為提高鏈路的安全性,您可以開通SSL(Secure Sockets Layer)加密,然後安裝SSL CA認證到您的應用服務。SSL加密功能在傳輸層對網路連接進行加密,在提升通訊資料安全性的同時,保證資料的完整性。本文介紹SSL加密功能的相關操作。
前提條件
執行個體類型為複本集執行個體或雲端硬碟版分區叢集執行個體。
注意事項
SSL CA認證僅支援通過ApsaraDB for MongoDB控制台下載。
開通SSL加密會增加ApsaraDB for MongoDB執行個體的CPU使用率,建議您在有加密需求(例如通過公網串連MongoDB執行個體)時開通SSL加密。
說明內網鏈路相對較安全,一般無需對鏈路加密。
執行個體開通SSL加密後,如果修改了執行個體的串連地址或申請了新的串連地址(包括新的節點串連地址和公網地址),新地址將無法使用SSL加密連結。如果想要新地址也使用SSL加密串連,您需要補救伺服器認證。
開通SSL後支援SSL和非SSL兩種串連方式。
影響
在開通或關閉SSL加密、更新SSL認證操作時,執行個體會進行一次重啟,建議您提前做好業務安排並確保應用有重連機制。
重啟執行個體會對執行個體的節點執行輪轉重啟,每個節點會有30秒左右的閃斷,如果集合的數量較多(超過1萬),閃斷時間也會隨之變長。
開啟SSL加密
開通SSL加密過程中,ApsaraDB for MongoDB會進行一次重啟,重啟過程中每個節點會有一次約30秒的閃斷,建議您安排好業務並確保應用有重連機制。
訪問MongoDB複本集執行個體列表或MongoDB分區叢集執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在目標執行個體頁面的左側導覽列,單擊 。
開啟SSL狀態右側的開關。
在彈出的開通SSL對話方塊中,單擊確定。
執行個體運行狀態變更為SSL修改中,當SSL狀態變更為已開通(執行個體運行狀態為運行中)時,說明已開通SSL加密。
下載SSL CA認證
訪問MongoDB複本集執行個體列表或MongoDB分區叢集執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在目標執行個體頁面的左側導覽列,單擊 。
單擊下載認證,將SSL CA認證下載至本地。
下載的SSL CA認證可以用於加密串連資料庫情境,具體請參見使用Mongo Shell通過SSL加密串連資料庫。
更多操作
補救伺服器認證
MongoDB伺服器憑證有效期間為1年,認證到期後不更新,會導致使用加密串連的用戶端程式無法正常串連執行個體。即將到期時,阿里雲將會通過簡訊、郵件、站內信(事件中心)的方式進行提醒,並會在特定時間段自動更新該認證。您可以通過配置計劃時間配置自訂認證更新時間。更多資訊,請參見計劃內事件。您也可以以下方式手動補救伺服器認證的有效期間。
伺服器憑證自動更新後,使用加密串連的用戶端程式無需重新下載和配置CA認證即可正常串連資料庫。更新SSL認證的過程中,ApsaraDB for MongoDB會進行一次重啟,重啟過程中每個節點會有一次約30秒的閃斷,您可以通過計劃時間配置自訂認證更新時間,建議您提前做好業務安排並確保應用有重連機制。
訪問MongoDB複本集執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在目標執行個體頁面的左側導覽列,單擊 。
單擊更新認證。
在更新SSL對話方塊中,單擊確定。
執行個體運行狀態變更為SSL修改中,當執行個體運行狀態變更為運行中時,說明伺服器憑證已成功更新。
關閉SSL加密
關閉SSL加密過程中,ApsaraDB for MongoDB會進行一次重啟,重啟過程中每個節點會有一次約30秒的閃斷,建議您安排好業務並確保應用有重連機制。
訪問MongoDB複本集執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在目標執行個體頁面的左側導覽列,單擊 。
關閉SSL狀態右側的開關。
在彈出的關閉SSL對話方塊中,單擊確定。
執行個體運行狀態變更為SSL修改中,當執行個體運行狀態變更為運行中時,說明已關閉SSL加密。
相關API
介面 | 說明 |
查詢ApsaraDB for MongoDB執行個體的SSL設定詳情。 | |
修改ApsaraDB for MongoDB執行個體的SSL配置。 |