為了提高鏈路安全性,您可以啟用SSL(Secure Sockets Layer)加密,並將SSL CA認證安裝到所需的應用服務中。SSL在傳輸層對網路連接進行加密,提供端點驗證和資料加密,確保用戶端與StarRocks執行個體之間的通訊資料不會被未經授權的使用者讀取,從而增強資料的安全性與完整性。
前提條件
已建立執行個體,詳情請參見建立執行個體。
使用限制
僅3.3.8-1.94-1.7.12及以上版本的執行個體支援使用SSL加密功能。
開啟SSL加密
開啟SSL加密後,用戶端與StarRocks的串連將必須通過SSL加密進行。原有未配置SSL加密認證的用戶端訪問將會導致串連失敗,請您在確認相關設定後再進行操作。
執行個體的FE節點將進行滾動重啟。在此期間,匯入任務和查詢任務可能會出現短暫中斷。請您選擇在業務低峰期進行操作,並關注任務的變化。
進入執行個體詳情頁面。
在左側導覽列,選擇。
單擊目標執行個體名稱。
在執行個體詳情頁面的安全配置地區,單擊SSL 加密後的開啟。
在開啟SSL加密對話方塊中,單擊確認以使用預設認證。
如果您需要自訂認證,可開啟自訂加密檔案開關,並配置以下參數。
參數
說明
上傳認證檔案
單擊上傳檔案,選擇並上傳PKCS#12格式的認證檔案(副檔名為.p12)。此認證檔案包含了您的公開金鑰、私密金鑰和可能的憑證鏈結。
說明在生產環境中,建議使用由認證機構頒發的認證。
加密檔案訪問密碼
輸入上傳的認證檔案的訪問密碼(即用來加密認證檔案的密碼)。確保此密碼安全儲存,並在需要使用該認證時提供。
密鑰訪問密碼
輸入用於訪問私密金鑰的密碼。如果在產生該私密金鑰時設定了密碼,則需在此處提供該密碼,以確保系統能夠正確訪問並使用私密金鑰進行SSL身分識別驗證和金鑰交換。
(可選)查看SSL加密配置。
單擊參數配置頁簽。
單擊左側的FE,即可看到以下SSL認證資訊。
參數
說明
ssl_keystore_locationSSL認證和密鑰的keystore檔案路徑。
ssl_keystore_passwordkeystore檔案的訪問密碼,StarRocks讀取keystore檔案時需要提供該密碼。
ssl_key_password密鑰的訪問密碼,StarRocks讀取keystore檔案中的密鑰時需要提供該密碼。
下載SSL加密認證
進入執行個體詳情頁面。
在左側導覽列,選擇。
單擊目標執行個體名稱。
在執行個體詳情頁面的安全配置地區,單擊認證認證後的下載。
下載SSL認證至本地後,您可以在您的Web應用伺服器上手動設定該SSL認證,以實現HTTPS加密通訊。
說明由於不可見字元的原因,下載的認證是經過Base64編碼的。在使用前,請先對認證進行解碼操作。解碼後的認證可以直接用於配置HTTPS加密通訊,請確保妥善保管解碼後的檔案,避免泄露敏感資訊。
用戶端開啟SSL認證
本文將向您介紹如何在以下用戶端中啟用SSL認證:
MySQL用戶端
對於MySQL用戶端,StarRocks相容MySQL協議,預設啟用SSL認證,無需額外配置。更多串連StarRocks執行個體的資訊,請參見通過MySQL用戶端方式串連StarRocks執行個體。
JDBC用戶端
在JDBC URL中添加以下選項以啟用SSL。更多串連StarRocks執行個體的資訊,請參見通過JDBC方式串連StarRocks執行個體。
useSSL=true&verifyServerCertificate=false參數說明:
useSSL=true:啟用SSL加密。verifyServerCertificate=false:禁用伺服器憑證驗證(適用於開發環境或測試環境)。說明在生產環境中,建議設定
verifyServerCertificate=true並提供受信任的CA認證。
關閉SSL加密
關閉SSL加密後,用戶端與StarRocks的串連將不再通過SSL進行加密。在此情況下,您需同時完成用戶端的串連認證方式,可以確保用戶端能夠正常訪問。請您在確認後再進行操作。
執行個體的FE節點將進行滾動重啟。在此期間,匯入任務和查詢任務可能會出現短暫中斷。請您選擇在業務低峰期進行操作,並關注任務的變化。
在執行個體詳情頁面的安全配置地區,單擊SSL 加密後的關閉。
在關閉SSL加密對話方塊中,單擊確認。