Cassandra 인증 사용 설정

Private Cloud용 Edge v. 4.16.09

기본적으로 Cassandra는 인증이 사용 설정되지 않은 상태로 설치됩니다. 즉, 누구나 Cassandra에 액세스할 수 있습니다. Edge를 설치한 후 또는 설치 프로세스의 일부로 인증을 사용 설정할 수 있습니다.

Cassandra에서 인증을 사용 설정하기로 결정하면 다음 기본 사용자 인증 정보를 사용합니다.

  • 사용자 이름 = 'cassandra'
  • 비밀번호 = 'cassandra'

이 계정을 사용하거나, 계정에 다른 비밀번호를 설정하거나, 새 Cassandra 사용자를 만들 수 있습니다. Cassandra CREATE/ALTER/DROP USER 문을 사용하여 사용자를 추가, 삭제, 수정합니다.

자세한 내용은 http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html을 참고하세요.

설치 중에 Cassandra 인증 사용 설정

Cassandra 인증을 설치 시간으로 사용 설정할 수 있습니다. 그러나 Cassandra를 설치할 때 인증을 사용 설정할 수 있지만 기본 사용자 이름과 비밀번호는 변경할 수 없습니다. Cassandra 설치가 완료된 후에는 이 단계를 수동으로 수행해야 합니다.

참고: '-p c', '-p ds', '-p sa', '-p aio', '-p asa' 및 '-p ebp' 옵션을 사용하여 Cassandra를 설치할 때 이 절차를 사용합니다.

설치 시 Cassandra 인증을 사용 설정하려면 모든 Cassandra 노드의 구성 파일에 CASS_AUTH 속성을 포함합니다.

CASS_AUTH=y # The default value is n.

다음 에지 구성요소는 Cassandra에 액세스합니다.

  • 관리 서버
  • 메시지 프로세서
  • 라우터
  • Qpid 서버
  • Postgres 서버
  • BaaS 스택

따라서 이러한 구성요소를 설치할 때는 구성 파일에 다음 속성을 설정하여 Cassandra 사용자 인증 정보를 지정해야 합니다.

CASS_USERNAME=cassandra 
CASS_PASSWORD=cassandra

Cassandra를 설치한 후 Cassandra 사용자 인증 정보를 변경할 수 있습니다. 하지만 이미 관리 서버, 메시지 프로세서, 라우터, Qpid 서버, Postgres 서버 또는 BaaS 스택을 설치한 경우 새 사용자 인증 정보를 사용하도록 해당 구성요소도 업데이트해야 합니다.

Cassandra를 설치한 후 Cassandra 사용자 인증 정보를 변경하려면 다음 단계를 따르세요.

  1. cqlsh 도구와 기본 사용자 인증 정보를 사용하여 Cassandra 노드 하나에 로그인합니다. 노드 1개에서만 비밀번호를 변경하면 링에 있는 모든 Cassandra 노드에 비밀번호가 브로드캐스트됩니다.
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
    1. cassIP는 Cassandra 노드의 IP 주소입니다.
    2. 9042는 기본 Cassandra 포트입니다.
    3. 기본 사용자는 cassandra입니다.
    4. 기본 비밀번호는 cassandra입니다. 이전에 비밀번호를 변경했다면 현재 비밀번호를 사용하세요.
  2. 다음 명령어를 cqlsh> 프롬프트로 실행하여 비밀번호를 업데이트합니다.
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  3. cqlsh 도구 종료:
    cqlsh> exit
  4. 관리 서버, 메시지 프로세서, 라우터, Qpid 서버, Postgres 서버 또는 BaaS 스택을 아직 설치하지 않은 경우 구성 파일에서 다음 속성을 설정한 후 해당 구성요소를 설치합니다.
    CASS_USERNAME=cassandra
    CASS_PASSWORD=NEW_PASSWORD
  5. 관리 서버, 메시지 프로세서, 라우터, Qpid 서버, Postgres 서버 또는 BaaS 스택을 이미 설치한 경우 에지 비밀번호 재설정에서 새 비밀번호를 사용하도록 구성요소를 업데이트하는 절차를 참조하세요.

설치 후 Cassandra 인증 사용 설정

인증을 사용 설정하려면 다음 안내를 따르세요.

