配置项作用 #
security.ssl.dual_mode.enabled 配置项用于启用 SSL 双模式功能,允许系统在 SSL-only 模式下同时支持 SSL 和非 SSL 通信协议。
配置项属性 #
- 配置路径:
security.ssl.dual_mode.enabled - 数据类型:
Boolean(布尔值) - 默认值:
false - 是否可选: 是
- 作用域: NodeScope(节点级别)
- 动态更新: 是(可以动态更新,无需重启)
配置建议 #
默认配置 #
security.ssl.dual_mode.enabled: false # 默认值
启用双模式(SSL-only 必须启用) #
security.ssl_only: true
security.ssl.dual_mode.enabled: true
功能说明 #
SSL 双模式的工作原理 #
当 security.ssl.dual_mode.enabled 启用时:
- 系统可以同时接受 SSL 和非 SSL 连接
- 为客户端提供更大的连接灵活性
- 支持不同配置的客户端连接到同一集群
前置条件 #
双模式功能仅在 security.ssl_only 启用时才有效:
- 如果启用了双模式但 SSL-only 模式未启用,系统会记录警告
- 双模式不会在非 SSL-only 环境中生效
使用建议 #
迁移期间使用 #
# 从非 SSL 迁移到 SSL 期间
security.ssl_only: true
security.ssl.dual_mode.enabled: true # 允许非 SSL 客户端继续连接
迁移完成后,可以禁用双模式以强制所有连接使用 SSL。
兼容性配置 #
# 支持混合客户端环境
security.ssl_only: true
security.ssl.dual_mode.enabled: true # 新旧客户端都可连接
注意事项 #
动态更新: 此配置可以动态更新,无需重启节点。
SSL-only 依赖: 双模式仅在 SSL-only 模式启用时才工作。
安全性考虑: 启用双模式会降低安全性,因为允许非 SSL 连接。仅在必要时使用。
迁移场景: 主要用于从非 SSL 到 SSL 的平滑迁移,迁移完成后建议禁用双模式。
未来变化: 当前实现要求双模式必须与 SSL-only 配合使用,此策略可能在将来发生变化。
配置验证: 启用双模式但 SSL-only 未启用时,系统会记录警告日志。
安全建议 #
生产环境: 在生产环境中,完成 SSL 迁移后应禁用双模式,确保所有通信都经过加密。
监控: 启用双模式期间,应监控非 SSL 连接的使用情况,确保迁移进度。
定期审查: 定期审查双模式的使用,确保不会意外长期启用。
