在Cassandra的cassandra.yaml配置文件中,有以下内容:
# SSL port, for encrypted communication. Unused unless enabled in
# encryption_options
# For security reasons, you should not expose this port to the internet. Firewall it if needed.
ssl_storage_port: 7001
我不知道Cassandra团队为何提供此指导的详细信息,但数字海洋提供的共享专用网中存在哪些风险?其他DO客户端的虚拟机位于某些非路由内部网络上。使用iptables限制源IP是一种选择。
答案 0 :(得分:0)
虽然我无法声称知道评论作者的想法,但您可以通过几种不同的方式设置节点间加密。如果在未正确配置信任库且require_client_auth = true的情况下进行设置,则节点间加密应验证所有参与节点是否使用可信证书,从而将风险降至最低。如果您不使用这些配置,则证书不一定受信任,让您对加入群集的不受信任节点开放。
有一篇很好的详细文章介绍了如何正确设置:http://thelastpickle.com/blog/2015/09/30/hardening-cassandra-step-by-step-part-1-server-to-server.html
当然,总而言之,这就是安全性所以防御层越多越好,因此IP表等的限制可能仍然是一个好主意。
本