ইন্টারনোড (বা নোড-টু-নোড) এনক্রিপশন টিএলএস ব্যবহার করে একটি ক্লাস্টারে নোডের মধ্যে ভ্রমণ করা ডেটা রক্ষা করে। এই পৃষ্ঠাটি ব্যাখ্যা করে যে কীভাবে ব্যক্তিগত ক্লাউডের জন্য TLS অন এজ ব্যবহার করে ক্যাসান্ড্রা ইন্টারনোড এনক্রিপশন সক্ষম করবেন। এই পদক্ষেপগুলি সম্পাদন করার জন্য, আপনাকে অবশ্যই আপনার ক্যাসান্ড্রা রিংয়ের বিবরণের সাথে পরিচিত হতে হবে।
ক্যাসান্দ্রা ইন্টারনোড এনক্রিপশন সক্ষম করুন
ক্যাসান্ড্রা ইন্টারনোড এনক্রিপশন সক্ষম করতে, ক্লাস্টারের সমস্ত নোডগুলিতে নীচের পদ্ধতিটি অনুসরণ করুন। আপনাকে প্রতিটি নোডের সর্বজনীন শংসাপত্রগুলি সমস্ত নোডে বিতরণ করতে হবে। এটি করার পরে, প্রতিটি নোডের ট্রাস্টস্টোরে node0.cer
, node1.cer
ইত্যাদি সার্টিফিকেট থাকবে। প্রতিটি নোড শুধুমাত্র তার কীস্টোরে নিজস্ব ব্যক্তিগত কী ধারণ করবে। উদাহরণস্বরূপ, node0
এর কীস্টোরে শুধুমাত্র node0.pem
থাকবে। আপনাকে প্রতিটি নোডে এনক্রিপশন সক্ষম করতে হবে, একবারে একটি।
ক্যাসান্ড্রা ইন্টারনোড এনক্রিপশন সক্ষম করতে এই পদক্ষেপগুলি অনুসরণ করুন:
একটি স্ব-স্বাক্ষরিত কী এবং শংসাপত্র তৈরি করতে পরিশিষ্টের ধাপগুলি অনুসরণ করে সার্ভার শংসাপত্র তৈরি করুন৷
নিম্নলিখিত পদক্ষেপগুলি অনুমান করে আপনি
keystore.node0
এবংtruststore.node0
তৈরি করেছেন, সেইসাথে কীস্টোর এবং ট্রাস্টস্টোর পাসওয়ার্ডগুলি, যেমন পরিশিষ্টে ব্যাখ্যা করা হয়েছে। পরবর্তী ধাপে এগিয়ে যাওয়ার আগে প্রতিটি নোডে প্রাথমিক ধাপ হিসেবে কীস্টোর এবং ট্রাস্টস্টোর তৈরি করা উচিত।- নিম্নলিখিত বৈশিষ্ট্যগুলি
/opt/apigee/customer/application/cassandra.properties
ফাইলে যোগ করুন। যদি ফাইলটি বিদ্যমান না থাকে তবে এটি তৈরি করুন।conf_cassandra_internode_encryption=all conf_cassandra_keystore=/opt/apigee/data/apigee-cassandra/keystore.node0 conf_cassandra_keystore_password=keypass conf_cassandra_truststore=/opt/apigee/data/apigee-cassandra/truststore.node0 conf_cassandra_truststore_password=trustpass # Optionally set the following to enable 2-way TLS or mutual TLS # conf_cassandra_require_client_auth=true
- নিশ্চিত করুন যে
cassandra.properties
ফাইলটি apigee ব্যবহারকারীর মালিকানাধীন:chown apigee:apigee \ /opt/apigee/customer/application/cassandra.properties
প্রতিটি ক্যাসান্দ্রা নোডে নিম্নলিখিত পদক্ষেপগুলি চালান, এক সময়ে, যাতে পরিবর্তনগুলি ব্যবহারকারীদের জন্য কোনও ডাউনটাইম না ঘটিয়ে কার্যকর হয়:
- ক্যাসান্দ্রা পরিষেবা বন্ধ করুন:
/opt/apigee/apigee-service/bin/apigee-service \ apigee-cassandra stop
- ক্যাসান্দ্রা পরিষেবা পুনরায় চালু করুন:
/opt/apigee/apigee-service/bin/apigee-service \ apigee-cassandra start
- TLS এনক্রিপশন পরিষেবা শুরু হয়েছে কিনা তা নির্ধারণ করতে, নিম্নলিখিত বার্তাটির জন্য সিস্টেম লগগুলি পরীক্ষা করুন:
Starting Encrypted Messaging Service on TLS port
সার্টিফিকেট ঘূর্ণন সঞ্চালন
শংসাপত্র ঘোরাতে, এই পদক্ষেপগুলি অনুসরণ করুন:
- একটি বিদ্যমান ক্যাসান্ড্রা নোডের ট্রাস্টস্টোরে প্রতিটি অনন্য উৎপন্ন কী জোড়ার জন্য শংসাপত্র যোগ করুন ( পরিশিষ্ট দেখুন), যেমন পুরানো শংসাপত্র এবং নতুন শংসাপত্র উভয়ই একই ট্রাস্টস্টোরে বিদ্যমান:
keytool -import -v -trustcacerts -alias NEW_ALIAS \ -file CERT -keystore EXISTING_TRUSTSTORE
যেখানে
NEW_ALIAS
হল এন্ট্রি শনাক্ত করার জন্য একটি অনন্য স্ট্রিং,CERT
হল শংসাপত্র ফাইলের নাম যোগ করার জন্য, এবংEXISTING_TRUSTSTORE
হল ক্যাসান্দ্রা নোডে বিদ্যমান ট্রাস্টস্টোরের নাম। - প্রতিটি নোডের দ্বারা ব্যবহৃত বিদ্যমান ট্রাস্টস্টোর প্রতিস্থাপন করে ক্লাস্টারের সমস্ত ক্যাসান্ড্রা নোডগুলিতে ট্রাস্টস্টোর বিতরণ করতে একটি অনুলিপি ইউটিলিটি, যেমন scp ব্যবহার করুন।
- নতুন ট্রাস্টস্টোর লোড করার জন্য ক্লাস্টারের একটি রোলিং রিস্টার্ট সম্পাদন করুন এবং নতুন কীগুলি স্থাপন করার আগে তাদের জন্য বিশ্বাস স্থাপন করুন:
/opt/apigee/apigee-service/bin/apigee-service \ apigee-cassandra restart
- ক্লাস্টারের প্রতিটি ক্যাসান্ড্রা নোডে, cassandra.properties ফাইলের নতুন কীস্টোর মানগুলিতে নীচে দেখানো বৈশিষ্ট্যগুলি আপডেট করুন:
conf_cassandra_keystore=NEW_KEYSTORE_PATH conf_cassandra_keystore_password=NEW_KEYSTORE_PASSOWRD
where
NEW_KEYSTORE_PATH
is the path to the directory where the keystore file is located andNEW_KEYSTORE_PASSWORD
is the keystore password set when the certificates were created, as explained in the Appendix. - Stop the Cassandra service:
/opt/apigee/apigee-service/bin/apigee-service \ apigee-cassandra stop
- ক্যাসান্দ্রা পরিষেবা পুনরায় চালু করুন:
/opt/apigee/apigee-service/bin/apigee-service \ apigee-cassandra start
- সমস্ত নোডের মধ্যে যোগাযোগ সফলভাবে প্রতিষ্ঠিত হলে, পরবর্তী ক্যাসান্দ্রা নোডে যান। দ্রষ্টব্য: সমস্ত নোডের মধ্যে যোগাযোগ সফলভাবে প্রতিষ্ঠিত হলে শুধুমাত্র পরবর্তী নোডে যান।
পরিশিষ্ট
নিম্নলিখিত উদাহরণ ব্যাখ্যা করে কিভাবে ইন্টারনোড এনক্রিপশন পদক্ষেপগুলি সম্পাদন করার জন্য প্রয়োজনীয় সার্ভার শংসাপত্র প্রস্তুত করতে হয়। উদাহরণে দেখানো কমান্ডগুলি নিম্নলিখিত পরামিতিগুলি ব্যবহার করে:
প্যারামিটার | বর্ণনা |
---|---|
node0 | নোড সনাক্ত করতে কোনো অনন্য স্ট্রিং. |
