Cassandra-Authentifizierung aktivieren

Standardmäßig wird Cassandra ohne aktivierte Authentifizierung installiert. Das bedeutet, dass jeder auf Cassandra zugreifen kann. Sie können die Authentifizierung nach der Installation von Edge oder im Rahmen des Installationsvorgangs aktivieren.

Mit den Cassandra-Anweisungen CREATE/ALTER/DROP ROLES können Sie Rollen hinzufügen, entfernen und ändern. Hier finden Sie weitere Informationen:

Allgemeine Überlegungen

  • Sobald Sie die Cassandra-Authentifizierung aktivieren, wird automatisch der Standard-Superuser cassandra (mit dem Passwort cassandra) von Cassandra erstellt. Dies ist ein weithin bekannter Superuser, daher sollten Sie diesen Nutzer nicht für Ihre Produktionsanforderungen verwenden. Außerdem erfordert die Authentifizierung über diesen Superuser eine Quorumkonsistenz. Daher erfordern alle Verbindungen zu Cassandra, die über diesen Nutzer authentifiziert werden, eine strengere Konsistenz, was zu einer langsameren und weniger fehlertoleranten Leistung führt.
  • Ein typischer Workflow beinhaltet die Aktivierung der Authentifizierung in Cassandra und die Übergabe eines benutzerdefinierten Nutzernamens und Passworts über die Konfigurationsdatei. Dadurch werden der benutzerdefinierte Nutzer und das Passwort erstellt, die Sie sicher für Ihre Anforderungen verwenden können. Für die Authentifizierung über solche Nutzer gelten keine Einschränkungen der Quorumkonsistenz.
  • Beachten Sie, dass Cassandra den Standard-Superuser cassandra erstellt und über den Superuser auf Ihren Cassandra-Cluster zugreifen kann, auch wenn möglicherweise ein benutzerdefinierter Nutzer erstellt wurde. In der Regel sollten Sie mit dem Befehl ALTER ROLE das Passwort dieses cassandra-Nutzers in ein anderes Passwort als das Standardpasswort cassandra ändern, nachdem die Cassandra-Authentifizierung in Apigee erfolgreich flächendeckend aktiviert wurde. Bewahre dieses Passwort für später auf.
  • Sie sollten das Passwort der Rolle, die edge-*-Komponenten zur Authentifizierung verwenden, NICHT ändern, da dies zu einer sofortigen Dienstunterbrechung führt. Stattdessen sollten Sie einen neuen Nutzer erstellen, die edge-*-Komponenten so ändern, dass der neue Nutzer verwendet wird, und den alten Nutzer anschließend mit dem Befehl DROP ROLE löschen.
  • So ändern Sie die Rolle, die von edge-*-Komponenten für die Cassandra-Authentifizierung verwendet wird:
    1. Führen Sie die Schritte im Abschnitt Authentifizierung aktivieren aus, um einen neuen Nutzer zu erstellen. Wenn die Authentifizierung in Ihrem Cluster bereits aktiviert ist und Sie das Passwort des cassandra-Nutzers geändert haben, müssen Sie eine Kombination aus Nutzername und Passwort eines vorhandenen Nutzers über CASS_EXISTING_USERNAME und CASS_EXISTING_PASSWORD übergeben.
    2. Bestätigen Sie anschließend mit cqlsh, dass Sie sowohl über den alten als auch den neuen Nutzer eine Verbindung zu Cassandra herstellen können.
    3. Weisen Sie alle edge-*-Komponenten so zu, dass der neu erstellte Nutzer eine Verbindung zu Cassandra herstellt. Folgen Sie dazu der Anleitung unter Edge-Komponenten aktualisieren, die mit Cassandra verbunden sind.
    4. Wenn schließlich alle Komponenten den neuen Nutzer verwenden, um mit Cassandra zu kommunizieren, können Sie den alten Nutzer mit dem Befehl DROP ROLE löschen. Beachten Sie, dass die Standardrolle cassandra nicht gelöscht werden sollte. Sie können alle benutzerdefinierten Rollen löschen, die nicht von edge-*-Komponenten für die Kommunikation mit Cassandra verwendet werden.
  • Denken Sie daran, den funktionsfähigen Cassandra-Nutzernamen und das Passwort in der Konfigurationsdatei zu aktualisieren, die Sie für die Installation oder Aktualisierung von Edge-Komponenten verwenden. Dadurch werden Unterbrechungen während des Edge-Betriebs vermieden oder minimiert.

