私有雲的邊緣 4.17.05 版
根據預設,Cassandra 安裝但不啟用驗證功能。這代表任何人都可以存取 Cassandra。您可以在安裝 Edge 後啟用驗證功能,或在安裝過程中啟用驗證功能。
如果決定在 Cassandra 上啟用驗證,系統會使用下列預設憑證:
- 使用者名稱 =「cassandra」
- 密碼 =「cassandra」
您可以使用這個帳戶、為這個帳戶設定其他密碼,或是建立新的 Cassandra 使用者。使用 Cassandra CREATE/ALTER/DROP 使用者陳述式新增、移除及修改使用者。
詳情請參閱 http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html。
在安裝期間啟用 Cassandra 驗證
您可以啟用 Cassandra 驗證做為安裝時間。不過,雖然您可以在安裝 Cassandra 時啟用驗證功能,但無法變更預設的使用者名稱和密碼。 Cassandra 安裝完成後,您必須手動執行該步驟。
注意事項:使用「-p c」、「-p ds」、「-p sa」、「-p aio」、「-p asa」和「-p ebp」選項來安裝 Cassandra 時,請參考這項程序。
如要在安裝時啟用 Cassandra 驗證,請在所有 Cassandra 節點的設定檔中包含 CASS_AUTH 屬性:
CASS_AUTH=y # The default value is n.
下列 Edge 元件可存取 Cassandra:
- 管理伺服器
- 訊息處理器
- 路由器
- Qpid 伺服器
- Postgres 伺服器
- BaaS 堆疊
因此,在安裝這些元件時,您必須在設定檔中設定下列屬性,才能指定 Cassandra 憑證:
CASS_USERNAME=cassandra CASS_PASSWORD=cassandra
您可以在安裝 Cassandra 後變更 Cassandra 憑證。不過,若您已安裝管理伺服器、訊息處理器、路由器、Qpid 伺服器、Postgres 伺服器或 BaaS Stack,您還必須更新這些元件來使用新憑證。
如何在安裝 Cassandra 後變更 Cassandra 憑證:
- 使用 cqlsh 工具和預設憑證登入任一 Cassandra 節點。您只需變更一個節點上的密碼,系統會向該節點中的所有 Cassandra 節點廣播:
> /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
- cassIP 是 Cassandra 節點的 IP 位址。
- 9042 是預設的 Cassandra 通訊埠。
- 預設使用者為 cassandra。
- 預設密碼為 cassandra。如果之前變更過密碼,請使用目前的密碼。
- 在 cqlsh> 提示中執行下列指令,以更新密碼:
cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD'; - 結束 cqlsh 工具:
cqlsh> exit - 如果您尚未安裝管理伺服器、訊息處理器、路由器、Qpid 伺服器、Postgres 伺服器或 BaaS Stack,請在設定檔中設定下列屬性,然後安裝這些元件:
CASS_USERNAME=cassandra
CASS_PASSWORD=NEW_PASSWORD - 如果您已安裝管理伺服器、訊息處理器、路由器、Qpid 伺服器、Postgres 伺服器或 BaaS Stack,請參閱「重設邊緣密碼」一文,瞭解更新這些元件以使用新密碼的程序。
啟用安裝後的 Cassandra 驗證
如何啟用驗證功能:
- 使用 Cassandra 使用者名稱和密碼更新所有連線至 Cassandra 的 Edge 元件。
- 在所有 Cassandra 節點上啟用驗證功能。
- 在任何節點上設定 Cassandra 使用者名稱和密碼。您只需要變更一個 Cassandra 節點上的憑證,這些憑證就會廣播到環環中的所有 Cassandra 節點。
請按照下列程序,更新與 Cassandra 通訊的所有 Edge 元件使用新憑證。請注意,在您實際更新 Cassandra 憑證之前,請先執行此步驟:
- 在管理伺服器節點中執行下列指令:
> /opt/apigee/apigee-service/bin/apigee-service Edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
您可以選擇將檔案傳送至含有新使用者名稱與密碼的指令。
> apigee-service Edge-PASSWORDS
configFile - 重複步驟 1:
- 所有訊息處理器
- 所有路由器
- 所有 Qpid 伺服器 (edge-qpid-server)
- Postgres 伺服器 (edge-postgres-server)
- 在 4.16.05.04 以上版本的 BaaS Stack 節點上:
- 執行下列指令,產生已加密的密碼:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password
這個指令會提示你輸入純文字密碼,並傳回經過加密的密碼,格式為:
SECURE:ae1b6dedbf6b26aaab8bec035030301301523 - 在 /opt/apigee/customer/application/usergrid.properties 設定下列權杖。如果該檔案不存在,請建立檔案:
usergrid-deployment_cassandra.username=cassandra
usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c50 <使用者名稱>
如果您變更了使用者名稱,請據此設定 usergrid-deployment_cassandra.username 的值。
請務必在密碼中加入「SECURE:」前置字串。否則,BaaS Stack 會將這個值解讀為未加密。
注意:每個 BaaS 堆疊節點都有專屬的密碼,用來加密密碼。因此,您必須分別為各個 BaaS Stack 節點產生加密值。 - 將 usergrid.properties 檔案的擁有權變更為「apigee」使用者:
> chown apigee:apigee /opt/apigee/customer/application/usergrid.properties - 設定堆疊節點:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid 設定 - 重新啟動 BaaS 堆疊:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart - 針對所有 BaaS Stack 論點重複上述步驟。
- 執行下列指令,產生已加密的密碼:
請按照下列程序啟用 Cassandra 驗證,並設定使用者名稱和密碼:
- 登入第一個 Cassandra 節點。
- 執行下列指令:
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra enable_cassandra_authentication -e y
這個指令會啟用驗證並重新啟動 Cassandra。
- 對所有 Cassandra 節點重複步驟 1 和 2。
- 使用
cqlsh
工具和預設憑證登入任一 Cassandra 節點。您只需要變更一個 Cassandra 節點的密碼,該節點就會廣播到環環中的所有 Cassandra 節點:/opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
地點
- cassIP 是 Cassandra 節點的 IP 位址。
- 9042 是 Cassandra 通訊埠。
- 預設使用者為
cassandra
。 - 預設密碼為
cassandra
。如果之前變更過密碼,請使用目前的密碼。
- 在
cqlsh>
提示中執行下列指令,以更新密碼:ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
- 請在
cqlsh>
提示中執行下列指令,確保鍵空間隨時可用。 針對單一資料中心:ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3'};
若是兩個資料中心:ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3', 'dc-2': '3'};
- 退出
cqlsh
工具:exit
- 執行
nodetool repair
,確保變更已套用至所有 Cassandra 節點:/opt/apigee/apigee-cassandra/bin/nodetool repair system_auth