服务器实例可以配置为使用安全连接。有关使用 MySQL 安全连接的一般信息，请参阅 使用加密连接。本节介绍如何配置集群以使用加密连接。另一种安全可能性是配置哪些服务器可以访问集群，请参阅创建服务器白名单。

用于dba.createCluster()设置集群时，如果服务器实例提供加密，则它会在种子实例上自动启用。将 memberSslMode选项传递给 dba.createCluster()方法以指定不同的 SSL 模式。集群的SSL模式只能在创建时设置。该memberSslMode选项是一个字符串，用于配置要使用的 SSL 模式，默认为AUTO. 支持以下模式：

例如，要将集群设置为使用 REQUIRED，发出：

mysql-js> var myCluster = dba.createCluster({memberSslMode: 'REQUIRED'})

如果您选择使用VERIFY_CAor 模式，则必须在每个集群实例上使用and/or 选项VERIFY_IDENTITY手动提供 CA 证书 。有关这些模式的更多信息，请参阅 。 ssl_cassl_capath--ssl-mode=mode

当您使用 Cluster.addInstance() 和 Cluster.rejoinInstance() 操作时，实例上的 SSL 加密将根据用于集群的设置启用或禁用。将 memberSslMode选项与这些操作中的任何一个结合使用，以将实例设置为使用不同的加密模式。

与采用现有组复制组 dba.createCluster()的 选项一起 使用时，采用的集群上不会更改任何 SSL 设置：adoptFromGR

MySQL Shell 始终为集群启用或禁用 SSL 以进行组复制恢复和组通信，请参阅 使用安全套接字层 (SSL) 保护组通信连接。在将新实例添加到集群时，如果种子实例的这些设置不同（例如，由于dba.createCluster()using 的结果），则会执行验证并发出错误。adoptFromGR必须为集群中的所有实例启用或禁用 SSL 加密。执行验证以确保在向集群添加新实例时此不变量成立。

默认情况下，该dba.deploySandboxInstance()命令尝试部署支持 SSL 加密的沙箱实例。如果不可能，则在不支持 SSL 的情况下部署服务器实例。请参阅 第 6.8.1 节，“部署沙箱实例”。

mysql-js> cluster.addInstance("icadmin@ic-3:3306", {ipAllowlist: "203.0.113.0/24, 198.51.100.110"})