Cassandra-Authentifizierung aktivieren

Standardmäßig wird Cassandra ohne aktivierte Authentifizierung installiert. Das bedeutet, dass jeder auf Cassandra zugreifen kann. Sie können die Authentifizierung nach der Installation von Edge oder im Rahmen des Installationsvorgangs aktivieren.

Mit den Cassandra-Anweisungen CREATE/ALTER/DROP ROLES können Sie Rollen hinzufügen, entfernen und ändern. Hier finden Sie weitere Informationen:

Allgemeine Hinweise

  • Sobald Sie die Cassandra-Authentifizierung aktivieren, wird automatisch ein Standardsuperuser cassandra (mit dem Passwort cassandra) von Cassandra erstellt. Dies ist ein weithin bekannter Superuser, den Sie nicht für Ihre Produktionsanforderungen verwenden sollten. Außerdem ist für die Authentifizierung über diesen Superuser eine Quorum-Konsistenz erforderlich. Daher erfordern alle Verbindungen zu Cassandra, die über diesen Nutzer authentifiziert werden, eine strengere Konsistenz, was zu einer langsameren und weniger fehlertoleranten Leistung führt.
  • Ein typischer Workflow besteht darin, die Authentifizierung in Cassandra zu aktivieren und gleichzeitig einen benutzerdefinierten Nutzernamen und ein benutzerdefiniertes Passwort über die Konfigurationsdatei zu übergeben. Dadurch werden der benutzerdefinierte Nutzer und das benutzerdefinierte Passwort erstellt, die Sie sicher für Ihre Anforderungen verwenden können. Die Authentifizierung über solche Nutzer unterliegt keinen Einschränkungen hinsichtlich der Quorumkonsistenz.
  • Auch wenn ein benutzerdefinierter Nutzer erstellt wurde, wird in Cassandra weiterhin der Standardsuperuser cassandra erstellt. Über diesen Superuser können Sie auf Ihren Cassandra-Cluster zugreifen. Normalerweise sollten Sie den Befehl ALTER ROLE verwenden, um das Passwort dieses cassandra-Nutzers in einen anderen Wert als das Standardpasswort cassandra zu ändern, nachdem die Cassandra-Authentifizierung in Apigee vollständig aktiviert wurde. Notieren Sie sich dieses Passwort für später.
  • Das Passwort der Rolle, die von edge-*-Komponenten für die Authentifizierung verwendet wird, darf NICHT geändert werden, da dies sofort zu einer Dienstunterbrechung führt. Stattdessen sollten Sie einen ganz neuen Nutzer erstellen, die edge-*-Komponenten so ändern, dass der neue Nutzer verwendet wird, und den alten Nutzer dann mit dem Befehl DROP ROLE löschen.
  • So ändern Sie die Rolle, die von edge-*-Komponenten für die Cassandra-Authentifizierung verwendet wird:
    1. Folgen Sie der Anleitung im Abschnitt Authentifizierung aktivieren, um einen neuen Nutzer zu erstellen. Wenn die Authentifizierung in Ihrem Cluster bereits aktiviert ist und Sie das Passwort des Nutzers cassandra geändert haben, müssen Sie über CASS_EXISTING_USERNAME und CASS_EXISTING_PASSWORD eine Kombination aus Nutzername und Passwort eines vorhandenen Nutzers übergeben.
    2. Prüfen Sie anschließend mit cqlsh, ob Sie sowohl über den alten als auch über den neuen Nutzer eine Verbindung zu Cassandra herstellen können.
    3. Legen Sie für alle edge-*-Komponenten fest, dass sie für die Verbindung zu Cassandra den neu erstellten Nutzer verwenden sollen. Folgen Sie dazu der Anleitung unter Edge-Komponenten aktualisieren, die eine Verbindung zu Cassandra herstellen.
    4. Wenn alle Komponenten den neuen Nutzer verwenden, um mit Cassandra zu kommunizieren, können Sie den alten Nutzer mit dem Befehl DROP ROLE entfernen. Die Standardrolle cassandra darf nicht gelöscht werden. Sie können alle benutzerdefinierten Rollen löschen, die von edge-*-Komponenten nicht für die Kommunikation mit Cassandra verwendet werden.
  • Denken Sie daran, den funktionsfähigen Cassandra-Nutzernamen und das funktionsfähige Cassandra-Passwort in der Konfigurationsdatei zu aktualisieren, die Sie zum Installieren oder Aktualisieren von Edge-Komponenten verwenden. So werden Unterbrechungen bei Edge-Vorgängen vermieden oder minimiert.

