Abilita autenticazione Cassandra

Per impostazione predefinita, Cassandra esegue installazioni senza autenticazione abilitata. Ciò significa che chiunque può accedere a Cassandra. Puoi attivare l'autenticazione dopo l'installazione di Edge o nell'ambito della procedura di installazione.

Puoi aggiungere, rimuovere e modificare i ruoli utilizzando le istruzioni Cassandra CREATE/ALTER/DROP ROLES. Per ulteriori informazioni, consulta le seguenti risorse:

Alcune considerazioni generali

  • Nel momento in cui attivi l'autenticazione Cassandra, Cassandra crea automaticamente un super utente predefinito cassandra (con password cassandra). Si tratta di un super utente molto conosciuto, pertanto non dovresti utilizzarlo per le tue esigenze di produzione. Inoltre, l'autenticazione tramite questo super user richiede la coerenza del quorum. Di conseguenza, tutte le connessioni a Cassandra che effettuano l'autenticazione tramite questo utente richiedono una coerenza più rigida, pertanto le prestazioni sono più lente e a tolleranza di errore inferiori.
  • Un flusso di lavoro tipico prevede l'abilitazione dell'autenticazione in Cassandra durante il trasferimento di nome utente e password personalizzati tramite il file di configurazione. In questo modo verranno creati l'utente e la password personalizzati che puoi utilizzare in sicurezza per le tue esigenze. Inoltre, l'autenticazione tramite questi utenti non è soggetta a limitazioni relative alla coerenza del quorum.
  • Ricorda che, anche se è stato creato un utente personalizzato, Cassandra crea comunque il super utente cassandra predefinito e il cluster Cassandra è accessibile tramite il super utente. In genere, è necessario utilizzare il comando ALTER ROLE per modificare la password di questo utente cassandra in una password diversa da cassandra predefinita dopo che l'autenticazione Cassandra è stata abilitata in modo generale in Apigee. Conserva questa password per riferimento futuro.
  • NON modificare la password del ruolo utilizzato dai componenti edge-* per l'autenticazione, poiché ciò causerà immediatamente l'interruzione del servizio. Devi invece creare un nuovo utente, modificare i componenti edge-* in modo da utilizzare il nuovo utente e, al termine, rilasciare l'utente precedente utilizzando il comando DROP ROLE.
  • Per modificare il ruolo utilizzato dai componenti edge-* per l'autenticazione Cassandra, segui questi passaggi:
    1. Per creare un nuovo utente, segui i passaggi descritti nella sezione Abilitare autenticazione. Tieni presente che se l'autenticazione è già abilitata nel cluster e hai modificato la password dell'utente cassandra, dovrai passare una combinazione nome utente/password di un utente esistente tramite CASS_EXISTING_USERNAME e CASS_EXISTING_PASSWORD.
    2. Al termine, verifica tramite cqlsh la possibilità di connetterti a Cassandra tramite il vecchio e il nuovo utente.
    3. Punta tutti i componenti edge-* per utilizzare l'utente appena creato per la connessione a Cassandra seguendo le istruzioni riportate in Aggiornare i componenti Edge che si connettono a Cassandra.
    4. Infine, quando tutti i componenti utilizzano il nuovo utente per comunicare con Cassandra, puoi eliminare l'utente precedente utilizzando il comando DROP ROLE. Tieni presente che il ruolo predefinito cassandra non deve essere abbandonato. Puoi rilasciare qualsiasi ruolo creato in modo personalizzato che non viene utilizzato dai componenti edge-* per comunicare con Cassandra.
  • Ricordati di aggiornare il nome utente e la password di Cassandra funzionale nel file di configurazione che utilizzi per l'installazione o l'upgrade dei componenti Edge. Ciò eliminerà o ridurrà al minimo qualsiasi interruzione durante le operazioni a livello perimetrale.

Abilita l'autenticazione Cassandra durante l'installazione

Puoi attivare l'autenticazione Cassandra al momento dell'installazione.

Per attivare l'autenticazione Cassandra al momento dell'installazione, includi la proprietà CASS_AUTH nel file di configurazione per tutti i nodi Cassandra:

CASS_AUTH=y # The default value is n.

I seguenti componenti Edge accedono a Cassandra:

  • Server di gestione
  • Processori di messaggi
  • Router
  • Server Qpid
  • Server Postgres

Quando installi questi componenti, devi impostare un nome utente e una password nel file di configurazione:

CASS_USERNAME=cassandra_username
CASS_PASSWORD=cassandra_password

Puoi modificare le credenziali di Cassandra dopo l'installazione di Cassandra. Tuttavia, se hai già installato server di gestione, processori di messaggi, router, server Qpid o server Postgres, devi aggiornare anche questi componenti per utilizzare le nuove credenziali.

