Cassandra-Authentifizierung aktivieren

Standardmäßig wird Cassandra ohne aktivierte Authentifizierung installiert. Das bedeutet, dass jeder Cassandra Sie können die Authentifizierung nach der Installation von Edge oder im Rahmen der Installation aktivieren .

Mit den Cassandra-Anweisungen CREATE/ALTER/DROP ROLES können Sie Rollen hinzufügen, entfernen und ändern. Hier finden Sie weitere Informationen:

Allgemeine Überlegungen

  • Sobald Sie die Cassandra-Authentifizierung aktivieren, wird automatisch ein Standardsuperuser cassandra (mit dem Passwort cassandra) von Cassandra erstellt. Dies ist ein weithin bekannter Superuser, daher sollten Sie diesen Nutzer nicht für Ihre Produktionsanforderungen verwenden. Außerdem erfordert die Authentifizierung über diesen Superuser eine Quorumkonsistenz. Daher erfordern alle Verbindungen zu Cassandra, die über diesen Nutzer authentifiziert werden, eine strengere Konsistenz, was zu einer langsameren und weniger fehlertoleranten Leistung führt.
  • Ein typischer Workflow besteht darin, die Authentifizierung in Cassandra zu aktivieren und gleichzeitig einen benutzerdefinierten Nutzernamen und ein benutzerdefiniertes Passwort über die Konfigurationsdatei zu übergeben. Dadurch werden der benutzerdefinierte Nutzer und das benutzerdefinierte Passwort erstellt, die Sie sicher für Ihre Anforderungen verwenden können. Die Authentifizierung über solche Nutzer unterliegt keinen Einschränkungen der Quorumkonsistenz.
  • Beachten Sie, dass Cassandra den Standard-Superuser cassandra erstellt und über den Superuser auf Ihren Cassandra-Cluster zugreifen kann, auch wenn möglicherweise ein benutzerdefinierter Nutzer erstellt wurde. In der Regel sollten Sie mit dem Befehl ALTER ROLE das Passwort dieses cassandra-Nutzers in ein anderes Passwort als das Standardpasswort cassandra ändern, nachdem die Cassandra-Authentifizierung in Apigee erfolgreich flächendeckend aktiviert wurde. Bewahre dieses Passwort für später auf.
  • Sie sollten das Passwort der Rolle, die edge-*-Komponenten zur Authentifizierung verwenden, NICHT ändern, da dies zu einer sofortigen Dienstunterbrechung führt. Stattdessen sollten Sie einen neuen Nutzer erstellen, die edge-*-Komponenten so ändern, dass der neue Nutzer verwendet wird, und den alten Nutzer anschließend mit dem Befehl DROP ROLE löschen.
  • So ändern Sie die Rolle, die von edge-*-Komponenten für die Cassandra-Authentifizierung verwendet wird:
    1. Führen Sie die Schritte im Abschnitt Authentifizierung aktivieren aus, um einen neuen Nutzer zu erstellen. Wenn die Authentifizierung in Ihrem Cluster bereits aktiviert ist und Sie das Passwort des cassandra-Nutzers geändert haben, müssen Sie eine Kombination aus Nutzername und Passwort eines vorhandenen Nutzers über CASS_EXISTING_USERNAME und CASS_EXISTING_PASSWORD übergeben.
    2. Bestätigen Sie anschließend mit cqlsh, dass Sie sowohl über den alten als auch den neuen Nutzer eine Verbindung zu Cassandra herstellen können.
    3. Weisen Sie alle edge-*-Komponenten so zu, dass der neu erstellte Nutzer eine Verbindung zu Cassandra herstellt. Folgen Sie dazu der Anleitung unter Edge-Komponenten aktualisieren, die mit Cassandra verbunden sind.
    4. Wenn schließlich alle Komponenten den neuen Nutzer verwenden, um mit Cassandra zu kommunizieren, können Sie den alten Nutzer mit dem Befehl DROP ROLE löschen. Beachten Sie, dass die Standardrolle cassandra nicht gelöscht werden sollte. Sie können alle benutzerdefinierten Rollen löschen, die von edge-*-Komponenten nicht für die Kommunikation mit Cassandra verwendet werden.
  • Denken Sie daran, den funktionsfähigen Cassandra-Nutzernamen und das Passwort in der Konfigurationsdatei zu aktualisieren, die Sie für die Installation oder Aktualisierung von Edge-Komponenten verwenden. Dadurch werden Unterbrechungen während des Edge-Betriebs vermieden oder minimiert.

