在不中断复制的情况下启用 MongoDB 安全复制
Enable MongoDB Secure Replication without breaking replication
当我们第一次设置多区域 Mongo 基础设施时,我们没有添加任何安全措施,而是使用未加密的传输连接通过 public 互联网进行复制。我们需要切换为使用加密连接进行复制,但担心切换这会破坏当前的复制。我们有几 TB 的数据,如果不同步就很难强制重新同步。
在这种情况下切换到加密传输的推荐流程是什么?
提前致谢,
伊恩
可以在不破坏应用程序的情况下启用安全复制。如果精心计划,它不需要停机,而是重新启动。在您的情况下,副本集的辅助节点首先是主节点。该应用程序将自动切换到新的主服务器,并且不会花费很长时间。
这是基本配置yaml,需要添加。在配置文件中选择 preferSSL 选项。使用 preferSSL 作为其 net.ssl.mode,该节点接受 TLS/SSL 和 non-TLS/non-SSL 传入连接,并且 它与其他服务器的连接使用 TLS/SSL .
net:
ssl:
mode: <disabled|allowSSL|preferSSL|requireSSL>
PEMKeyFile: <path to TLS/SSL certificate and key PEM file>
CAFile: <path to root CA PEM file>
您可以永远处于这种状态,也可以让应用程序团队改用 SSL 连接。一旦每个人都准备好永久切换,使用 admin 命令切换到 requireSSL(这将避免重新启动)。相应地更新 Mongo 配置文件以使用 requireSSL(用于将来重新启动)。
这是关于 - enabling Mongo SSL 的参考文档。由于您的情况需要重启,我会直接跳到该文档中的第 3 步。
当我们第一次设置多区域 Mongo 基础设施时,我们没有添加任何安全措施,而是使用未加密的传输连接通过 public 互联网进行复制。我们需要切换为使用加密连接进行复制,但担心切换这会破坏当前的复制。我们有几 TB 的数据,如果不同步就很难强制重新同步。
在这种情况下切换到加密传输的推荐流程是什么?
提前致谢,
伊恩
可以在不破坏应用程序的情况下启用安全复制。如果精心计划,它不需要停机,而是重新启动。在您的情况下,副本集的辅助节点首先是主节点。该应用程序将自动切换到新的主服务器,并且不会花费很长时间。
这是基本配置yaml,需要添加。在配置文件中选择 preferSSL 选项。使用 preferSSL 作为其 net.ssl.mode,该节点接受 TLS/SSL 和 non-TLS/non-SSL 传入连接,并且 它与其他服务器的连接使用 TLS/SSL .
net:
ssl:
mode: <disabled|allowSSL|preferSSL|requireSSL>
PEMKeyFile: <path to TLS/SSL certificate and key PEM file>
CAFile: <path to root CA PEM file>
您可以永远处于这种状态,也可以让应用程序团队改用 SSL 连接。一旦每个人都准备好永久切换,使用 admin 命令切换到 requireSSL(这将避免重新启动)。相应地更新 Mongo 配置文件以使用 requireSSL(用于将来重新启动)。
这是关于 - enabling Mongo SSL 的参考文档。由于您的情况需要重启,我会直接跳到该文档中的第 3 步。