keystore.node0 | একটি কীস্টোরের নাম। কমান্ড অনুমান করে যে এই ফাইলটি বর্তমান ডিরেক্টরিতে রয়েছে। |
keypass | কী-স্টোর এবং কী উভয়ের জন্যই কিপাস একই হতে হবে। |
dname | node0 এর IP ঠিকানাকে 10.128.0.39 হিসাবে চিহ্নিত করে। |
-validity | এই পতাকায় সেট করা মান জেনারেট করা কী জোড়াটিকে 10 বছরের জন্য বৈধ করে তোলে। |
- নিম্নলিখিত ডিরেক্টরিতে যান:
cd /opt/apigee/data/apigee-cassandra
- বর্তমান ডিরেক্টরিতে
keystore.node0
নামের একটি ফাইল তৈরি করতে নিম্নলিখিত কমান্ডটি চালান:keytool -genkey -keyalg RSA -alias node0 -validity 3650 \ -keystore keystore.node0 -storepass keypass \ -keypass keypass -dname "CN=10.128.0.39, OU=None, \ O=None, L=None, C=None"
গুরুত্বপূর্ণ: নিশ্চিত করুন যে কী পাসওয়ার্ডটি কীস্টোর পাসওয়ার্ডের মতোই।
- একটি পৃথক ফাইলে শংসাপত্র রপ্তানি করুন:
keytool -export -alias node0 -file node0.cer \ -keystore keystore.node0
- নিশ্চিত করুন যে ফাইলটি শুধুমাত্র apigee ব্যবহারকারীর দ্বারা পাঠযোগ্য এবং অন্য কেউ নয়:
$ chown apigee:apigee \ /opt/apigee/data/apigee-cassandra/keystore.node0 $ chmod 400 /opt/apigee/data/apigee-cassandra/keystore.node0
- নোডের ট্রাস্টস্টোরে জেনারেট করা শংসাপত্র
node0.cer
আমদানি করুন:keytool -import -v -trustcacerts -alias node0 \ -file node0.cer -keystore truststore.node0
উপরের কমান্ডটি আপনাকে একটি পাসওয়ার্ড সেট করতে বলে। এটি ট্রাস্টস্টোর পাসওয়ার্ড এবং আপনি আগে সেট করা কীস্টোর পাসওয়ার্ড থেকে আলাদা হতে পারে। যদি শংসাপত্রে বিশ্বাস করার জন্য অনুরোধ করা হয়,
yes
লিখুন। - কোন কী ছাড়াই শংসাপত্রের একটি PEM ফাইল তৈরি করতে openssl ব্যবহার করুন। উল্লেখ্য যে
cqlsh
উৎপন্ন বিন্যাসে শংসাপত্রের সাথে কাজ করে না।$ keytool -importkeystore -srckeystore keystore.node0 \ -destkeystore node0.p12 -deststoretype PKCS12 -srcstorepass \ keypass -deststorepass keypass $ openssl pkcs12 -in node0.p12 -nokeys -out node0.cer.pem \ -passin pass:keypass $ openssl pkcs12 -in node0.p12 -nodes -nocerts -out node0.key.pem -passin pass:keypass
- নোড-টু-নোড এনক্রিপশনের জন্য, প্রতিটি নোডে
node0.cer
ফাইলটি অনুলিপি করুন এবং প্রতিটি নোডের ট্রাস্টস্টোরে এটি আমদানি করুন।keytool -import -v -trustcacerts -alias node0 \ -file node0.cer -keystore truststore.node1
- কীস্টোর এবং ট্রাস্টস্টোর ফাইলগুলিতে শংসাপত্রগুলি পরীক্ষা করতে
keytool -list
ব্যবহার করুন:$ keytool -list -keystore keystore.node0 $ keytool -list -keystore truststore.node0