Cassandra 인증 사용 설정

기본적으로 Cassandra는 인증을 사용 설정하지 않고 설치됩니다. 즉, 누구나 쉽게 액세스할 수 있도록 선택할 수 있습니다 Edge를 설치한 후 또는 설치의 일부로 인증을 사용 설정할 수 있습니다. 프로세스입니다

Cassandra CREATE/ALTER/DROP ROLES 문을 사용하여 역할을 추가, 삭제, 수정할 수 있습니다. 자세한 내용은 다음을 참조하세요.

• Cassandra 역할
• Cassandra의 역할 기반 액세스 제어

일반적인 고려사항

• Cassandra 인증을 사용 설정하면 Cassandra에서 기본 수퍼 유저 cassandra (비밀번호: cassandra)가 자동으로 생성됩니다. 널리 알려진 수퍼유저이므로 프로덕션에 사용하면 안 됩니다. 또한 이 슈퍼 유저를 통해 인증하려면 쿼럼 일관성이 필요합니다. 따라서 이 사용자를 통해 인증하는 Cassandra 연결에는 더 엄격한 일관성이 필요하므로 성능이 느려지고 내결함성이 떨어집니다.
• 일반적인 워크플로에는 구성 파일을 통해 커스텀 사용자 이름과 비밀번호를 전달하는 동안 Cassandra에서 인증을 사용 설정하는 과정이 포함됩니다. 이렇게 하면 필요에 따라 안전하게 사용할 수 있는 맞춤 사용자와 비밀번호가 생성되며 이러한 사용자를 통해 인증하면 과반수 일관성 제한이 없습니다.
• 커스텀 사용자가 생성되더라도 Cassandra는 여전히 기본 cassandra 수퍼유저를 생성하며 super 사용자를 통해 Cassandra 클러스터에 액세스할 수 있습니다. Apigee에서 Cassandra 인증이 전체적으로 사용 설정된 후에는 일반적으로 ALTER ROLE 명령어를 사용하여 이 cassandra 사용자의 비밀번호를 기본 cassandra가 아닌 다른 값으로 변경해야 합니다. 나중에 참조할 수 있도록 비밀번호를 기록해 두세요.
• edge-* 구성요소가 인증에 사용하는 역할의 비밀번호를 변경하면 즉시 서비스가 중단되므로 변경해서는 안 됩니다. 대신 신규 사용자를 만들고 edge-* 구성요소를 수정하여 새 사용자를 사용해야 합니다. 완료되면 DROP ROLE 명령어를 사용하여 기존 사용자를 삭제해야 합니다.
• Cassandra 인증을 위해 edge-* 구성요소에서 사용하는 역할을 변경하려면 다음 단계를 따르세요.
  1. 인증 사용 섹션의 단계를 따라 새 사용자를 만듭니다. 클러스터에서 이미 인증이 사용 설정되어 있고 cassandra 사용자의 비밀번호를 변경한 경우 CASS_EXISTING_USERNAME 및 CASS_EXISTING_PASSWORD를 통해 기존 사용자의 사용자 이름/비밀번호 조합을 전달해야 합니다.
  2. 완료되면 cqlsh를 통해 이전 사용자와 신규 사용자 모두를 통해 Cassandra에 연결할 수 있는지 확인합니다.
  3. Cassandra에 연결되는 Edge 구성요소 업데이트의 안내에 따라 모든 edge-* 구성요소가 새로 생성된 사용자를 사용하여 Cassandra에 연결하도록 지정합니다.
  4. 마지막으로 모든 구성요소가 새 사용자를 사용하여 Cassandra와 통신하면 DROP ROLE 명령어를 사용하여 이전 사용자를 삭제할 수 있습니다. 기본 cassandra 역할은 삭제해서는 안 됩니다. edge-* 구성요소에서 사용하지 않는 커스텀 생성된 역할을 모두 삭제하여 Cassandra와 통신할 수 있습니다.
• Edge 구성요소를 설치하거나 업그레이드하는 데 사용하는 구성 파일에서 작동하는 Cassandra 사용자 이름과 비밀번호를 업데이트해야 합니다. 이렇게 하면 에지 작업 중 발생하는 중단을 없애거나 최소화할 수 있습니다.

