Anda dapat mengaktifkan enkripsi Secure Sockets Layer (SSL) untuk meningkatkan keamanan koneksi. Setelah SSL diaktifkan, Anda harus menginstal sertifikat SSL CA pada aplikasi Anda. SSL mengenkripsi koneksi jaringan di lapisan transport guna meningkatkan keamanan data dan memastikan integritas data. Topik ini menjelaskan cara mengelola enkripsi SSL.
Prasyarat
Instans harus berupa instans set replika atau instans kluster sharded yang menggunakan cloud disk.
Catatan penggunaan
Anda hanya dapat mengunduh sertifikat SSL CA dari Konsol ApsaraDB for MongoDB.
Mengaktifkan enkripsi SSL meningkatkan pemanfaatan CPU pada instans ApsaraDB for MongoDB Anda. Kami menyarankan agar Anda hanya mengaktifkan SSL saat enkripsi diperlukan, misalnya ketika terhubung ke instans melalui titik akhir publik.
CatatanKoneksi melalui jaringan internal umumnya aman dan tidak memerlukan enkripsi.
Setelah Anda mengaktifkan SSL, jika Anda memodifikasi titik akhir instans atau menambahkan titik akhir baru—seperti titik akhir node atau titik akhir publik—titik akhir tersebut tidak akan mendukung koneksi SSL. Untuk menggunakan SSL dengan titik akhir baru, Anda harus memperbarui sertifikat server.
Secara default, setelah Anda mengaktifkan SSL, instans mendukung koneksi SSL maupun non-SSL. Anda dapat mengaktifkan penegakan SSL untuk hanya mengizinkan koneksi SSL.
CatatanFitur penegakan SSL hanya tersedia pada instans yang menjalankan versi 7.0 (dengan kernel versi 8.0.13 atau lebih baru) atau 8.0 (dengan kernel versi 9.0.5 atau lebih baru).
Dampak
Mengaktifkan, menonaktifkan, atau memperbarui SSL untuk suatu instans memicu restart. Kami menyarankan agar Anda melakukan operasi ini selama jam sepi dan memastikan aplikasi Anda memiliki mekanisme penghubungan ulang otomatis.
Selama restart, setiap node dalam instans direstart secara berurutan, yang menyebabkan pemutusan sementara sekitar 30 detik per node. Jika instans berisi jumlah koleksi yang besar (lebih dari 10.000), pemutusan tersebut mungkin berlangsung lebih lama.
Aktifkan enkripsi SSL
Saat Anda mengaktifkan enkripsi SSL, instans ApsaraDB for MongoDB Anda akan direstart. Selama proses ini, setiap node mengalami pemutusan sementara sekitar 30 detik. Kami menyarankan agar Anda menjadwalkan operasi ini dengan tepat dan memastikan aplikasi Anda memiliki mekanisme penghubungan ulang otomatis.
Buka halaman Replica Set Instances atau Sharded Cluster Instances. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah, lalu klik ID instans target.
Di panel navigasi kiri, pilih .
Aktifkan sakelar di samping SSL Status.
Pada kotak dialog Enable SSL, pilih apakah akan mengaktifkan Forced SSL.
Jika Anda mengaktifkan penegakan SSL, instans akan menolak koneksi non-SSL.
CatatanPenegakan SSL hanya tersedia untuk instans yang menggunakan cloud disk dan menjalankan versi 7.0 atau 8.0, serta memenuhi persyaratan versi kernel berikut:
Versi 7.0: Versi kernel harus 8.0.13 atau lebih baru.
Versi 8.0: Versi kernel harus 9.0.5 atau lebih baru.
Klik OK.
Status instans berubah menjadi Modifying SSL. Saat status SSL berubah menjadi Enabled dan status instans kembali ke Running, enkripsi SSL telah diaktifkan.
Unduh sertifikat SSL CA
Buka halaman Replica Set Instances atau Sharded Cluster Instances. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah, lalu klik ID instans target.
Di panel navigasi kiri, pilih .
Klik Download Certificate untuk menyimpan sertifikat SSL CA ke komputer Anda.
Anda dapat menggunakan sertifikat SSL CA yang diunduh untuk mengenkripsi koneksi ke database Anda. Untuk informasi selengkapnya, lihat Hubungkan ke instans melalui SSL menggunakan mongo shell.
Operasi lainnya
Perbarui sertifikat server
Sertifikat server untuk instans ApsaraDB for MongoDB berlaku selama satu tahun. Jika sertifikat kedaluwarsa, klien tidak dapat terhubung ke instans menggunakan koneksi terenkripsi. Sebelum sertifikat kedaluwarsa, Alibaba Cloud memberi tahu Anda melalui SMS, email, dan Pusat Pesan, serta secara otomatis memperpanjang sertifikat dalam rentang waktu tertentu. Anda dapat menyesuaikan jendela pemeliharaan menggunakan Schedule Event. Untuk informasi selengkapnya, lihat scheduled events.
Setelah sertifikat server diperbarui secara otomatis, klien yang menggunakan koneksi terenkripsi dapat terhubung ke database tanpa perlu mengunduh ulang atau mengonfigurasi ulang sertifikat CA. Selama pembaruan sertifikat SSL, instans ApsaraDB for MongoDB direstart, yang menyebabkan pemutusan sementara sekitar 30 detik untuk setiap node. Anda dapat menggunakan scheduled event untuk menyesuaikan waktu pembaruan. Kami menyarankan agar Anda merencanakan operasi bisnis Anda dengan tepat dan memastikan aplikasi Anda memiliki mekanisme penghubungan ulang otomatis.
Buka halaman Replica Set Instances. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah, lalu klik ID instans target.
Di panel navigasi kiri, pilih .
Klik Update Certificate.
Pada kotak dialog Update SSL, klik OK.
Status instans berubah menjadi Modifying SSL. Saat status kembali ke Running, sertifikat server berhasil diperbarui.
Nonaktifkan enkripsi SSL
Saat Anda menonaktifkan enkripsi SSL, instans ApsaraDB for MongoDB akan direstart. Selama restart, setiap node mengalami pemutusan sementara sekitar 30 detik. Kami menyarankan agar Anda merencanakan operasi ini dengan tepat dan memastikan aplikasi Anda memiliki mekanisme penghubungan ulang otomatis.
Buka halaman Replica Set Instances. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah, lalu klik ID instans target.
Di panel navigasi kiri, pilih .
Nonaktifkan sakelar di samping SSL Status.
Pada kotak dialog Disable SSL, klik OK.
Status instans berubah menjadi Modifying SSL. Saat status kembali ke Running, enkripsi SSL telah dinonaktifkan.
Referensi API
API | Deskripsi |
Menanyakan detail pengaturan SSL untuk instans ApsaraDB for MongoDB. | |
Memodifikasi konfigurasi SSL instans ApsaraDB for MongoDB. |