全部產品
Search
文件中心

ApsaraDB for MongoDB:設定SSL加密

更新時間:Jun 19, 2024

為提高鏈路的安全性,您可以開通SSL(Secure Sockets Layer)加密,然後安裝SSL CA認證到您的應用服務。SSL加密功能在傳輸層對網路連接進行加密,在提升通訊資料安全性的同時,保證資料的完整性。本文介紹SSL加密功能的相關操作。

前提條件

執行個體類型為複本集執行個體或雲端硬碟版分區叢集執行個體。

注意事項

  • SSL CA認證僅支援通過ApsaraDB for MongoDB控制台下載。

  • 開通SSL加密會增加ApsaraDB for MongoDB執行個體的CPU使用率,建議您在有加密需求(例如通過公網串連MongoDB執行個體)時開通SSL加密。

    說明

    內網鏈路相對較安全,一般無需對鏈路加密。

  • 執行個體開通SSL加密後,如果修改了執行個體的串連地址或申請了新的串連地址(包括新的節點串連地址和公網地址),新地址將無法使用SSL加密連結。如果想要新地址也使用SSL加密串連,您需要補救伺服器認證

  • 開通SSL後支援SSL和非SSL兩種串連方式。

影響

在開通或關閉SSL加密、更新SSL認證操作時,執行個體會進行一次重啟,建議您提前做好業務安排並確保應用有重連機制。

說明

重啟執行個體會對執行個體的節點執行輪轉重啟,每個節點會有30秒左右的閃斷,如果集合的數量較多(超過1萬),閃斷時間也會隨之變長。

開啟SSL加密

警告

開通SSL加密過程中,ApsaraDB for MongoDB會進行一次重啟,重啟過程中每個節點會有一次約30秒的閃斷,建議您安排好業務並確保應用有重連機制。

  1. 訪問MongoDB複本集執行個體列表MongoDB分區叢集執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。

  2. 在目標執行個體頁面的左側導覽列,單擊數據安全性 > SSL

  3. 開啟SSL狀態右側的開關。

  4. 在彈出的開通SSL對話方塊中,單擊確定

執行個體運行狀態變更為SSL修改中,當SSL狀態變更為已開通(執行個體運行狀態為運行中)時,說明已開通SSL加密。

下載SSL CA認證

  1. 訪問MongoDB複本集執行個體列表MongoDB分區叢集執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。

  2. 在目標執行個體頁面的左側導覽列,單擊數據安全性 > SSL

  3. 單擊下載認證,將SSL CA認證下載至本地。

說明

下載的SSL CA認證可以用於加密串連資料庫情境,具體請參見使用Mongo Shell通過SSL加密串連資料庫

更多操作

補救伺服器認證

MongoDB伺服器憑證有效期間為1年,認證到期後不更新,會導致使用加密串連的用戶端程式無法正常串連執行個體。即將到期時,阿里雲將會通過簡訊、郵件、站內信(事件中心)的方式進行提醒,並會在特定時間段自動更新該認證。您可以通過配置計劃時間配置自訂認證更新時間。更多資訊,請參見計劃內事件。您也可以以下方式手動補救伺服器認證的有效期間。

警告

伺服器憑證自動更新後,使用加密串連的用戶端程式無需重新下載和配置CA認證即可正常串連資料庫。更新SSL認證的過程中,ApsaraDB for MongoDB會進行一次重啟,重啟過程中每個節點會有一次約30秒的閃斷,您可以通過計劃時間配置自訂認證更新時間,建議您提前做好業務安排並確保應用有重連機制。

  1. 訪問MongoDB複本集執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。

  2. 在目標執行個體頁面的左側導覽列,單擊數據安全性 > SSL

  3. 單擊更新認證

  4. 更新SSL對話方塊中,單擊確定

執行個體運行狀態變更為SSL修改中,當執行個體運行狀態變更為運行中時,說明伺服器憑證已成功更新。

關閉SSL加密

警告

關閉SSL加密過程中,ApsaraDB for MongoDB會進行一次重啟,重啟過程中每個節點會有一次約30秒的閃斷,建議您安排好業務並確保應用有重連機制。

  1. 訪問MongoDB複本集執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。

  2. 在目標執行個體頁面的左側導覽列,單擊數據安全性 > SSL

  3. 關閉SSL狀態右側的開關。

  4. 在彈出的關閉SSL對話方塊中,單擊確定

執行個體運行狀態變更為SSL修改中,當執行個體運行狀態變更為運行中時,說明已關閉SSL加密。

相關API

介面

說明

DescribeDBInstanceSSL

查詢ApsaraDB for MongoDB執行個體的SSL設定詳情。

ModifyDBInstanceSSL

修改ApsaraDB for MongoDB執行個體的SSL配置。