Cassandra 인증 사용 설정 설치

설치 시 Cassandra 인증을 사용 설정할 수 있습니다.

설치 시 Cassandra 인증을 사용 설정하려면 모든 Cassandra 노드의 구성 파일에 CASS_AUTH 속성을 포함합니다.

CASS_AUTH=y # The default value is n.

다음 Edge 구성요소는 Cassandra에 액세스합니다.

• 관리 서버
• 메시지 프로세서
• 라우터
• Qpid 서버
• Postgres 서버

이러한 구성요소를 설치할 때 구성 파일에서 사용자 이름과 비밀번호를 설정해야 합니다.

CASS_USERNAME=cassandra_username
CASS_PASSWORD=cassandra_password

Cassandra를 설치한 후 Cassandra 사용자 인증 정보를 변경할 수 있습니다. 하지만 관리 서버, 메시지 프로세서, 라우터, Qpid 서버 또는 Postgres 서버를 이미 설치한 경우 새 사용자 인증 정보를 사용하도록 이러한 구성요소도 업데이트해야 합니다.

Cassandra를 설치한 후 Cassandra 사용자 인증 정보를 변경하려면 다음 안내를 따르세요.

1. cqlsh 도구 및 기본값을 사용하여 Cassandra 노드 1개에 로그인합니다. 사용자 인증 정보를 제공합니다 하나의 노드에서만 암호를 변경하면 모든 노드에 링의 Cassandra 노드:

   /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra_username -p cassandra_password

   각 항목의 의미는 다음과 같습니다.

   1. cassIP는 Cassandra 노드의 IP 주소입니다.
   2. 9042는 기본 Cassandra 포트입니다.
2. cqlsh> 프롬프트에서 다음 명령어를 실행하여 비밀번호를 업데이트합니다.

   ALTER ROLE <username> WITH PASSWORD='';

3. 다음 예와 같이 cqlsh 도구를 종료합니다.

   exit

4. 아직 Management Server(관리 서버), Message Processors(메시지 프로세서), Cloud Router, Qpid 서버 또는 Postgres 서버에서 해당 구성요소를 설치합니다. <ph type="x-smartling-placeholder">

   CASS_USERNAME=cassandra_username
   CASS_PASSWORD=new_cassandra_password

   </ph>
5. 관리 서버를 이미 설치한 경우 프로세서, 라우터, Qpid 서버 또는 Postgres 서버(예: 에지 비밀번호 재설정)에서 비밀번호 재설정 절차를 확인하세요. 구성요소를 사용하여 새 비밀번호를 사용할 수 있습니다.

Cassandra 인증 사후 사용 설정 설치

설치 후 인증을 사용 설정하려면 다음 단계를 따르세요.

• Cassandra 사용자 이름 및 비밀번호로 Cassandra에 연결하는 모든 Edge 구성요소를 업데이트합니다.
• 모든 Cassandra 노드에서 인증을 사용 설정합니다. 어느 한 노드에서든 Cassandra 사용자 이름과 비밀번호를 설정할 수 있습니다. 포드의 상태를 변경하기만 하면 사용자 인증 정보를 인증하고 Cassandra 노드의 모든 Cassandra 노드로 있습니다.

Cassandra에 연결되는 Edge 구성요소 업데이트

다음 절차에 따라 Cassandra와 통신하는 모든 Edge 구성요소를 업데이트합니다. 새 사용자 인증 정보로 바꿉니다. Cassandra 사용자 인증 정보를 실제로 업데이트하기 전에 이 단계를 실행합니다.

1. 관리 서버 노드에서 다음 명령어를 실행합니다.