Per modificare le credenziali di Cassandra dopo l'installazione di Cassandra:

  1. Accedi a qualsiasi nodo Cassandra utilizzando lo strumento cqlsh e le credenziali predefinite. Devi cambiare la password su un solo nodo e verrà trasmessa a tutti i nodi Cassandra nell'anello: 
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra_username -p cassandra_password

    Dove:

    1. cassIP è l'indirizzo IP del nodo Cassandra.
    2. 9042 è la porta predefinita di Cassandra.
  2. Esegui questo comando al prompt cqlsh> per aggiornare la password: 
    ALTER ROLE <username> WITH PASSWORD='';
  3. Esci dallo strumento cqlsh, come mostrato nell'esempio seguente: 
    exit
  4. Se non hai ancora installato server di gestione, processori di messaggi, router, server Qpid o server Postgres, imposta le seguenti proprietà nel file di configurazione e installa questi componenti: 
    CASS_USERNAME=cassandra_username
CASS_PASSWORD=new_cassandra_password
  5. Se hai già installato server di gestione, processori di messaggi, router, server Qpid o server Postgres, consulta Reimpostazione delle password perimetrali per la procedura di aggiornamento di questi componenti in modo che utilizzino la nuova password.

Abilita autenticazione Cassandra dopo l'installazione

Per attivare l'autenticazione dopo un'installazione:

Aggiorna i componenti Edge che si connettono a Cassandra

Utilizza la seguente procedura per aggiornare tutti i componenti Edge che comunicano con Cassandra con le nuove credenziali. Tieni presente che devi eseguire questo passaggio prima di aggiornare effettivamente le credenziali di Cassandra:

  1. Sul nodo del server di gestione, esegui questo comando: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server
  store_cassandra_credentials -u cassandra_username -p cassandra_password

    Facoltativamente, puoi passare un file al comando contenente il nuovo nome utente e la nuova password:

    apigee-service edge-management-server store_cassandra_credentials  -f configFile

    In cui configFile contiene quanto segue:

    CASS_USERNAME=cassandra_username # Default is cassandra
CASS_PASSWORD='cassandra_password' # Default is cassandra; wrap in single quotes if it includes special chars

    Questo comando riavvia automaticamente il server di gestione.

  2. Ripeti il passaggio 1 per ciascuno dei seguenti servizi:
    • Tutti i processori di messaggi
    • Tutti i router
    • Tutti i server Qpid (edge-qpid-server)
    • Server Postgres (edge-postgres-server)

    Quando ripeti il passaggio 1 per ogni servizio, sostituisci edge-management-server nel comando precedente con il nome del servizio appropriato. Ad esempio, quando esegui il passaggio per un servizio router, utilizza il seguente comando:

    /opt/apigee/apigee-service/bin/apigee-service edge-router
  store_cassandra_credentials -u cassandra -p cassandra

Attiva l'autenticazione

Utilizza la seguente procedura per abilitare l'autenticazione Cassandra e impostare il nome utente e la password:

  1. Crea un file di configurazione invisibile con i contenuti mostrati di seguito: 
    # Specify IP address or DNS name of cassandra node
IP1=192.168.1.1
IP2=192.168.1.2
IP3=192.168.1.3
# Must resolve to IP address or DNS name of host
HOSTIP=$(hostname -i)
# Set to ‘y’ to enable Cassandra authentication.
CASS_AUTH=y # Possible values are ‘y/n’
# Cassandra username. If it does not exist, this user would be created as a SUPERUSER
CASS_USERNAME=cassandra_username # Default value is cassandra - don't use for production
# Cassandra Password. If CASS_USERNAME does not exist, create SUPERUSER with this as password
CASS_PASSWORD=cassandra_password # Default value is cassandra - don't use for production
# Space-separated IP/DNS names of the Cassandra hosts
CASS_HOSTS="$IP1:1,1 $IP2:1,1 $IP3:1,1"

# Username of an existing C* user. Only needed if you have disabled or changed details of the default cassandra user(‘cassandra’)
CASS_EXISTING_USERNAME=existing_cassandra_username
# Password of an existing C* user. Only needed if you have disabled or change password of the default cassandra user(‘cassandra’)
CASS_EXISTING_PASSWORD=existing_cassandra_password
# Cassandra port
CASS_PORT=9042 # The default port is 9042.

  2. Accedi al primo nodo Cassandra ed esegui questo comando:

    apigee-service apigee-cassandra enable_cassandra_authentication -f CONFIG

    Facoltativamente, puoi passare le proprietà come argomenti del comando allo script, come mostrato nell'esempio seguente: 

    CASS_AUTH=y HOSTIP=$(hostname -i) CASS_PORT=9042 CASS_EXISTING_USERNAME=existing_cassandra_username CASS_EXISTING_PASSWORD=existing_cassandra_password CASS_USERNAME=cassandra_username CASS_PASSWORD=cassandra_password  CASS_HOSTS="192.168.1.1:1,1 192.168.1.2:1,1 192.168.1.3:1,1" apigee-service apigee-cassandra enable_cassandra_authentication

    Note:

    • Per le credenziali predefinite di Cassandra, il comando riportato sopra abilita l'autenticazione di Cassandra e riavvia Cassandra.
    • Per le credenziali non predefinite, il comando modifica anche il fattore di replica, crea un super user ed esegue una riparazione su system_auth keyspace.
  3. Ripeti i passaggi 1 e 2 su tutti i nodi Cassandra.