加密 HDR 数据库服务器之间的数据通信

要使用已加密的 HDR 连接与通信支持模块 (CSM) 客户机/服务器加密一起使用，必须配置两个网络端口：

其中一个网络端口必须配置用于 HDR。
另一网络端口必须配置用于 CSM 客户机/服务器连接。

可以使用 GBase 8s 服务器加密选项来加密 HDR 对的数据库服务器之间的数据流量。当您想要确保安全的数据传输时，请如此操作。

当您启用加密后，HDR 对中的首个数据库服务器将在数据发送到对中另一服务器之前加密数据。接收数据的服务器收到数据即开始解密数据。

对于高可用性集群环境中的可更新辅助服务器，从可更新辅助服务器到主服务器的加密需要 SMX 加密。要加密从可更新辅助服务器发送到主服务器的数据，请在辅助服务器上设置 ENCRYPT_SMX 配置参数。请参阅启用 SMX 加密以获取更多信息。

限制：您无法在网络连接上启动 HDR，该连接是配置以使用客户机/服务器连接的 CSM 加密的。

可能需要附加的缓冲区或较大的缓冲区以满足已加密数据的大小。

要加密两台 HDR 数据库服务器之间的数据流量,请执行以下操作：

在 HDR 对中的首台服务器上设置以下配置参数。
- ENCRYPT_HDR，该参数启用或禁用 HDR 加密
- ENCRYPT_CIPHERS，它指定用于加密的密码和方式
- ENCRYPT_MAC，它控制消息认证代码 (MAC) 生成的级别
- ENCRYPT_MACFILE，它指定了 MAC 密钥文件的完整路径名列表
- ENCRYPT_SWITCH，它指定自动重新协商密码和密钥之间的分钟数
要更改这些参数，请遵循更改数据库服务器配置参数中的指示信息。
在辅助服务器上设置加密配置参数。
ENCRYPT_HDR、ENCRYPT_CIPHERS、ENCRYPT_MAC 和 ENCRYPT_SWITCH 配置参数必须具有主服务器上对应配置参数的相同值。ENCRYPT_MACFILE 配置参数可以在每台服务器上具有不同的值，但是文件中必须包含相同的 MAC 密钥。

例如，指定以下有关 HDR 对中的主服务器和辅助服务器的信息：

配置参数	主服务器上的样本设置	辅助服务器上的样本设置
ENCRYPT_HDR	`1`	`1`
ENCRYPT_CIPHERS	`all`	`all`
ENCRYPT_MAC	`medium`	`medium`
ENCRYPT_MACFILE	`/vobs/tristan/sqldist/etc/mac1.dat`	`vobs/tristan/sqldist/etc/mac2.dat`
ENCRYPT_SWITCH	`60,60`	`60,60`

在本例中，ENCRYPT_MACFILE 路径中主服务器的文件名是 mac1.dat，而 ENCRYPT_MACFILE 路径中辅助服务器的文件名是 mac2.dat。否则，所有的设置在两台服务器上是一样的。

仅使用这些配置参数来指定 HDR 的加密信息。不能通过使用 sqlhosts 文件中的 CSM 选项来指定 HDR 加密信息。

HDR 加密与 Enterprise Replication 加密一起使用，并控制启用或禁用 Enterprise Replication 加密。当 HDR 和 Enterprise Replication 相互联合使用时，可共享同样的 ENCRYPT_CIPHER、ENCRYPT_MAC、ENCRYPT_MACFILE 和 ENCRYPT_SWITCH 配置参数。

有关这些配置参数的更多信息，请参阅 GBase 8s 管理员参考。