Secure Sockets Layer(SSL)暗号化を有効化することで、接続のセキュリティを強化できます。SSL を有効化した後は、アプリケーションに SSL CA 証明書をインストールする必要があります。SSL はトランスポート層でネットワーク接続を暗号化し、データのセキュリティと整合性を確保します。本トピックでは、SSL 暗号化の管理方法について説明します。
前提条件
対象インスタンスは、クラウドディスクを使用するレプリカセットインスタンスまたはシャードクラスターインスタンスである必要があります。
注意事項
SSL CA 証明書は、ApsaraDB for MongoDB コンソールからのみダウンロードできます。
SSL 暗号化を有効化すると、ApsaraDB for MongoDB インスタンスの CPU 使用率が上昇します。SSL を有効化するのは、パブリックエンドポイント経由でインスタンスに接続するなど、暗号化が明示的に必要な場合に限定することを推奨します。
説明内部ネットワーク経由の接続は通常安全であり、暗号化は不要です。
SSL を有効化した後、インスタンスのエンドポイントを変更したり、ノードエンドポイントやパブリックエンドポイントなどの新しいエンドポイントを追加した場合、その新規エンドポイントでは SSL 接続がサポートされません。新規エンドポイントで SSL を使用するには、サーバー証明書の更新を行う必要があります。
デフォルトでは、SSL を有効化した後も、インスタンスは SSL 接続および非 SSL 接続の両方をサポートします。SSL 強制モードを有効化することで、SSL 接続のみを許可できます。
説明SSL 強制モードは、カーネルバージョン 8.0.13 以降を搭載するバージョン 7.0、またはカーネルバージョン 9.0.5 以降を搭載するバージョン 8.0 を実行するインスタンスでのみ利用可能です。
影響
インスタンスに対する SSL の有効化、無効化、または更新は、インスタンスの再起動をトリガーします。これらの操作は、非ピーク時間帯に実施することを推奨します。また、アプリケーションに自動再接続メカニズムが備わっていることを確認してください。
再起動中は、各ノードが順次再起動されるため、ノードごとに約 30 秒間の瞬断が発生します。インスタンスに多数のコレクション(10,000 個以上)が存在する場合、瞬断時間がさらに長くなる可能性があります。
SSL 暗号化の有効化
SSL 暗号化を有効化すると、ApsaraDB for MongoDB インスタンスが再起動します。この際、各ノードで約 30 秒間の瞬断が発生します。この操作の実施タイミングを適切に計画し、アプリケーションに自動再接続メカニズムが備わっていることを確認してください。
レプリカセットインスタンス または シャードクラスターインスタンス ページへ移動します。上部ナビゲーションバーでリソースグループおよびリージョンを選択し、対象インスタンスの ID をクリックします。
左側ナビゲーションウィンドウで、 を選択します。
SSL のステータス の横にあるスイッチをオンにします。
SSL の有効化 ダイアログボックスで、SSL強制暗号化 を有効化するかどうかを選択します。
SSL 強制モードを有効化すると、非 SSL 接続は拒否されます。
説明SSL 強制モードは、クラウドディスクを使用し、バージョン 7.0 または 8.0 を実行するインスタンスで利用可能ですが、以下のカーネルバージョン要件を満たす必要があります:
バージョン 7.0:カーネルバージョンが 8.0.13 以降であること。
バージョン 8.0:カーネルバージョンが 9.0.5 以降であること。
投入 をクリックします。
インスタンスステータスが SSL の変更中 に変わります。有効 に変更された後、インスタンスステータスが 実行中 に戻ると、SSL 暗号化が有効化されます。
SSL CA 証明書のダウンロード
レプリカセットインスタンス または シャードクラスターインスタンス ページへ移動します。上部ナビゲーションバーでリソースグループおよびリージョンを選択し、対象インスタンスの ID をクリックします。
左側ナビゲーションウィンドウで、 を選択します。
証明書のダウンロード をクリックして、SSL CA 証明書をローカルコンピューターに保存します。
ダウンロードした SSL CA 証明書を使用して、データベースへの接続を暗号化できます。詳細については、「mongo shell を使用した SSL 接続によるインスタンスへの接続」をご参照ください。
その他の操作
サーバー証明書の更新
ApsaraDB for MongoDB インスタンスのサーバー証明書は 1 年間有効です。証明書の有効期限が切れた場合、クライアントは暗号化接続を使用してインスタンスに接続できなくなります。証明書の有効期限が切れる前に、Alibaba Cloud から SMS、メール、およびメッセージセンターを通じて通知が送信され、指定されたタイムウィンドウ内で証明書が自動的に更新されます。スケジュールイベント を使用して、メンテナンスウィンドウをカスタマイズできます。詳細については、「スケジュールイベント」をご参照ください。
サーバー証明書が自動更新された後、暗号化接続を使用するクライアントは、CA 証明書の再ダウンロードまたは再構成なしでデータベースに接続できます。SSL 証明書の更新中は、ApsaraDB for MongoDB インスタンスが再起動し、各ノードで約 30 秒間の瞬断が発生します。スケジュールイベントを使用して、更新時刻をカスタマイズできます。ビジネス運用を適切に計画し、アプリケーションに自動再接続メカニズムが備わっていることを確認してください。
レプリカセットインスタンス ページへ移動します。上部ナビゲーションバーでリソースグループおよびリージョンを選択し、対象インスタンスの ID をクリックします。
左側ナビゲーションウィンドウで、 を選択します。
証明書の更新 をクリックします。
SSL の更新 ダイアログボックスで、投入 をクリックします。
インスタンスステータスが SSL の変更中 に変わります。ステータスが 実行中 に戻ると、サーバー証明書の更新が完了します。
SSL 暗号化の無効化
SSL 暗号化を無効化すると、ApsaraDB for MongoDB インスタンスが再起動します。再起動中は、各ノードで約 30 秒間の瞬断が発生します。この操作の実施タイミングを適切に計画し、アプリケーションに自動再接続メカニズムが備わっていることを確認してください。
レプリカセットインスタンス ページへ移動します。上部ナビゲーションバーでリソースグループおよびリージョンを選択し、対象インスタンスの ID をクリックします。
左側ナビゲーションウィンドウで、 を選択します。
SSL のステータス の横にあるスイッチをオフにします。
SSL の無効化 ダイアログボックスで、投入 をクリックします。
インスタンスステータスが SSL の変更中 に変わります。ステータスが 実行中 に戻ると、SSL 暗号化が無効化されます。
API リファレンス
API | 説明 |
ApsaraDB for MongoDB インスタンスの SSL 設定の詳細を照会します。 | |
ApsaraDB for MongoDB インスタンスの SSL 構成を変更します。 |