Cassandra-Authentifizierung während der Installation aktivieren

Sie können die Cassandra-Authentifizierung bei der Installation aktivieren.

Wenn Sie die Cassandra-Authentifizierung bei der Installation aktivieren möchten, fügen Sie die Eigenschaft CASS_AUTH in die Konfigurationsdatei für alle Cassandra-Knoten ein:

CASS_AUTH=y # The default value is n.

Die folgenden Edge-Komponenten greifen auf Cassandra zu:

  • Verwaltungsserver
  • Message Processors
  • Router
  • Qpid-Server
  • Postgres-Server

Wenn Sie diese Komponenten installieren, müssen Sie in der Konfigurationsdatei einen Nutzernamen und ein Passwort festlegen:

CASS_USERNAME=cassandra_username
CASS_PASSWORD=cassandra_password

Sie können die Cassandra-Anmeldedaten nach der Installation von Cassandra ändern. Wenn Sie jedoch bereits den Verwaltungsserver, die Nachrichten-Prozessoren, Router, Qpid-Server oder Postgres-Server installiert haben, müssen Sie auch diese Komponenten aktualisieren, damit die neuen Anmeldedaten verwendet werden.

So ändern Sie die Cassandra-Anmeldedaten nach der Installation von Cassandra:

  1. Melden Sie sich mit dem cqlsh-Tool und den Standardanmeldedaten in einem beliebigen Cassandra-Knoten an. Sie müssen das Passwort nur auf einem Knoten ändern. Es wird dann an alle Cassandra-Knoten im Ring gesendet:
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra_username -p cassandra_password

    Wobei:

    1. cassIP ist die IP-Adresse des Cassandra-Knotens.
    2. 9042 ist der Standard-Cassandra-Port.
  2. Führen Sie den folgenden Befehl an der cqlsh>-Eingabeaufforderung aus, um das Passwort zu aktualisieren:
    ALTER ROLE <username> WITH PASSWORD='';
  3. Schließen Sie das cqlsh-Tool, wie im folgenden Beispiel gezeigt:
    exit
  4. Wenn Sie den Verwaltungsserver, die Nachrichten-Prozessoren, die Router, die Qpid-Server oder die Postgres-Server noch nicht installiert haben, legen Sie die folgenden Eigenschaften in der Konfigurationsdatei fest und installieren Sie dann die Komponenten:
    CASS_USERNAME=cassandra_username
    CASS_PASSWORD=new_cassandra_password
  5. Wenn Sie den Verwaltungsserver, Message Processors, Router, Qpid-Server oder Postgres-Server bereits installiert haben, finden Sie unter Edge-Passwörter zurücksetzen eine Anleitung zum Aktualisieren dieser Komponenten, damit das neue Passwort verwendet wird.

Cassandra-Authentifizierung nach der Installation aktivieren

So aktivieren Sie die Authentifizierung nach einer Installation:

Edge-Komponenten aktualisieren, die eine Verbindung zu Cassandra herstellen

Führen Sie die folgenden Schritte aus, um alle Edge-Komponenten, die mit Cassandra kommunizieren, mit den neuen Anmeldedaten zu aktualisieren. Beachten Sie, dass Sie diesen Schritt ausführen, bevor Sie die Cassandra-Anmeldedaten aktualisieren:

  1. Führen Sie auf dem Knoten „Management Server“ den folgenden Befehl aus:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server
      store_cassandra_credentials -u cassandra_username -p cassandra_password

    Optional können Sie dem Befehl eine Datei mit dem neuen Nutzernamen und Passwort übergeben:

    apigee-service edge-management-server store_cassandra_credentials  -f configFile

    Dabei enthält configFile Folgendes:

    CASS_USERNAME=cassandra_username # Default is cassandra
    CASS_PASSWORD='cassandra_password' # Default is cassandra; wrap in single quotes if it includes special chars

    Mit diesem Befehl wird der Verwaltungsserver automatisch neu gestartet.

