הפעלת אימות קסנדרה

Edge for Private Cloud v4.18.01

כברירת מחדל, Cassandra מתקינה ללא אימות. המשמעות היא שכל אחד יכול לגשת ל-Kassandra. אפשר להפעיל את האימות אחרי שמתקינים את Edge או כחלק מתהליך ההתקנה.

אם תחליטו להפעיל אימות ב-Cassandra, המערכת תשתמש בפרטי הכניסה הבאים שמוגדרים כברירת מחדל:

  • username = 'cassandra'
  • password = 'cassandra'

אפשר להשתמש בחשבון הזה, להגדיר סיסמה אחרת לחשבון הזה או ליצור משתמש חדש ב-Cassandra. הוספה, הסרה ושינוי של המשתמשים באמצעות ההצהרות של Cassandra CREATE/ALTER/DROP USER.

מידע נוסף זמין במאמר פקודות מעטפת SQL של SQL.

הפעלת אימות של Cassandra במהלך ההתקנה

אפשר להפעיל אימות של Cassandra כזמן ההתקנה. עם זאת, למרות שאפשר להפעיל את האימות במהלך התקנת Cassandra, אי אפשר לשנות את שם המשתמש והסיסמה כברירת מחדל. עליכם לבצע את השלב הזה באופן ידני לאחר השלמת ההתקנה של קסנדרה.

הערה: אפשר להשתמש בתהליך הזה במהלך התקנת Cassandra באמצעות האפשרויות --p c, -pp ds, p-sa, p-aio

כדי להפעיל אימות של Cassandra בזמן ההתקנה, כוללים את המאפיין CASS_AUTH בקובץ התצורה לכל צומתי Cassandra:

CASS_AUTH=y # The default value is n.

הרכיבים הבאים של Edge ניגשים לקסנדרה:

  • שרת ניהול
  • מעבדי הודעות
  • נתבים
  • שרתי Qpid
  • שרתי Postgres
  • ערימת BaaS

לכן, כשמתקינים את הרכיבים האלה, צריך להגדיר את המאפיינים הבאים בקובץ התצורה כדי לציין את פרטי הכניסה של Cassandra:

CASS_USERNAME=cassandra 
CASS_PASSWORD=cassandra

תוכלו לשנות את פרטי הכניסה של Cassandra לאחר התקנת Cassandra. עם זאת, אם כבר התקנת את השרת Management, את מעבדי ההודעות, את הנתבים, את שרתי ה-Qpid, את שרתי Postgres או את BaS Stack, צריך לעדכן את הרכיבים האלה גם באמצעות פרטי הכניסה החדשים.

כדי לשנות את פרטי הכניסה של Cassandra לאחר התקנת Cassandra:

  1. מתחברים לכל צומת Cassandra אחד באמצעות הכלי cqlsh ועם פרטי הכניסה המוגדרים כברירת מחדל. צריך לשנות את הסיסמה רק בצומת אחד, והיא תשודר לכל צומתי Cassandra בטבעת:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
      ?where:
    1. cassIP היא כתובת ה-IP של הצומת של Cassandra.
    2. 9042 היא יציאת ברירת המחדל של Cassandra.
    3. משתמש ברירת המחדל הוא cassandra.
    4. סיסמת ברירת המחדל היא cassandra. אם שינית את הסיסמה בעבר, עליך להשתמש בסיסמה הנוכחית.
  2. מריצים את הפקודה הבאה כהנחיה cqlsh> כדי לעדכן את הסיסמה:
    cqlsh> ALTER USER cassandra עם PASSWORD 'NEW_PASSWORD';
  3. יציאה מכלי ה-cqlsh:
    cqlsh> יציאה
  4. אם עדיין לא התקנת את שרת הניהול, את מעבדי ההודעות, את הנתבים, את שרתי ה-Qpid, את שרתי Postgres או את BaS Stack, מגדירים את המאפיינים הבאים בקובץ התצורה ואז מתקינים את הרכיבים הבאים:
    CASS_USERNAME=cassandra
    CASS_PASSWORD=NEW_PASSWORD
  5. אם כבר התקנתם את שרת הניהול, את מעבדי ההודעות, את הנתבים, את שרתי ה-Qpid, את שרתי Postgres או את ערימת ה-BaaS, במאמר איפוס סיסמאות קצה מוסבר איך לעדכן את הרכיבים האלה כדי להשתמש בסיסמה החדשה.

