针对您提到的PolarDB中旧表启用TDE时ALTER TABLE锁表的痛点，结合PolarDB的引擎特性，我们可以通过在线无锁DDL方案实现加密操作，全程不影响在线业务请求。以下是具体的解决步骤与说明：

一、核心原理：PolarDB的在线DDL优化特性 #

您参考的文档中提到ALTER TABLE会锁表，是指未指定Online DDL参数的传统执行方式。而PolarDB MySQL引擎（兼容5.7/8.0版本）支持ALGORITHM=INPLACE和LOCK=NONE参数，能实现：

• 无锁读写：执行加密操作期间，业务可正常对表进行读写
• 原地修改：避免全表数据拷贝，大幅降低性能开销

注：PolarDB PostgreSQL引擎的在线加密逻辑略有差异，以下方案主要针对MySQL兼容版，PostgreSQL版可参考官方适配语法调整。

二、单表在线启用TDE的命令 #

针对单个用户表，执行以下命令即可在线启用TDE，且不会锁定表：

ALTER TABLE your_database.your_table_name ENCRYPTION='Y' ALGORITHM=INPLACE, LOCK=NONE;

• ENCRYPTION='Y'：开启表的TDE加密属性
• ALGORITHM=INPLACE：使用原地修改模式，无需复制全表数据
• LOCK=NONE：允许执行DDL期间的所有读写操作

三、批量为所有用户表启用TDE #

如果需要为实例中所有非系统表批量加密，可通过以下步骤自动生成并执行命令：

1. 生成批量加密命令 #

执行以下SQL查询，自动生成所有用户业务表的在线加密命令：

SELECT CONCAT(
    'ALTER TABLE ', table_schema, '.', table_name, 
    ' ENCRYPTION=''Y'' ALGORITHM=INPLACE, LOCK=NONE;'
) AS encryption_command
FROM information_schema.tables
WHERE table_schema NOT IN ('mysql', 'information_schema', 'performance_schema', 'sys')
  AND ENGINE IN ('InnoDB', 'PolarDB'); -- 仅针对InnoDB/PolarDB存储引擎的表

2. 批量执行命令 #

• 方式一：将查询结果导出为SQL文件，通过mysql客户端批量执行：

  mysql -h your_polardb_endpoint -u your_username -p < batch_encryption.sql
  

• 方式二：通过阿里云DMS（数据管理服务）的批量SQL执行功能，分批次运行生成的命令（建议低峰期执行，避免瞬时资源占用过高）

四、验证TDE加密是否成功 #

执行以下SQL查询，确认所有表是否已成功启用TDE：

SELECT 
    table_schema AS database_name,
    table_name,
    create_options
FROM information_schema.tables
WHERE table_schema NOT IN ('mysql', 'information_schema', 'performance_schema', 'sys')
  AND create_options LIKE '%ENCRYPTION="Y"%';

若create_options字段包含ENCRYPTION="Y"，则表示该表已成功启用TDE加密。

五、关键注意事项 #

• 版本要求：确保PolarDB MySQL实例版本为5.7.18及以上，或8.0版本（低版本可能不支持在线加密的Online DDL）
• 性能控制：建议分批次执行加密命令，优先处理小表，大表选择业务低峰期操作
• 权限要求：执行操作需要拥有ALTER、INDEX权限，以及PROCESS权限（用于查看DDL执行进度）
• 官方参考：详细规则可查看
  • PolarDB 透明数据加密(TDE)官方文档
  • PolarDB 在线DDL官方文档