  2. Wiederholen Sie Schritt 1 für jeden der folgenden Dienste:
    • Alle Nachrichtenverarbeiter
    • Alle Router
    • Alle Qpid-Server (edge-qpid-server)
    • Postgres-Server (edge-postgres-server)

    Wenn Sie Schritt 1 für jeden Dienst wiederholen, ersetzen Sie edge-management-server im obigen Befehl durch den entsprechenden Dienstnamen. Wenn Sie beispielsweise den Schritt für einen Routerdienst ausführen, verwenden Sie den folgenden Befehl:

    /opt/apigee/apigee-service/bin/apigee-service edge-router
      store_cassandra_credentials -u cassandra -p cassandra

Authentifizierung aktivieren

So aktivieren Sie die Cassandra-Authentifizierung und legen den Nutzernamen und das Passwort fest:

  1. Erstellen Sie eine Silent-Konfigurationsdatei mit dem folgenden Inhalt:
    # Specify IP address or DNS name of cassandra node
    IP1=192.168.1.1
    IP2=192.168.1.2
    IP3=192.168.1.3
    # Must resolve to IP address or DNS name of host
    HOSTIP=$(hostname -i)
    # Set to ‘y’ to enable Cassandra authentication.
    CASS_AUTH=y # Possible values are ‘y/n’
    # Cassandra username. If it does not exist, this user would be created as a SUPERUSER
    CASS_USERNAME=cassandra_username # Default value is cassandra - don't use for production
    # Cassandra Password. If CASS_USERNAME does not exist, create SUPERUSER with this as password
    CASS_PASSWORD=cassandra_password # Default value is cassandra - don't use for production
    # Space-separated IP/DNS names of the Cassandra hosts
    CASS_HOSTS="$IP1:1,1 $IP2:1,1 $IP3:1,1"
    
    # Username of an existing C* user. Only needed if you have disabled or changed details of the default cassandra user(‘cassandra’)
    CASS_EXISTING_USERNAME=existing_cassandra_username
    # Password of an existing C* user. Only needed if you have disabled or change password of the default cassandra user(‘cassandra’)
    CASS_EXISTING_PASSWORD=existing_cassandra_password
    # Cassandra port
    CASS_PORT=9042 # The default port is 9042.
  2. Melden Sie sich beim ersten Cassandra-Knoten an und führen Sie den folgenden Befehl aus:

    apigee-service apigee-cassandra enable_cassandra_authentication -f CONFIG

    Optional können Sie die Properties als Befehlsargumente an das Script übergeben, wie im folgenden Beispiel gezeigt:

    CASS_AUTH=y HOSTIP=$(hostname -i) CASS_PORT=9042 CASS_EXISTING_USERNAME=existing_cassandra_username CASS_EXISTING_PASSWORD=existing_cassandra_password CASS_USERNAME=cassandra_username CASS_PASSWORD=cassandra_password  CASS_HOSTS="192.168.1.1:1,1 192.168.1.2:1,1 192.168.1.3:1,1" apigee-service apigee-cassandra enable_cassandra_authentication

    Hinweise:

    • Bei den Standard-Cassandra-Anmeldedaten aktiviert der obige Befehl die Cassandra-Authentifizierung und startet Cassandra neu.
    • Bei nicht standardmäßigen Anmeldedaten ändert der Befehl auch den Replikationsfaktor, erstellt einen Superuser und führt eine Reparatur an system_auth keyspace durch.
  3. Wiederholen Sie die Schritte 1 und 2 auf allen Cassandra-Knoten.