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server
     store_cassandra_credentials -u cassandra_username -p cassandra_password

   원하는 경우 새 사용자 이름과 비밀번호가 포함된 파일을 명령어에 전달할 수 있습니다.

   apigee-service edge-management-server store_cassandra_credentials  -f configFile

   여기서 configFile에는 다음이 포함됩니다.

   CASS_USERNAME=cassandra_username # Default is cassandra
   CASS_PASSWORD='cassandra_password' # Default is cassandra; wrap in single quotes if it includes special chars

   이 명령어는 관리 서버를 자동으로 다시 시작합니다.

2. 다음 서비스 각각에 대해 1단계를 반복합니다.
   • 모든 메시지 프로세서
   • 모든 라우터
   • 모든 Qpid 서버 (edge-qpid-server)
   • Postgres 서버 (edge-postgres-server)

   각 서비스에 대해 1단계를 반복할 때 edge-management-server 명령어를 적절한 서비스 이름으로 바꿉니다. 예를 들어, 라우터 서비스를 사용하려면 다음 명령어를 사용합니다.

   /opt/apigee/apigee-service/bin/apigee-service edge-router
     store_cassandra_credentials -u cassandra -p cassandra

인증 사용 설정

다음 절차에 따라 Cassandra 인증을 사용 설정하고 사용자 이름과 비밀번호:

1. 아래와 같은 내용으로 자동 구성 파일을 만듭니다.

   # Specify IP address or DNS name of cassandra node
   IP1=192.168.1.1
   IP2=192.168.1.2
   IP3=192.168.1.3
   # Must resolve to IP address or DNS name of host
   HOSTIP=$(hostname -i)
   # Set to ‘y’ to enable Cassandra authentication.
   CASS_AUTH=y # Possible values are ‘y/n’
   # Cassandra username. If it does not exist, this user would be created as a SUPERUSER
   CASS_USERNAME=cassandra_username # Default value is cassandra - don't use for production
   # Cassandra Password. If CASS_USERNAME does not exist, create SUPERUSER with this as password
   CASS_PASSWORD=cassandra_password # Default value is cassandra - don't use for production
   # Space-separated IP/DNS names of the Cassandra hosts
   CASS_HOSTS="$IP1:1,1 $IP2:1,1 $IP3:1,1"
   
   # Username of an existing C* user. Only needed if you have disabled or changed details of the default cassandra user(‘cassandra’)
   CASS_EXISTING_USERNAME=existing_cassandra_username
   # Password of an existing C* user. Only needed if you have disabled or change password of the default cassandra user(‘cassandra’)
   CASS_EXISTING_PASSWORD=existing_cassandra_password
   # Cassandra port
   CASS_PORT=9042 # The default port is 9042.

2. 첫 번째 Cassandra 노드에 로그인하고 다음 명령어를 실행합니다.

   apigee-service apigee-cassandra enable_cassandra_authentication -f CONFIG

   원하는 경우 다음 예를 참고하세요.

   CASS_AUTH=y HOSTIP=$(hostname -i) CASS_PORT=9042 CASS_EXISTING_USERNAME=existing_cassandra_username CASS_EXISTING_PASSWORD=existing_cassandra_password CASS_USERNAME=cassandra_username CASS_PASSWORD=cassandra_password  CASS_HOSTS="192.168.1.1:1,1 192.168.1.2:1,1 192.168.1.3:1,1" apigee-service apigee-cassandra enable_cassandra_authentication

   참고:

   • 기본값 Cassandra 사용자 인증 정보: 위의 명령어를 실행하면 Cassandra 인증이 사용 설정되고 다시 시작됨 선택할 수 있습니다
   • 기본이 아닌 사용자 인증 정보의 경우 명령어는 복제 계수를 변경하고 수퍼유저를 포함하고 system_auth keyspace에서 복구를 실행합니다.
3. 모든 Cassandra 노드에서 1단계와 2단계를 반복합니다.