ydb-platform · SixOnMyface · Apr 9, 2026 · Apr 9, 2026
@@ -36,6 +36,9 @@ Release date: September 21, 2025.
 * Added [spilling](./concepts/spilling.md?version=v25.2), a memory management mechanism, that temporarily offloads intermediate data arising from computations and exceeding available node RAM capacity to external storage. Spilling allows executing user queries that require processing large data volumes exceeding available node memory.
 * Increased the [maximum amount of time allowed for a single query to execute](./concepts/limits-ydb.md?version=v25.2) from 30 minutes to 2 hours.
 * Added support for a user-defined Certificate Authority (CA) and [Yandex Cloud Identity and Access Management (IAM)](https://yandex.cloud/ru/docs/iam) authentication in [asynchronous replication](./yql/reference/syntax/create-async-replication.md?version=v25.2).
+* Must be configured:
+
+  * [Node authentication and authorization](./devops/configuration-management/configuration-v1/node-authorization.md) for registering nodes in the cluster.
 * Enabled by default:
 
   * [vector index](./dev/vector-indexes.md?version=v25.2) for approximate vector similarity search,

@@ -48,6 +48,14 @@ The following describes the settings necessary to enable database node authentic
 
 ## Enabling Database Node Authentication and Authorization
 
+{% note info %}
+
+Starting from [version 25.2](../../../changelog-server.md#25-2), properly configured database node authentication is mandatory.
+
+Node registration in the cluster is impossible without successful authentication.
+
+{% endnote %}
+
 To enable mandatory database node authorization, the following configuration blocks must be added to the [cluster configuration file](../../../reference/configuration/index.md):
 
 1. At the root level of the configuration, add a `client_certificate_authorization` block specifying requirements for filling the "Subject" field of trusted certificates of connecting nodes, for example:

@@ -36,6 +36,9 @@
 * Добавлен [спиллинг](./concepts/query_execution/spilling.md?version=v25.2), механизм управления памятью, при котором промежуточные данные, возникающие в результате выполнения запросов и превышающие доступный объём оперативной памяти узла, временно выгружаются во внешнее хранилище. Спиллинг обеспечивает выполнение пользовательских запросов, которые требуют обработки больших объёмов данных, превышающих доступную память узла.
 * Увеличено [максимальное время на выполнение одного запроса](./concepts/limits-ydb?version=v25.2) с 30 минут до 2 часов.
 * Добавлена поддержка Certificate Authority (CA) и [Yandex Cloud Identity and Access Management (IAM)](https://yandex.cloud/ru/docs/iam) аутентификации в [асинхронной репликации](./yql/reference/syntax/create-async-replication.md?version=v25.2).
+* Обязательно к настройке:
+
+  * [Аутентификация и авторизация узлов](./devops/configuration-management/configuration-v1/node-authorization.md) для регистрации узлов в кластере.
 * Включены по умолчанию:
 
   * [векторный индекс](./dev/vector-indexes.md?version=v25.2) для приближённого векторного поиска;

@@ -48,6 +48,14 @@
 
 ## Включение режима аутентификации и авторизации узлов
 
+{% note info %}
+
+Начиная с [версии 25.2](../../../changelog-server.md#25-2), корректно настроенная аутентификация узлов баз данных является обязательной.
+
+Регистрация узлов в кластере невозможна без выполнения аутентификации.
+
+{% endnote %}
+
 Для включения обязательной авторизации узлов баз данных в файл [конфигурации кластера](../../../reference/configuration/index.md) необходимо добавить следующие блоки настроек:
 
 1. На корневом уровне конфигурации добавьте блок `client_certificate_authorization`, в котором укажите требования к заполнению поля "Subject" доверенных сертификатов подключаемых узлов, например:
@@ -66,7 +74,7 @@
 
     В случае успешной проверки сертификата и соответствия компонентов поля "Subject" сертификата требованиям, установленным в блоке `subject_terms`, подключению будут присвоены субъекты доступа, перечисленные в параметре `member_groups`. Чтобы отделить такие субъекты доступа от других групп и учётных записей, к их наименованию добавляется суффикс `@cert`.
 
-1. В блок настроек аутентификации кластера `security_config` добавьте элемент `register_dynamic_node_allowed_sids`, указав список субъектов доступа, которым разрешена регистрация узлов баз данных. По техническим причинам в этом списке также должен присутствовать субъект доступа `root@builtin`. Пример:
+2. В блок настроек аутентификации кластера `security_config` добавьте элемент `register_dynamic_node_allowed_sids`, указав список субъектов доступа, которым разрешена регистрация узлов баз данных. По техническим причинам в этом списке также должен присутствовать субъект доступа `root@builtin`. Пример:
 
     ```yaml
     security_config:
@@ -79,8 +87,8 @@
 
     Более подробная информация по настройке параметров аутентификации кластера приведена в [соответствующем разделе документации](../../../reference/configuration/index.md#security-access-levels).
 
-1. Обновите файлы статической конфигурации на всех узлах кластера вручную либо с помощью [плейбука Ansible](../../deployment-options/ansible/update-config.md).
+3. Обновите файлы статической конфигурации на всех узлах кластера вручную либо с помощью [плейбука Ansible](../../deployment-options/ansible/update-config.md).
 
-1. Выполните поэтапный перезапуск узлов хранения кластера [с помощью ydbops](../../../reference/ydbops/rolling-restart-scenario.md) либо с использованием [плейбука Ansible](../../deployment-options/ansible/restart.md).
+4. Выполните поэтапный перезапуск узлов хранения кластера [с помощью ydbops](../../../reference/ydbops/rolling-restart-scenario.md) либо с использованием [плейбука Ansible](../../deployment-options/ansible/restart.md).
 
-1. Выполните поэтапный перезапуск узлов баз данных кластера с помощью ydbops либо с использованием плейбука Ansible.
+5. Выполните поэтапный перезапуск узлов баз данных кластера с помощью ydbops либо с использованием плейбука Ansible.