启用 Cassandra 身份验证

默认情况下，Cassandra 安装时未启用身份验证。这意味着任何人都可以访问 Cassandra。您可以在安装 Edge 后或在安装过程中启用身份验证。

您可以使用 Cassandra CREATE/ALTER/DROP ROLES 语句添加、移除和修改角色。详情请参阅以下内容：

• Cassandra 角色
• Cassandra 中基于角色的访问权限控制

一般注意事项

• 启用 Cassandra 身份验证后，Cassandra 会自动创建默认超级用户 cassandra（密码为 cassandra）。这是一个广为人知的超级用户，您不应在生产需求中使用此用户。此外，通过此超级用户进行身份验证需要仲裁一致性。因此，通过此用户进行身份验证的所有 Cassandra 连接都需要更严格的一致性，从而导致性能下降且容错性降低。
• 典型的工作流包括在 Cassandra 中启用身份验证，同时通过配置文件传递自定义用户名和密码。这样即可创建自定义用户名和密码，您可以放心地根据自己的需求使用这些密码，并且通过此类用户进行身份验证时不存在仲裁一致性限制。
• 请注意，即使可能已创建了自定义用户，Cassandra 仍会创建默认的 cassandra 超级用户，并且可通过该超级用户访问您的 Cassandra 集群。在 Apigee 中成功启用 Cassandra 身份验证后，您通常应使用 ALTER ROLE 命令将此 cassandra 用户的密码更改为默认 cassandra 以外的密码。保存此密码以供日后参考。
• 您不应更改 edge-* 组件用于身份验证的角色的密码，因为这样会立即导致服务中断。您应创建一个全新的用户，将 edge-* 组件修改为使用新用户，并在完成后使用 DROP ROLE 命令删除旧用户。
• 如需更改 edge-* 组件用于 Cassandra 身份验证的角色，请按以下步骤操作：
  1. 按照启用身份验证部分中的步骤创建一个新用户。请注意，如果您的集群中已启用身份验证，并且您更改了 cassandra 用户的密码，则需要通过 CASS_EXISTING_USERNAME 和 CASS_EXISTING_PASSWORD 传递现有用户的用户名/密码组合。
  2. 完成后，通过 cqlsh 验证您是否能够通过新旧用户连接到 Cassandra。
  3. 按照更新连接到 Cassandra 的 Edge 组件中的说明，指示所有 edge-* 组件使用新创建的用户连接到 Cassandra。
  4. 最后，当所有组件都使用新用户与 Cassandra 通信时，您可以使用 DROP ROLE 命令舍弃旧用户。请注意，不应丢弃默认的 cassandra 角色。您可以删除 edge-* 组件未用于与 Cassandra 通信的任何自定义创建的角色。
• 请务必在用于安装或升级 Edge 组件的配置文件中更新有效的 Cassandra 用户名和密码。这将消除或最大限度地减少边缘操作期间的任何中断。

在安装过程中启用 Cassandra 身份验证

您可以在安装时启用 Cassandra 身份验证。

如需在安装时启用 Cassandra 身份验证，请在所有 Cassandra 节点的配置文件中加入 CASS_AUTH 属性：

CASS_AUTH=y # The default value is n.

以下 Edge 组件访问 Cassandra：

• 管理服务器
• 消息处理器
• 路由器
• Qpid 服务器
• Postgres 服务器

安装这些组件时，您必须在配置文件中设置用户名和密码：

CASS_USERNAME=cassandra_username
CASS_PASSWORD=cassandra_password

您可以在安装 Cassandra 后更改 Cassandra 凭据。但是，如果您已经安装了管理服务器、消息处理器、路由器、Qpid 服务器或 Postgres 服务器，则还必须更新这些组件以使用新凭据。

如需在安装 Cassandra 后更改 Cassandra 凭据，请执行以下操作：

1. 使用 cqlsh 工具和默认凭据登录任何一个 Cassandra 节点。您只需在一个节点上更改密码，它就会广播到环中的所有 Cassandra 节点：

   /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra_username -p cassandra_password

   其中：

   1. cassIP 是 Cassandra 节点的 IP 地址。
   2. 9042 是默认 Cassandra 端口。
2. 在 cqlsh> 提示符处执行以下命令，以更新密码：

   ALTER ROLE <username> WITH PASSWORD='';

