务器错误日志以获取诊断信息。如果组件加载但由于配置问题而无法初始化，服务器将启动，但Component_status值为Disabled。检查服务器错误日志，纠正配置问题，并使用ALTER INSTANCE RELOAD KEYRING语句重新加载配置。

密钥环组件应该只能通过使用清单文件加载，而不是使用INSTALL COMPONENT语句加载。使用该语句加载的密钥环组件可能在服务器启动序列中的某些组件需要使用密钥环时太晚可用，比如InnoDB，因为它们在mysql.component系统表中注册并在后续服务器重启时自动加载。但mysql.component是一个InnoDB表，因此在InnoDB初始化后才能在启动时加载任何在其中命名的组件。

如果组件尝试访问密钥环服务时没有可用的密钥环组件或插件，该服务将无法被该组件使用。因此，该组件可能无法初始化或以有限功能初始化。例如，如果InnoDB在初始化时发现有加密表空间，它会尝试访问密钥环。如果密钥环不可用，InnoDB只能访问未加密的表空间。

原文：dev.mysql.com/doc/refman/8.0/en/keyring-plugin-installation.html

8.4.4.3 Keyring Plugin Installation

Keyring 服务的使用者要求安装一个 keyring 组件或插件：

• 若要使用 keyring 插件，请从这里的说明开始。（此外，有关安装插件的一般信��，请参见 Section 7.6.1, “Installing and Uninstalling Plugins”。)
  
• 若要使用 keyring 组件，请从 Section 8.4.4.2, “Keyring Component Installation”开始。
  
• 如果您打算与所选的  keyring 组件或插件一起使用 keyring 函数，请在安装该组件或插件后安装函数，使用 Section 8.4.4.15,  “General-Purpose Keyring Key-Management Functions”中的说明。
  

注意

一次只能启用一个 keyring 组件或插件。不支持启用多个 keyring 组件或插件，结果可能不如预期。

如果您需要支持持久化系统变量值的安全存储，而不是支持该功能的 keyring 插件，则必须在 MySQL Server 实例上启用 keyring 组件。请参阅 Persisting Sensitive System Variables。

MySQL 提供以下 keyring 插件选择：

• keyring_file（自 MySQL 8.0.34 起已弃用）：将 keyring  数据存储在服务器主机本地的文件中。在 MySQL Community Edition 和 MySQL Enterprise Edition  发行版中可用。有关安装替代此插件的组件的说明，请参见 Section 8.4.4.2, “Keyring Component  Installation”。
  
• keyring_encrypted_file（自  MySQL 8.0.34 起已弃用）：将 keyring 数据存储在服务器主机本地的加密、受密码保护的文件中。仅在 MySQL  Enterprise Edition 发行版中可用。有关安装替代此插件的组件的说明，请参见 Section 8.4.4.2, “Keyring  Component Installation”。
  
• keyring_okv：用于与  KMIP 兼容的后端 keyring 存储产品（如 Oracle Key Vault 和 Gemalto SafeNet KeySecure  Appliance）一起使用的 KMIP 1.1 插件。仅在 MySQL Enterprise Edition 发行版中可用。
  
• keyring_aws：与亚马逊 Web 服务密钥管理服务通信，用于密钥生成的后端，并使用本地文件进行密钥存储。仅在 MySQL Enterprise Edition 发行版中可用。
  
• keyring_hashicorp：与 HashiCorp Vault 通信，用于后端存储。仅在 MySQL Enterprise Edition 发行版中可用。
  
• keyring_oci（自 MySQL 8.0.31 起已弃用）：与 Oracle Cloud 基础设施 Vault 进行后端存储通信。请参阅第 8.4.4.12 节，“使用 Oracle Cloud 基础设施 Vault 密钥环插件”。
  

要让服务器能够使用插件库文件，插件库文件必须位于 MySQL 插件目录中（由plugin_dir系统变量命名的目录）。如果需要，通过在服务器启动时设置plugin_dir的值来配置插件目录位置。

密钥环组件或插件必须在服务器启动序列的早期加载，以便其他组件在其自身初始化期间根据需要访问它。例如，InnoDB 存储引擎使用密钥环进行表空间加密，因此必须在 InnoDB 初始化之前加载并可用密钥环组件或插件。

每个密钥环插件的安装方式类似。以下说明描述了如何安装keyring_file。要使用不同的密钥环插件，请将其名称替换为keyring_file。

keyring_file插件库文件基本名称为keyring_file。文件名后缀因平台而异（例如，Unix 和类 Unix 系统为.so，Windows 为.dll）。

要加载插件，请使用--early-plugin-load选项来命名包含插件库文件的插件。例如，在插件库文件后缀为.so的平台上，请在服务器my.cnf文件中使用以下行，根据需要调整.so后缀以适应您的平台：

[mysqld]
early-plugin-load=keyring_file.so

在启动服务器之前，请查看您选择的密钥环插件的注意事项，以获取特定于该插件的配置说明：

• keyring_file: 第 8.4.4.6 节，“使用基于文件的 keyring_file 插件”。
  
• keyring_encrypted_file: 第 8.4.4.7 节，“使用加密文件的 keyring_encrypted_file 插件”。
  
• keyring_okv: 第 8.4.4.8 节，“使用 keyring_okv KMIP 插件”。
  
• keyring_aws: 第 8.4.4.9 节，“使用 keyring_aws 亚马逊网络服务密钥环插件”
  
• keyring_hashicorp: 第 8.4.4.10 节，“使用 HashiCorp Vault 密钥环插件”
  
• keyring_oci: 第 8.4.4.12 节，“使用 Oracle Cloud 基础设施 Vault 密钥环插件”
  

在执行任何特定于插件的配置后，启动服务器。通过检查信息模式PLUGINS表或使用SHOW PLUGINS语句（参见 Section 7.6.2, “Obtaining Server Plugin Information”）来验证插件安装。例如：

mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS
       FROM INFORMATION_SCHEMA.PLUGINS
       WHERE PLUGIN_NAME LIKE 'keyring%';
+--------------+---------------+
| PLUGIN_NAME  | PLUGIN_STATUS |
+--------------+---------------+
| keyring_file | ACTIVE        |
+--------------+---------------+

如果插件初始化失败，请检查服务器错误日志以获取诊断消息。

插件可以通过--early-plugin-load之外的方法加载，例如--plugin-load或--plugin-load-add选项或INSTALL PLUGIN语句。然而，使用这些方法加载的密钥环插件可能在服务器启动序列中对于某些使用密钥环的组件来说太晚了，比如InnoDB：

• 使用--plugin-load或--plugin-load-add进行插件加载发生在InnoDB初始化之后。
  
• 使用INSTALL PLUGIN安装的插件会在mysql.plugin系统表中注册，并在后续服务器重新启动时自动加载。然而，由于mysql.plugin是一个InnoDB表，其中列出的任何插件只能在InnoDB初始化后的启动期间加载。
  

如果在组件尝试访问密钥环服务时没有可用的密钥环组件或插件，则该服务无法被该组件使用。因此，该组件可能无法初始化或以有限功能初始化。例如，如果InnoDB在初始化时发现存在加密表空间，它会尝试访问密钥环。如果密钥环不可用，InnoDB只能访问未加密的表空间。为确保InnoDB也可以访问加密表空间，请使用--early-plugin-load加载密钥环插件。

原文：dev.mysql.com/doc/refman/8.0/en/keyring-file-component.html

MySQL8 中文参考（二十九）（2）https://developer.aliyun.com/article/1566123