Cassandra-Authentifizierung aktivieren während Installation

Sie können die Cassandra-Authentifizierung bei der Installation aktivieren.

Wenn Sie die Cassandra-Authentifizierung bei der Installation aktivieren möchten, fügen Sie die Eigenschaft CASS_AUTH in die Konfigurationsdatei für alle Cassandra-Knoten ein:

CASS_AUTH=y # The default value is n.

Die folgenden Edge-Komponenten greifen auf Cassandra zu:

  • Verwaltungsserver
  • Message Processors
  • Router
  • Qpid-Server
  • Postgres-Server

Wenn Sie diese Komponenten installieren, müssen Sie einen Nutzernamen und ein Passwort in der Konfigurationsdatei:

CASS_USERNAME=cassandra_username
CASS_PASSWORD=cassandra_password

Sie können die Cassandra-Anmeldedaten nach der Installation von Cassandra ändern. Wenn Sie jedoch Management Server, Message Processors, Router, Qpid-Server oder Postgres installiert haben. -Server benötigen, müssen Sie auch diese Komponenten aktualisieren, damit die neuen Anmeldedaten verwendet werden.

So ändern Sie die Cassandra-Anmeldedaten nach der Installation von Cassandra:

  1. Melden Sie sich mit dem cqlsh-Tool und der Standardeinstellung Anmeldedaten. Sie müssen das Passwort nur auf einem Knoten ändern. Es wird dann an alle Cassandra-Knoten im Ring:
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra_username -p cassandra_password

    Wobei:

    1. cassIP ist die IP-Adresse des Cassandra-Knotens.
    2. 9042 ist der standardmäßige Cassandra-Port.
  2. Führen Sie den folgenden Befehl im Befehl cqlsh> Aufforderung zum Aktualisieren des Passworts:
    ALTER ROLE <username> WITH PASSWORD='';
  3. Schließen Sie das cqlsh-Tool, wie im folgenden Beispiel gezeigt:
    exit
  4. Wenn Sie noch nicht den Verwaltungsserver, Message Processors, Router, Qpid-Server oder Postgres-Server, legen Sie die folgenden Eigenschaften in der Konfigurationsdatei und installieren Sie dann diese Komponenten:
    CASS_USERNAME=cassandra_username
    CASS_PASSWORD=new_cassandra_password
  5. Falls Sie den Verwaltungsserver bereits installiert haben, wird eine Meldung Prozessoren, Router, Qpid-Server oder Postgres-Server: Unter Edge-Passwörter zurücksetzen erfahren Sie, wie Sie diese aktualisieren. Komponenten das neue Passwort verwenden.

Cassandra-Authentifizierungsbeitrag aktivieren Installation

So aktivieren Sie die Authentifizierung nach der Installation:

Edge-Komponenten aktualisieren, die eine Verbindung zu Cassandra herstellen

Führen Sie das folgende Verfahren aus, um alle Edge-Komponenten zu aktualisieren, die mit Cassandra kommunizieren. mit den neuen Anmeldedaten. Beachten Sie, dass Sie diesen Schritt ausführen, bevor Sie die Cassandra-Anmeldedaten aktualisieren:

  1. Führen Sie auf dem Knoten des Verwaltungsservers den folgenden Befehl aus:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server
      store_cassandra_credentials -u cassandra_username -p cassandra_password

    Optional können Sie eine Datei an den Befehl übergeben, die den neuen Nutzernamen und das Passwort enthält:

    apigee-service edge-management-server store_cassandra_credentials  -f configFile

    Dabei enthält configFile Folgendes:

    CASS_USERNAME=cassandra_username # Default is cassandra
    CASS_PASSWORD='cassandra_password' # Default is cassandra; wrap in single quotes if it includes special chars

    Mit diesem Befehl wird der Verwaltungsserver automatisch neu gestartet.

