hazelcast 如何支持 c/s 模式下的凭据轮换
How does hazelcast support credentials rotation in c/s mode
我在 c/s 模式下部署了 hazelcast,我开始使用 UserNamePassword Credentials 进行身份验证,因此在服务器和客户端启动期间,我使用 username1、password1 作为我的凭据。
现在由于安全方面的原因,我想更新凭据,如何在服务器和客户端应用程序不停机的情况下实现这一点。
Hazelcast Group name/password 在 3.12.x 之前可用(自 Hazelcast 4 起已删除),但它从未打算提供安全性,因此不支持密码轮换。
<group>
<name>dev</name>
<password>dev-pass</password>
</group>
要在 Hazelcast 中正确配置安全性,您需要使用 SSL(这是一项企业功能)。 SSL 支持密钥轮换。
Hazelcast 不支持开箱即用的客户端凭据轮换。它可以逐步解决:
- 引入身份验证配置(登录模块堆栈),它接受新旧凭据;
- 滚动重启所有成员以激活新的身份验证配置;
- 替换客户端配置中的凭据并重新启动所有客户端;
- 将成员配置为仅接受新凭据并再次进行滚动重启。
这与在 运行 集群中更新 TLS 证书的情况类似。在 Hazelcast 参考手册中查看:
https://docs.hazelcast.org/docs/4.1/manual/html-single/index.html#updating-certificates-in-the-running-cluster
我在 c/s 模式下部署了 hazelcast,我开始使用 UserNamePassword Credentials 进行身份验证,因此在服务器和客户端启动期间,我使用 username1、password1 作为我的凭据。 现在由于安全方面的原因,我想更新凭据,如何在服务器和客户端应用程序不停机的情况下实现这一点。
Hazelcast Group name/password 在 3.12.x 之前可用(自 Hazelcast 4 起已删除),但它从未打算提供安全性,因此不支持密码轮换。
<group>
<name>dev</name>
<password>dev-pass</password>
</group>
要在 Hazelcast 中正确配置安全性,您需要使用 SSL(这是一项企业功能)。 SSL 支持密钥轮换。
Hazelcast 不支持开箱即用的客户端凭据轮换。它可以逐步解决:
- 引入身份验证配置(登录模块堆栈),它接受新旧凭据;
- 滚动重启所有成员以激活新的身份验证配置;
- 替换客户端配置中的凭据并重新启动所有客户端;
- 将成员配置为仅接受新凭据并再次进行滚动重启。
这与在 运行 集群中更新 TLS 证书的情况类似。在 Hazelcast 参考手册中查看: https://docs.hazelcast.org/docs/4.1/manual/html-single/index.html#updating-certificates-in-the-running-cluster