TDMQ Pulsar 支持 TLS 加密功能,可为集群绑定 SSL 证书,并支持单向认证和双向认证模式。开启接入点加密后,系统将使用 SSL 证书在客户端与服务端之间加密传输数据,防止数据在传输过程中被截取或窃听,确保数据传输安全,满足敏感业务需求。
单向认证
单向认证是指客户端对服务端进行认证,认证过程通过验证服务端证书完成。服务端会使用您配置的证书与客户端建立连接。您需要自行购买或签发服务器证书,并将其托管至 SSL 证书 平台,然后在 Pulsar 控制台完成相关配置。
双向认证
双向认证指客户端与服务端之间相互认证。Pulsar 通过服务端证书和客户端 CA 证书完成服务端和客户端的认证,以保证客户端和服务端通信链路的安全及可靠。
客户端对服务端的认证通过服务端证书完成。
服务端对客户端的认证通过 CA 证书完成。客户端发起连接请求时,会将设备证书传递到服务端,服务端将根据客户端提前注册的 CA 证书验证该设备证书的正确性,验证通过则允许客户端连接服务端。
约束与限制
仅专业版集群支持 TLS 加密功能。
已创建 VPC 加密网络接入点后,无法直接删除 TLS 证书。需先删除 VPC 加密网络,再删除证书。
证书添加过程中,集群状态显示为"变配中",此时不可进行其他变配操作。添加完成后,集群状态将恢复正常。
受 Pulsar 底层限制,每个集群仅能添加一个服务端证书(单向认证)或一对服务端证书和 CA 证书(双向认证)。
配置 TLS 加密
前提条件
步骤1:添加 SSL 证书
1. 登录 TDMQ Pulsar 控制台。
2. 在左侧导航栏选择集群管理 > 集群列表,选择好地域后,单击目标集群的 ID,进入集群详情页面。
3. 在集群详情页面,选择 TLS 证书管理页签,单击右上角的添加证书。
4. 在弹窗中配置认证方式和证书信息。
参数 | 说明 |
认证方式 | 支持单向认证和双向认证两种方式。 单向认证:由客户端认证服务端。 双向认证:客户端与服务端相互认证。 |
证书来源 | 支持自定义上传或腾讯云托管的 SSL 证书。 说明: 如果您是第一次使用 Pulsar TLS 加密功能,需要单击授权 Pulsar 服务可以下载并应用 SSL 证书能力。 |
服务端证书 | 当认证方式为单向/双向时,均需要下拉选择“已颁发”的服务端证书,用于完成客户端对服务端的认证。 |
CA 证书 | 当认证方式为双向认证时,需要在下拉菜单中选择 CA 证书,用于完成服务端对客户端的认证。 |
5. 单击提交,等待1 - 3分钟后,集群将完成 SSL 证书添加(绑定)。
步骤2:创建 VPC 加密网络接入点
1. 登录 TDMQ Pulsar 控制台。
2. 在左侧导航栏选择集群管理 > 集群列表,选择好地域后,单击目标集群的 ID,进入集群详情页面。
3. 在集群详情页面,选择接入点页签,单击左上角的新建。
4. 选择路由类型为 VPC 加密网络,指定已添加单向/双向的服务端证书,并可选配置自定义域名以便于访问管理。
5. 单击确认,等待1分钟后,集群将完成VPC加密网络接入点的创建。
步骤3:使用加密的接入点收发消息
完成 TLS 加密配置后,您可以在客户端中使用 VPC 加密接入点(端口为8080)连接集群并收发消息。
删除 VPC 加密网络接入点
当您不再需要使用 TLS 加密能力时,可以在控制台删除 VPC 加密网络接入点。
1. 登录 TDMQ Pulsar 控制台。
2. 在左侧导航栏选择集群管理 > 集群列表,选择好地域后,单击目标集群的 ID,进入集群基本信息页面。
3. 在基本信息页面,选择接入点页签,单击目标接入点操作栏的删除。
4. 在弹窗中单击确定,完成删除。
删除证书
如果已经创建了任意一个 VPC 加密网络接入点,则证书无法被删除,需要先将 VPC 加密网络接入点删除。
1. 登录 TDMQ Pulsar 控制台。
2. 在左侧导航栏选择集群管理 > 集群列表,选择好地域后,单击目标集群的 ID,进入集群基本信息页面。
3. 在基本信息页面,选择 TLS 证书管理页签,单击目标证书操作栏的删除。
4. 在弹窗中单击确认,集群状态将变为“变配中”,等待1 - 3分钟后,集群将删除 SSL 证书。