הפעלת התקנה לאחר אימות Cassandra

כדי להפעיל אימות:

  • יש לעדכן את כל הרכיבים ב-Edge שמתחברים ל-Cassandra עם שם המשתמש והסיסמה של Cassandra.
  • יש להפעיל אימות בכל הצמתים של קסנדרה.
  • הגדרת שם המשתמש והסיסמה של Cassandra בכל צומת. רק צריך לשנות את פרטי הכניסה בצומת אחד של Cassandra, והם יועברו לכל הצמתים של Cassandra בטבעת.

יש להשתמש בתהליך הבא כדי לעדכן את כל רכיבי Edge שמתקשרים עם Cassandra עם פרטי הכניסה החדשים. חשוב לשים לב: השלב הזה מתבצע לפני שמעדכנים את פרטי הכניסה של Cassandra:

  1. בצומת 'שרת הניהול', מריצים את הפקודה הבאה:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    אופציונלי, אפשר להעביר קובץ לפקודה שמכילה את שם המשתמש והסיסמה החדשים:
    > apige.service_account משתמש ב- משתמש.





  2. חוזרים על שלב 1:
    • כל מעבדי ההודעות
    • כל הנתבים
    • כל שרתי ה-Qpid (edge-qpid-server)
    • שרתי Postgres (edge-postgres-server)
  3. בצומת BaS Stack לגרסה 4.16.05.04 ואילך:
    1. מריצים את הפקודה הבאה כדי ליצור סיסמה מוצפנת:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      הפקודה הזו מבקשת להזין את הסיסמה הרגילה של הטקסט ומחזירה את הסיסמה המוצפנת בפורמט הבא:
      SECURE:ae1b6dedbf6b25aa53aa53aa53aa55aa55aa55aa55aa55
    2. מגדירים את האסימונים הבאים בכתובת /opt/apigee/customer/application/usergrid.properties. אם הקובץ לא קיים, יוצרים אותו:
      usergrid-Deploy_cassandra.username=cassandra
      usergrid-Deploy_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c15b55f3505c239e

      אם שינית את שם המשתמש, צריך להגדיר את הערך usergrid-Deploy_cassandra.username בהתאם.

      יש להקפיד לכלול את הקידומת "אבטחה:" בסיסמה. אחרת, ערימת ה-BaS תפרש את הערך כלא מוצפן.

      הערה: לכל צומת BaS Stack יש מפתח ייחודי משלו שמשמש להצפנת הסיסמה. לכן צריך ליצור את הערך המוצפן בכל צומת BaS Stack.
    3. משנים את הבעלות על הקובץ usergrid.properties למשתמש בשם 'apigee':
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. מגדירים את הצומת Stack:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid מגדירים
    5. אתחול של ערימת ה-BaS:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid
    6. חוזרים על השלבים האלה בכל התנועות ב-BaS Stack.

יש להשתמש בתהליך הבא כדי להפעיל אימות של Cassandra ולהגדיר את שם המשתמש והסיסמה:

  1. התחבר לצומת Cassandra הראשון.
  2. מריצים את הפקודה הבאה:
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra
      enable_cassandra_authentication -e y

    הפקודה הזו מאפשרת אימות ומפעילה מחדש את Cassandra.

  3. חוזרים על שלבים 1 ו-2 בכל צומתי קסנדרה.
  4. מתחברים לכל צומת Cassandra אחד באמצעות הכלי cqlsh ופרטי הכניסה שמוגדרים כברירת מחדל. צריך לשנות את הסיסמה רק בצומת אחד של Cassandra, והיא תשודר לכל צומתי Cassandra בטבעת:
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    מיקום

    • cassIP היא כתובת ה-IP של צומת קסנדרה.
    • 9042 היא נמל קסנדרה.
    • משתמש ברירת המחדל הוא cassandra.
    • סיסמת ברירת המחדל היא cassandra. אם שינית את הסיסמה בעבר, עליך להשתמש בסיסמה הנוכחית.
  5. מריצים את הפקודה הבאה בשורת הפקודה cqlsh> כדי לעדכן את הסיסמה:
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  6. מריצים את הפקודה הבאה בהודעה cqlsh> כדי לוודא שמקש הרווח תמיד יהיה זמין. למרכז נתונים יחיד:
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3'};
    לשני מרכזי נתונים:
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3', 'dc-2': '3'};
  7. יוצאים מהכלי cqlsh:
    exit
  8. מריצים את הפקודה nodetool repair כדי לוודא שהשינוי הופץ לכל הצמתים של קסנדרה:
    /opt/apigee/apigee-cassandra/bin/nodetool repair system_auth