使用TLS/SSL保护Cassandra通信

我们想保护卡桑德拉号免受中间人攻击。是否有任何方法可以配置Cassandra，使客户机-服务器和服务器-服务器（复制）通信采用SSL加密

谢谢

简短回答：否：）

对于客户端-服务器：

---

编辑：您可能希望遵循ML上的线程，加密服务器通信现在似乎可用：

为节点间通信提供可配置的加密支持

分辨率：固定
修复版本：0.8 beta 1

---

已解决：2011年1月19日18:11

我采用的策略是让Apache Cassandra节点通过站点到站点的VPN隧道进行通信

cassandra.yaml

文件的特定配置：

 listen_address: 10.x.x.x # vpn network ip
 rpc_address: 172.16.x.x. # non-vpn network for client access although, I leave it blank so that it listens on all interfaces

这种方法的好处是，您可以将ApacheCassandra部署到许多不同的环境中，从而变得不依赖于提供商。例如，在各种AmazonEC2环境中托管节点，在您自己的物理数据中心中托管节点，并在您的办公桌下托管一些其他节点

成本问题会阻止您研究此方法吗？查看Vyatta

正如KajMagnus所指出的，在Apache Cassandra的稳定版本中，有一个已解决并可用的JIRA票证：它使您能够通过TLS/SSL实现您想要的功能。。但是有一些方法可以实现你想要的

最后，如果您想在AmazonEC2上托管您的实例，区域到区域可能会有问题，尽管1.x.x中有可用的补丁，但这真的是正确的方法吗？我发现VPN方法减少了不同区域节点之间的延迟，并且仍然保持必要的安全级别

最后，第二部分--

如果您想保护客户端到服务器的通信，请让您的客户端（web服务器）通过相同的VPN进行通信。。我拥有的配置：

• 前端Web服务器通过内部网络与应用服务器通信
• 应用服务器位于其自己的内部网络和VPN网络上，通过VPN隧道与数据层通信，并在内部网络上相互通信
• 数据层存在于每个数据中心/机架的自身网络上，并通过VPN网络接收请求

---

可以根据上述问题保护节点间（gossip）通信。客户端和服务器都将很快支持Kerberos（在提交时以Hector master为单位：应该很快到达Cassandra端）。

Cassandra 3.11.2中的答案仍然是否定的吗？