Cassandra-Authentifizierung während der Installation aktivieren

Sie können die Cassandra-Authentifizierung bei der Installation aktivieren.

Fügen Sie das Attribut CASS_AUTH in die Konfigurationsdatei für alle Cassandra-Knoten ein, um die Cassandra-Authentifizierung bei der Installation zu aktivieren:

CASS_AUTH=y # The default value is n.

Die folgenden Edge-Komponenten greifen auf Cassandra zu:

  • Verwaltungsserver
  • Message Processors
  • Router
  • Qpid-Server
  • Postgres-Server

Wenn Sie diese Komponenten installieren, müssen Sie in der Konfigurationsdatei einen Nutzernamen und ein Passwort festlegen:

CASS_USERNAME=cassandra_username
CASS_PASSWORD=cassandra_password

Sie können die Cassandra-Anmeldedaten nach der Installation von Cassandra ändern. Wenn Sie jedoch den Verwaltungsserver, Message Processors, Router, Qpid- oder Postgres-Server bereits installiert haben, müssen Sie diese Komponenten ebenfalls aktualisieren, um die neuen Anmeldedaten zu verwenden.

So ändern Sie die Cassandra-Anmeldedaten nach der Installation von Cassandra:

  1. Melden Sie sich mit dem cqlsh-Tool und den Standardanmeldedaten bei einem beliebigen Cassandra-Knoten an. Sie müssen das Passwort nur auf einem Knoten ändern. Es wird an alle Cassandra-Knoten im Ring übertragen: 
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra_username -p cassandra_password

    Wobei:

    1. cassIP ist die IP-Adresse des Cassandra-Knotens.
    2. 9042 ist der standardmäßige Cassandra-Port.
  2. Führen Sie in der Eingabeaufforderung „cqlsh>“ den folgenden Befehl aus, um das Passwort zu aktualisieren: 
    ALTER ROLE <username> WITH PASSWORD='';
  3. Beenden Sie das cqlsh-Tool wie im folgenden Beispiel gezeigt: 
    exit
  4. Wenn Sie den Verwaltungsserver, Message Processors, Router, Qpid-Server oder Postgres-Server noch nicht installiert haben, legen Sie die folgenden Attribute in der Konfigurationsdatei fest und installieren Sie diese Komponenten: 
    CASS_USERNAME=cassandra_username
CASS_PASSWORD=new_cassandra_password
  5. Wenn Sie den Verwaltungsserver, Message Processors, Router, Qpid-Server oder Postgres-Server bereits installiert haben, finden Sie unter Edge-Passwörter zurücksetzen Informationen zum Aktualisieren dieser Komponenten, um das neue Passwort zu verwenden.

Cassandra-Authentifizierung nach der Installation aktivieren

So aktivieren Sie die Authentifizierung nach der Installation:

Aktualisieren Sie Edge-Komponenten, die mit Cassandra verbunden sind

Führen Sie das folgende Verfahren aus, um alle Edge-Komponenten, die mit Cassandra kommunizieren, mit den neuen Anmeldedaten zu aktualisieren. Beachten Sie, dass Sie diesen Schritt ausführen, bevor Sie die Cassandra-Anmeldedaten aktualisieren:

  1. Führen Sie auf dem Knoten des Verwaltungsservers den folgenden Befehl aus: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server
  store_cassandra_credentials -u cassandra_username -p cassandra_password

    Optional können Sie eine Datei an den Befehl übergeben, die den neuen Nutzernamen und das Passwort enthält:

    apigee-service edge-management-server store_cassandra_credentials  -f configFile

    Dabei enthält configFile Folgendes:

    CASS_USERNAME=cassandra_username # Default is cassandra
CASS_PASSWORD='cassandra_password' # Default is cassandra; wrap in single quotes if it includes special chars

    Mit diesem Befehl wird der Verwaltungsserver automatisch neu gestartet.