  • Cassandra 사용자 이름과 비밀번호로 Cassandra에 연결되는 모든 Edge 구성요소를 업데이트합니다.
  • 모든 Cassandra 노드에서 인증을 사용 설정합니다.
  • 노드 하나에 Cassandra 사용자 이름과 비밀번호를 설정합니다. Cassandra 노드 한 개에서 사용자 인증 정보를 변경하기만 하면 링에 있는 모든 Cassandra 노드에 브로드캐스트됩니다.

새 사용자 인증 정보로 Cassandra와 통신하는 모든 Edge 구성요소를 업데이트하려면 다음 절차를 따르세요. Cassandra 사용자 인증 정보를 실제로 업데이트하기 전에 이 단계를 수행합니다.

  1. 관리 서버 노드에서 다음 명령어를 실행합니다.
    > /opt/apigee/apigee-service/bin/apigee-serviceedge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    새 사용자 이름과 비밀번호가 포함된 명령어에 파일을 전달할 수 있습니다.
    > apigee-service edge-PASSFiles-f





    configFile
  2. 다음 기기에서 1단계를 반복합니다.
    • 모든 메시지 프로세서
    • 모든 라우터
    • 모든 Qpid 서버 (edge-qpid-server)
    • Postgres 서버 (edge-postgres-server)
  3. 버전 4.16.05.04 이상의 BaaS 스택 노드에서 다음을 실행합니다.
    1. 다음 명령어를 실행하여 암호화된 비밀번호를 생성합니다.
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      이 명령어는 일반 텍스트 비밀번호를 입력하라는 메시지를 표시하고 다음과 같은 형식으로 암호화된 비밀번호를 반환합니다.
      SECURE:ae1b6dedbf6b26aaab8bee35b751bc51bc51bc5f
    2. /opt/apigee/customer/application/usergrid.properties에 다음 토큰을 설정합니다. 해당 파일이 없으면 만듭니다.
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c209에 Cassandra의 기본 사용자 이름 사용       이 사용자 이름은
      .
      사용자 이름을 변경했다면 그에 따라 usergrid-deployment_cassandra.username 값을 설정합니다.

      비밀번호에 'SECURE:' 프리픽스를 포함해야 합니다. 그렇지 않으면 BaaS 스택이 값을 암호화되지 않은 것으로 해석합니다.

      참고: 각 BaaS 스택 노드에는 비밀번호를 암호화하는 데 사용되는 고유 키가 있습니다. 따라서 암호화된 값을 각 BaaS 스택 노드에서 개별적으로 생성해야 합니다.
    3. usergrid.properties 파일의 소유권을 'apigee' user로 변경합니다.
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. 스택 노드를 구성합니다.
      > /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. BaaS 스택을 다시 시작합니다.
      > /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. 모든 BaaS 스택 노드에 이 단계를 반복합니다.

다음 절차에 따라 Cassandra 인증을 사용 설정하고 사용자 이름과 비밀번호를 설정합니다.

  1. 첫 번째 Cassandra 노드에 로그인합니다.
  2. 다음 명령어를 실행합니다. 
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra
  enable_cassandra_authentication -e y

    이 명령어는 인증을 사용 설정하고 Cassandra를 다시 시작합니다.

  3. 모든 Cassandra 노드에서 1단계와 2단계를 반복합니다.
  4. cqlsh 도구와 기본 사용자 인증 정보를 사용하여 Cassandra 노드 하나에 로그인합니다. Cassandra 노드 한 개만 비밀번호를 변경하면 링에 있는 모든 Cassandra 노드에 비밀번호가 브로드캐스트됩니다. 
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    장소

    • cassIP는 Cassandra 노드의 IP 주소입니다.
    • 9042은 Cassandra 포트입니다.
    • 기본 사용자는 cassandra입니다.
    • 기본 비밀번호는 cassandra입니다. 이전에 비밀번호를 변경했다면 현재 비밀번호를 사용하세요.
  5. cqlsh> 프롬프트에서 다음 명령어를 실행하여 비밀번호를 업데이트합니다. 
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  6. cqlsh> 프롬프트에서 다음 명령어를 실행하여 키스페이스를 항상 사용할 수 있도록 합니다. 단일 데이터 센터: 
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3'};
    데이터 센터 2개: 
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3', 'dc-2': '3'};
  7. cqlsh 도구를 종료합니다. 
    exit
  8. nodetool repair를 실행하여 변경사항이 모든 Cassandra 노드에 전파되는지 확인합니다. 
    /opt/apigee/apigee-cassandra/bin/nodetool repair system_auth