  2. Wiederholen Sie Schritt 1 für jeden der folgenden Dienste:
    • Alle Message Processor
    • Alle Router
    • Alle Qpid-Server (edge-qpid-server)
    • Postgres-Server (edge-postgres-server)

    Wenn Sie Schritt 1 für jeden Dienst wiederholen, ersetzen Sie edge-management-server im obigen Befehl durch den entsprechenden Dienstnamen. Wenn Sie beispielsweise den Schritt für einen Routerdienst ausführen, verwenden Sie den folgenden Befehl:

    /opt/apigee/apigee-service/bin/apigee-service edge-router
      store_cassandra_credentials -u cassandra -p cassandra

Authentifizierung aktivieren

Gehen Sie wie folgt vor, um die Cassandra-Authentifizierung zu aktivieren und den Nutzernamen und Passwort:

  1. Erstellen Sie eine Konfigurationsdatei im Hintergrund mit folgendem Inhalt:
    # Specify IP address or DNS name of cassandra node
    IP1=192.168.1.1
    IP2=192.168.1.2
    IP3=192.168.1.3
    # Must resolve to IP address or DNS name of host
    HOSTIP=$(hostname -i)
    # Set to ‘y’ to enable Cassandra authentication.
    CASS_AUTH=y # Possible values are ‘y/n’
    # Cassandra username. If it does not exist, this user would be created as a SUPERUSER
    CASS_USERNAME=cassandra_username # Default value is cassandra - don't use for production
    # Cassandra Password. If CASS_USERNAME does not exist, create SUPERUSER with this as password
    CASS_PASSWORD=cassandra_password # Default value is cassandra - don't use for production
    # Space-separated IP/DNS names of the Cassandra hosts
    CASS_HOSTS="$IP1:1,1 $IP2:1,1 $IP3:1,1"
    
    # Username of an existing C* user. Only needed if you have disabled or changed details of the default cassandra user(‘cassandra’)
    CASS_EXISTING_USERNAME=existing_cassandra_username
    # Password of an existing C* user. Only needed if you have disabled or change password of the default cassandra user(‘cassandra’)
    CASS_EXISTING_PASSWORD=existing_cassandra_password
    # Cassandra port
    CASS_PORT=9042 # The default port is 9042.
  2. Melden Sie sich beim ersten Cassandra-Knoten an und führen Sie den folgenden Befehl aus:

    apigee-service apigee-cassandra enable_cassandra_authentication -f CONFIG

    Optional können Sie die Eigenschaften als Befehlsargumente an das Skript übergeben, wie in den folgendes Beispiel:

    CASS_AUTH=y HOSTIP=$(hostname -i) CASS_PORT=9042 CASS_EXISTING_USERNAME=existing_cassandra_username CASS_EXISTING_PASSWORD=existing_cassandra_password CASS_USERNAME=cassandra_username CASS_PASSWORD=cassandra_password  CASS_HOSTS="192.168.1.1:1,1 192.168.1.2:1,1 192.168.1.3:1,1" apigee-service apigee-cassandra enable_cassandra_authentication

    Hinweise:

    • Für Standard Cassandra-Anmeldedaten aktivieren, aktiviert der obige Befehl die Cassandra-Authentifizierung und startet den Cassandra
    • Bei nicht standardmäßigen Anmeldedaten ändert der Befehl auch den Replikationsfaktor, erstellt einen Superuser führt eine Reparatur am system_auth keyspace durch.
  3. Wiederholen Sie die Schritte 1 und 2 auf allen Cassandra-Knoten.