  2. Wiederholen Sie Schritt 1 für jeden der folgenden Dienste:
    • Alle Message Processor
    • Alle Router
    • Alle Qpid-Server (edge-qpid-server)
    • Postgres-Server (edge-postgres-server)

    Wenn Sie Schritt 1 für jeden Dienst wiederholen, ersetzen Sie edge-management-server im obigen Befehl durch den entsprechenden Dienstnamen. Wenn Sie beispielsweise den Schritt für einen Routerdienst ausführen, verwenden Sie den folgenden Befehl:

    /opt/apigee/apigee-service/bin/apigee-service edge-router
  store_cassandra_credentials -u cassandra -p cassandra

Authentifizierung aktivieren

Gehen Sie wie folgt vor, um die Cassandra-Authentifizierung zu aktivieren und den Nutzernamen und das Passwort festzulegen:

  1. Erstellen Sie eine Konfigurationsdatei im Hintergrund mit folgendem Inhalt: 
    # Specify IP address or DNS name of cassandra node
IP1=192.168.1.1
IP2=192.168.1.2
IP3=192.168.1.3
# Must resolve to IP address or DNS name of host
HOSTIP=$(hostname -i)
# Set to ‘y’ to enable Cassandra authentication.
CASS_AUTH=y # Possible values are ‘y/n’
# Cassandra username. If it does not exist, this user would be created as a SUPERUSER
CASS_USERNAME=cassandra_username # Default value is cassandra - don't use for production
# Cassandra Password. If CASS_USERNAME does not exist, create SUPERUSER with this as password
CASS_PASSWORD=cassandra_password # Default value is cassandra - don't use for production
# Space-separated IP/DNS names of the Cassandra hosts
CASS_HOSTS="$IP1:1,1 $IP2:1,1 $IP3:1,1"

# Username of an existing C* user. Only needed if you have disabled or changed details of the default cassandra user(‘cassandra’)
CASS_EXISTING_USERNAME=existing_cassandra_username
# Password of an existing C* user. Only needed if you have disabled or change password of the default cassandra user(‘cassandra’)
CASS_EXISTING_PASSWORD=existing_cassandra_password
# Cassandra port
CASS_PORT=9042 # The default port is 9042.

  2. Melden Sie sich beim ersten Cassandra-Knoten an und führen Sie den folgenden Befehl aus:

    apigee-service apigee-cassandra enable_cassandra_authentication -f CONFIG

    Optional können Sie die Attribute als Befehlsargumente an das Skript übergeben, wie im folgenden Beispiel gezeigt: 

    CASS_AUTH=y HOSTIP=$(hostname -i) CASS_PORT=9042 CASS_EXISTING_USERNAME=existing_cassandra_username CASS_EXISTING_PASSWORD=existing_cassandra_password CASS_USERNAME=cassandra_username CASS_PASSWORD=cassandra_password  CASS_HOSTS="192.168.1.1:1,1 192.168.1.2:1,1 192.168.1.3:1,1" apigee-service apigee-cassandra enable_cassandra_authentication

    Hinweise:

    • Für die Cassandra-Standardanmeldedaten aktiviert der obige Befehl die Cassandra-Authentifizierung und startet Cassandra neu.
    • Bei nicht standardmäßigen Anmeldedaten ändert der Befehl auch den Replikationsfaktor, erstellt einen Superuser und führt eine Reparatur für system_auth keyspace aus.
  3. Wiederholen Sie die Schritte 1 und 2 auf allen Cassandra-Knoten.