এই পৃষ্ঠাটি Cloud Translation API অনুবাদ করেছে।

ক্যাসান্দ্রা ইন্টারনোড এনক্রিপশন সক্ষম করুন

ইন্টারনোড (বা নোড-টু-নোড) এনক্রিপশন টিএলএস ব্যবহার করে একটি ক্লাস্টারে নোডের মধ্যে ভ্রমণ করা ডেটা রক্ষা করে। এই পৃষ্ঠাটি ব্যাখ্যা করে যে কীভাবে ব্যক্তিগত ক্লাউডের জন্য TLS অন এজ ব্যবহার করে ক্যাসান্ড্রা ইন্টারনোড এনক্রিপশন সক্ষম করবেন। এই পদক্ষেপগুলি সম্পাদন করার জন্য, আপনাকে অবশ্যই আপনার ক্যাসান্ড্রা রিংয়ের বিবরণের সাথে পরিচিত হতে হবে।

ক্যাসান্দ্রা ইন্টারনোড এনক্রিপশন সক্ষম করুন

ক্যাসান্ড্রা ইন্টারনোড এনক্রিপশন সক্ষম করতে, ক্লাস্টারের সমস্ত নোডগুলিতে নীচের পদ্ধতিটি অনুসরণ করুন। আপনাকে প্রতিটি নোডের সর্বজনীন শংসাপত্রগুলি সমস্ত নোডে বিতরণ করতে হবে। এটি করার পরে, প্রতিটি নোডের ট্রাস্টস্টোরে node0.cer , node1.cer ইত্যাদি সার্টিফিকেট থাকবে। প্রতিটি নোড শুধুমাত্র তার কীস্টোরে নিজস্ব ব্যক্তিগত কী ধারণ করবে। উদাহরণস্বরূপ, node0 এর কীস্টোরে শুধুমাত্র node0.pem থাকবে। আপনাকে প্রতিটি নোডে এনক্রিপশন সক্ষম করতে হবে, একবারে একটি।

ক্যাসান্ড্রা ইন্টারনোড এনক্রিপশন সক্ষম করতে এই পদক্ষেপগুলি অনুসরণ করুন:

একটি স্ব-স্বাক্ষরিত কী এবং শংসাপত্র তৈরি করতে পরিশিষ্টের ধাপগুলি অনুসরণ করে সার্ভার শংসাপত্র তৈরি করুন৷
নিম্নলিখিত পদক্ষেপগুলি অনুমান করে আপনি keystore.node0 এবং truststore.node0 তৈরি করেছেন, সেইসাথে কীস্টোর এবং ট্রাস্টস্টোর পাসওয়ার্ডগুলি, যেমন পরিশিষ্টে ব্যাখ্যা করা হয়েছে। পরবর্তী ধাপে এগিয়ে যাওয়ার আগে প্রতিটি নোডে প্রাথমিক ধাপ হিসেবে কীস্টোর এবং ট্রাস্টস্টোর তৈরি করা উচিত।

নিম্নলিখিত বৈশিষ্ট্যগুলি /opt/apigee/customer/application/cassandra.properties ফাইলে যোগ করুন। যদি ফাইলটি বিদ্যমান না থাকে তবে এটি তৈরি করুন।

conf_cassandra_internode_encryption=all
conf_cassandra_keystore=/opt/apigee/data/apigee-cassandra/keystore.node0
conf_cassandra_keystore_password=keypass
conf_cassandra_truststore=/opt/apigee/data/apigee-cassandra/truststore.node0
conf_cassandra_truststore_password=trustpass
# Optionally set the following to enable 2-way TLS or mutual TLS
# conf_cassandra_require_client_auth=true

নিশ্চিত করুন যে cassandra.properties ফাইলটি apigee ব্যবহারকারীর মালিকানাধীন:
```
chown apigee:apigee \
/opt/apigee/customer/application/cassandra.properties
```

প্রতিটি ক্যাসান্দ্রা নোডে নিম্নলিখিত পদক্ষেপগুলি চালান, এক সময়ে, যাতে পরিবর্তনগুলি ব্যবহারকারীদের জন্য কোনও ডাউনটাইম না ঘটিয়ে কার্যকর হয়:

Cassandra পরিষেবা বন্ধ করুন:

/opt/apigee/apigee-service/bin/apigee-service \
apigee-cassandra stop

Cassandra পরিষেবাটি পুনরায় চালু করুন:
```
/opt/apigee/apigee-service/bin/apigee-service \
apigee-cassandra start
```
TLS এনক্রিপশন পরিষেবা শুরু হয়েছে কিনা তা নির্ধারণ করতে, নিম্নলিখিত বার্তাটির জন্য সিস্টেম লগগুলি পরীক্ষা করুন:
```
Starting Encrypted Messaging Service on TLS port
```

সার্টিফিকেট ঘূর্ণন সঞ্চালন

শংসাপত্র ঘোরাতে, এই পদক্ষেপগুলি অনুসরণ করুন:

একটি বিদ্যমান ক্যাসান্ড্রা নোডের ট্রাস্টস্টোরে প্রতিটি অনন্য উৎপন্ন কী জোড়ার জন্য শংসাপত্র যোগ করুন ( পরিশিষ্ট দেখুন), যেমন পুরানো শংসাপত্র এবং নতুন শংসাপত্র উভয়ই একই ট্রাস্টস্টোরে বিদ্যমান:
```
keytool -import -v -trustcacerts -alias NEW_ALIAS \
-file CERT -keystore EXISTING_TRUSTSTORE
```
যেখানে NEW_ALIAS হল এন্ট্রি শনাক্ত করার জন্য একটি অনন্য স্ট্রিং, CERT হল শংসাপত্র ফাইলের নাম যোগ করার জন্য, এবং EXISTING_TRUSTSTORE হল ক্যাসান্দ্রা নোডে বিদ্যমান ট্রাস্টস্টোরের নাম।
প্রতিটি নোডের দ্বারা ব্যবহৃত বিদ্যমান ট্রাস্টস্টোর প্রতিস্থাপন করে ক্লাস্টারের সমস্ত ক্যাসান্ড্রা নোডগুলিতে ট্রাস্টস্টোর বিতরণ করতে একটি অনুলিপি ইউটিলিটি, যেমন scp ব্যবহার করুন।
নতুন ট্রাস্টস্টোর লোড করার জন্য ক্লাস্টারের একটি রোলিং রিস্টার্ট সম্পাদন করুন এবং নতুন কীগুলি যথাস্থানে থাকার আগে তার জন্য বিশ্বাস স্থাপন করুন:
```
/opt/apigee/apigee-service/bin/apigee-service \
apigee-cassandra restart
```

ক্লাস্টারের প্রতিটি ক্যাসান্ড্রা নোডে, cassandra.properties ফাইলের নতুন কীস্টোর মানগুলিতে নীচে দেখানো বৈশিষ্ট্যগুলি আপডেট করুন:

conf_cassandra_keystore=NEW_KEYSTORE_PATH conf_cassandra_keystore_password=NEW_KEYSTORE_PASSOWRD

where NEW_KEYSTORE_PATH is the path to the directory where the keystore file is located and NEW_KEYSTORE_PASSWORD is the keystore password set when the certificates were created, as explained in the Appendix.

Stop the Cassandra service:

/opt/apigee/apigee-service/bin/apigee-service \
apigee-cassandra stop

Cassandra পরিষেবাটি পুনরায় চালু করুন:
```
/opt/apigee/apigee-service/bin/apigee-service \
apigee-cassandra start
```
সমস্ত নোডের মধ্যে যোগাযোগ সফলভাবে প্রতিষ্ঠিত হলে, পরবর্তী ক্যাসান্দ্রা নোডে যান। দ্রষ্টব্য: সমস্ত নোডের মধ্যে যোগাযোগ সফলভাবে প্রতিষ্ঠিত হলে শুধুমাত্র পরবর্তী নোডে যান।

পরিশিষ্ট

নিম্নলিখিত উদাহরণ ব্যাখ্যা করে কিভাবে ইন্টারনোড এনক্রিপশন পদক্ষেপগুলি সম্পাদন করার জন্য প্রয়োজনীয় সার্ভার শংসাপত্র প্রস্তুত করতে হয়। উদাহরণে দেখানো কমান্ডগুলি নিম্নলিখিত পরামিতিগুলি ব্যবহার করে:

প্যারামিটার	বর্ণনা
`node0`	নোড সনাক্ত করতে কোনো অনন্য স্ট্রিং.
`keystore.node0`	একটি কীস্টোরের নাম। কমান্ড অনুমান করে যে এই ফাইলটি বর্তমান ডিরেক্টরিতে রয়েছে।
`keypass`	কী-স্টোর এবং কী উভয়ের জন্যই কিপাস একই হতে হবে।
`dname`	`node0` এর IP ঠিকানাকে `10.128.0.39` হিসাবে চিহ্নিত করে।
`-validity`	এই পতাকায় সেট করা মান জেনারেট করা কী জোড়াটিকে 10 বছরের জন্য বৈধ করে তোলে।

নিম্নলিখিত ডিরেক্টরিতে যান:
```
cd /opt/apigee/data/apigee-cassandra
```
বর্তমান ডিরেক্টরিতে keystore.node0 নামের একটি ফাইল তৈরি করতে নিম্নলিখিত কমান্ডটি চালান:
```
keytool -genkey -keyalg RSA -alias node0 -validity 3650 \
-keystore keystore.node0 -storepass keypass \
-keypass keypass -dname "CN=10.128.0.39, OU=None, \
O=None, L=None, C=None"
```
গুরুত্বপূর্ণ: নিশ্চিত করুন যে কী পাসওয়ার্ডটি কীস্টোর পাসওয়ার্ডের মতোই।
একটি পৃথক ফাইলে শংসাপত্রটি রপ্তানি করুন:
```
keytool -export -alias node0 -file node0.cer \
-keystore keystore.node0
```
নিশ্চিত করুন যে ফাইলটি শুধুমাত্র apigee ব্যবহারকারীর দ্বারা পঠনযোগ্য এবং অন্য কেউ নয়:
```
$ chown apigee:apigee \
/opt/apigee/data/apigee-cassandra/keystore.node0
$ chmod 400 /opt/apigee/data/apigee-cassandra/keystore.node0
```
নোডের ট্রাস্টস্টোরে জেনারেট করা শংসাপত্র node0.cer আমদানি করুন:
```
keytool -import -v -trustcacerts -alias node0 \
-file node0.cer -keystore truststore.node0
```
উপরের কমান্ডটি আপনাকে একটি পাসওয়ার্ড সেট করতে বলে। এটি ট্রাস্টস্টোর পাসওয়ার্ড এবং আপনি আগে সেট করা কীস্টোর পাসওয়ার্ড থেকে আলাদা হতে পারে। যদি শংসাপত্রে বিশ্বাস করার জন্য অনুরোধ করা হয়, yes লিখুন।
কোন কী ছাড়াই শংসাপত্রের একটি PEM ফাইল তৈরি করতে openssl ব্যবহার করুন। উল্লেখ্য যে cqlsh উৎপন্ন বিন্যাসে শংসাপত্রের সাথে কাজ করে না।
```
$ keytool -importkeystore -srckeystore keystore.node0 \
-destkeystore node0.p12 -deststoretype PKCS12 -srcstorepass \
keypass -deststorepass keypass
$ openssl pkcs12 -in node0.p12 -nokeys -out node0.cer.pem \
-passin pass:keypass
$ openssl pkcs12 -in node0.p12 -nodes -nocerts -out node0.key.pem -passin pass:keypass
```
নোড-টু-নোড এনক্রিপশনের জন্য, প্রতিটি নোডে node0.cer ফাইলটি অনুলিপি করুন এবং প্রতিটি নোডের ট্রাস্টস্টোরে এটি আমদানি করুন।
```
keytool -import -v -trustcacerts -alias node0 \
-file node0.cer -keystore truststore.node1
```
কীস্টোর এবং ট্রাস্টস্টোর ফাইলগুলিতে শংসাপত্রগুলি পরীক্ষা করতে keytool -list ব্যবহার করুন:
```
$ keytool -list -keystore keystore.node0
$ keytool -list -keystore truststore.node0
```