3. 退出 cqlsh 工具，如以下示例所示：

   exit

4. 如果您尚未安装管理服务器、消息处理器、路由器、Qpid 服务器或 Postgres 服务器，请在配置文件中设置以下属性，然后安装这些组件：

   CASS_USERNAME=cassandra_username
   CASS_PASSWORD=new_cassandra_password

5. 如果您已安装管理服务器、消息处理器、路由器、Qpid 服务器或 Postgres 服务器，请参阅重置边缘密码，了解更新这些组件以使用新密码的过程。

在安装后启用 Cassandra 身份验证

要在安装后启用身份验证，请执行以下操作：

• 使用 Cassandra 用户名和密码 更新连接到 Cassandra 的所有 Edge 组件。
• 在所有 Cassandra 节点上 启用身份验证，并在任意一个节点上设置 Cassandra 用户名和密码。您只需更改一个 Cassandra 节点上的凭据，这些凭据将广播到环中的所有 Cassandra 节点。

更新连接到 Cassandra 的 Edge 组件

按照以下步骤使用新凭据更新与 Cassandra 通信的所有 Edge 组件。请注意，请在实际更新 Cassandra 凭据之前执行此步骤：

1. 在管理服务器节点上，运行以下命令：

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server
     store_cassandra_credentials -u cassandra_username -p cassandra_password

   或者，您可以将包含新用户名和密码的文件传递给命令：

   apigee-service edge-management-server store_cassandra_credentials  -f configFile

   其中，configFile 包含以下内容：

   CASS_USERNAME=cassandra_username # Default is cassandra
   CASS_PASSWORD='cassandra_password' # Default is cassandra; wrap in single quotes if it includes special chars

   此命令会自动重启管理服务器。

2. 针对以下每项服务，重复第 1 步：
   • 所有消息处理器
   • 所有路由器
   • 所有 Qpid 服务器 (edge-qpid-server)
   • Postgres 服务器 (edge-postgres-server)

   对每项服务重复第 1 步时，请将上述命令中的 edge-management-server 替换为相应的服务名称。例如，当您针对路由器服务执行此步骤时，请使用以下命令：

   /opt/apigee/apigee-service/bin/apigee-service edge-router
     store_cassandra_credentials -u cassandra -p cassandra

启用身份验证

按照以下步骤启用 Cassandra 身份验证并设置用户名和密码：

1. 创建一个静默配置文件，其中包含如下所示的内容：

   # Specify IP address or DNS name of cassandra node
   IP1=192.168.1.1
   IP2=192.168.1.2
   IP3=192.168.1.3
   # Must resolve to IP address or DNS name of host
   HOSTIP=$(hostname -i)
   # Set to ‘y’ to enable Cassandra authentication.
   CASS_AUTH=y # Possible values are ‘y/n’
   # Cassandra username. If it does not exist, this user would be created as a SUPERUSER
   CASS_USERNAME=cassandra_username # Default value is cassandra - don't use for production
   # Cassandra Password. If CASS_USERNAME does not exist, create SUPERUSER with this as password
   CASS_PASSWORD=cassandra_password # Default value is cassandra - don't use for production
   # Space-separated IP/DNS names of the Cassandra hosts
   CASS_HOSTS="$IP1:1,1 $IP2:1,1 $IP3:1,1"
   
   # Username of an existing C* user. Only needed if you have disabled or changed details of the default cassandra user(‘cassandra’)
   CASS_EXISTING_USERNAME=existing_cassandra_username
   # Password of an existing C* user. Only needed if you have disabled or change password of the default cassandra user(‘cassandra’)
   CASS_EXISTING_PASSWORD=existing_cassandra_password
   # Cassandra port
   CASS_PORT=9042 # The default port is 9042.

2. 登录第一个 Cassandra 节点并执行以下命令：

   apigee-service apigee-cassandra enable_cassandra_authentication -f CONFIG

   或者，您也可以将属性作为命令参数传递给脚本，如以下示例所示：

   CASS_AUTH=y HOSTIP=$(hostname -i) CASS_PORT=9042 CASS_EXISTING_USERNAME=existing_cassandra_username CASS_EXISTING_PASSWORD=existing_cassandra_password CASS_USERNAME=cassandra_username CASS_PASSWORD=cassandra_password  CASS_HOSTS="192.168.1.1:1,1 192.168.1.2:1,1 192.168.1.3:1,1" apigee-service apigee-cassandra enable_cassandra_authentication

   注意：

   • 对于默认的 Cassandra 凭据，上述命令会启用 Cassandra 身份验证并重启 Cassandra。
   • 对于非默认凭据，该命令还会更改复制因子、创建超级用户，并对 system_auth keyspace 运行修复。
3. 在所有 Cassandra 节点上重复执行第 1 步和第 2 步。