Cassandra 認証を有効にする

デフォルトでは、Cassandra は認証を有効にせずにインストールされます。つまり、誰でも Cassandra にアクセスできます。Edge のインストール後、またはインストール プロセスの一環として、認証を有効にできます。

Cassandra の CREATE/ALTER/DROP ROLES ステートメントを使用して、ロールを追加、削除、変更できます。詳しくは以下をご覧ください。

一般的な考慮事項

  • Cassandra 認証を有効にすると、デフォルトのスーパー ユーザー cassandra(パスワードは cassandra)が Cassandra によって自動的に作成されます。これは広く知られているスーパー ユーザーであるため、本番環境のニーズに合わせて使用しないでください。さらに、このスーパー ユーザーによる認証にはクォーラムの整合性が必要です。したがって、このユーザーを介した Cassandra 認証へのすべての接続には、より厳格な整合性が必要となり、その結果、パフォーマンスが遅くなり、フォールト トレラントが低下します。
  • 一般的なワークフローでは、Cassandra で認証を有効にし、構成ファイルを介してカスタムのユーザー名とパスワードを渡します。これにより、ニーズに応じて安全に使用できるカスタムのユーザーとパスワードが作成されます。このようなユーザーを介して認証を行う場合は、クォーラム整合性の制限は適用されません。
  • カスタム ユーザーが作成されても、Cassandra は引き続きデフォルトの cassandra スーパー ユーザーを作成し、Cassandra クラスタにはこのスーパー ユーザーを介してアクセスできることに注意してください。Cassandra 認証が Apigee 全体で正常に有効になった後は、通常、ALTER ROLE コマンドを使用して、この cassandra ユーザーのパスワードをデフォルトの cassandra 以外のものに変更する必要があります。このパスワードは、後で参照できるように記録しておいてください。
  • edge-* コンポーネントが認証に使用しているロールのパスワードは変更しないでください。すぐにサービスが中断されます。代わりに、新しいユーザーを作成し、その新しいユーザーを使用するように edge-* コンポーネントを変更します。完了したら、DROP ROLE コマンドを使用して古いユーザーを削除します。
  • edge-* コンポーネントが Cassandra 認証に使用するロールを変更するには、次の操作を行います。
    1. 認証を有効にするセクションの手順に従って、新しいユーザーを作成します。クラスタで認証がすでに有効になっており、cassandra ユーザーのパスワードを変更した場合は、CASS_EXISTING_USERNAMECASS_EXISTING_PASSWORD で既存のユーザーのユーザー名とパスワードの組み合わせを渡す必要があります。
    2. 完了したら、cqlsh を使用して、新旧ユーザーの両方を介して Cassandra に接続できることを確認します。
    3. Cassandra に接続する Edge コンポーネントを更新するの手順に沿って、新しく作成されたユーザーを使用して Cassandra に接続するように、すべての edge-* コンポーネントを指定します。
    4. 最後に、すべてのコンポーネントが新しいユーザーを使用して Cassandra と通信したら、DROP ROLE コマンドを使用して古いユーザーを削除できます。デフォルトの cassandra ロールは削除しないでください。Cassandra との通信に edge-* コンポーネントで使用されていないカスタム作成ロールは削除できます。
  • Edge コンポーネントのインストールまたはアップグレードに使用する構成ファイル内で、Cassandra が機能するユーザー名とパスワードを必ず更新してください。これにより、エッジ オペレーション中の中断が排除または最小化されます。

インストール時に Cassandra 認証を有効にする

インストール時に Cassandra 認証を有効にできます。

インストール時に Cassandra 認証を有効にするには、すべての Cassandra ノードの構成ファイルに CASS_AUTH プロパティを含めます。

CASS_AUTH=y # The default value is n.

Cassandra にアクセスする Edge コンポーネントは次のとおりです。

  • 管理サーバー
  • Message Processor
  • ルーター
  • Qpid サーバー
  • Postgres サーバー

これらのコンポーネントをインストールするときに、構成ファイルにユーザー名とパスワードを設定する必要があります。

CASS_USERNAME=cassandra_username
CASS_PASSWORD=cassandra_password

Cassandra の認証情報は、Cassandra のインストール後に変更できます。ただし、Management Server、Message Processor、Router、Qpid サーバー、Postgres サーバーをすでにインストールしている場合は、これらのコンポーネントを更新して新しい認証情報を使用する必要があります。

Cassandra のインストール後に Cassandra の認証情報を変更するには:

  1. cqlsh ツールとデフォルトの認証情報を使用して、任意の Cassandra ノードにログインします。パスワードを変更する必要があるのは 1 つのノードだけで、その変更はリング内のすべての Cassandra ノードにブロードキャストされます。 
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra_username -p cassandra_password

    ここで

    1. cassIP は、Cassandra ノードの IP アドレスです。
    2. 9042 は、デフォルトの Cassandra ポートです。
  2. cqlsh> プロンプトで次のコマンドを実行して、パスワードを更新します。 
    ALTER ROLE <username> WITH PASSWORD='';
  3. 次の例のように、cqlsh ツールを終了します。 
    exit
  4. Management Server、Message Processor、Router、Qpid サーバー、Postgres サーバーをまだインストールしていない場合は、構成ファイルで次のプロパティを設定してから、コンポーネントをインストールします。 
    CASS_USERNAME=cassandra_username
CASS_PASSWORD=new_cassandra_password
  5. Management Server、Message Processor、Router、Qpid サーバー、または Postgres サーバーをすでにインストールしている場合は、Edge のパスワードを再設定するで、新しいパスワードを使用するようにコンポーネントを更新する手順を確認してください。

インストール後に Cassandra 認証を有効にする

インストール後に認証を有効にするには:

  • Cassandra のユーザー名とパスワードを使用して、 Cassandra に接続するすべての Edge コンポーネントを更新します。
  • すべての Cassandra ノードで 認証を有効にし、任意の 1 つのノードで Cassandra のユーザー名とパスワードを設定します。1 つの Cassandra ノードで認証情報を変更するだけで、リング内のすべての Cassandra ノードにブロードキャストされます。

Cassandra に接続する Edge コンポーネントを更新する

Cassandra と通信するすべての Edge コンポーネントを新しい認証情報で更新するには、次の操作を行います。この手順は、Cassandra の認証情報を実際に更新する前に行ってください。

  1. Management Server ノードで、次のコマンドを実行します。 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server
  store_cassandra_credentials -u cassandra_username -p cassandra_password

    必要に応じて、新しいユーザー名とパスワードを含むファイルをコマンドに渡すことができます。

    apigee-service edge-management-server store_cassandra_credentials  -f configFile

    ここで、configFile には次のものが含まれます。

    CASS_USERNAME=cassandra_username # Default is cassandra
CASS_PASSWORD='cassandra_password' # Default is cassandra; wrap in single quotes if it includes special chars

    このコマンドを実行すると、Management Server が自動的に再起動されます。

  2. 次の各サービスに対して、ステップ 1 を繰り返します。
    • すべての Message Processor
    • すべてのルーター
    • すべての Qpid サーバー(edge-qpid-server)
    • Postgres サーバー(edge-postgres-server)

    サービスごとに手順 1 を繰り返すときは、上記のコマンドの edge-management-server を適切なサービス名に置き換えます。たとえば、ルーター サービスのステップを実行する場合は、次のコマンドを使用します。

    /opt/apigee/apigee-service/bin/apigee-service edge-router
  store_cassandra_credentials -u cassandra -p cassandra

認証を有効にする

Cassandra 認証を有効にし、ユーザー名とパスワードを設定するには、次の手順を使用します。

  1. 次の内容のサイレント構成ファイルを作成します。 
    # Specify IP address or DNS name of cassandra node
IP1=192.168.1.1
IP2=192.168.1.2
IP3=192.168.1.3
# Must resolve to IP address or DNS name of host
HOSTIP=$(hostname -i)
# Set to ‘y’ to enable Cassandra authentication.
CASS_AUTH=y # Possible values are ‘y/n’
# Cassandra username. If it does not exist, this user would be created as a SUPERUSER
CASS_USERNAME=cassandra_username # Default value is cassandra - don't use for production
# Cassandra Password. If CASS_USERNAME does not exist, create SUPERUSER with this as password
CASS_PASSWORD=cassandra_password # Default value is cassandra - don't use for production
# Space-separated IP/DNS names of the Cassandra hosts
CASS_HOSTS="$IP1:1,1 $IP2:1,1 $IP3:1,1"

# Username of an existing C* user. Only needed if you have disabled or changed details of the default cassandra user(‘cassandra’)
CASS_EXISTING_USERNAME=existing_cassandra_username
# Password of an existing C* user. Only needed if you have disabled or change password of the default cassandra user(‘cassandra’)
CASS_EXISTING_PASSWORD=existing_cassandra_password
# Cassandra port
CASS_PORT=9042 # The default port is 9042.

  2. 最初の Cassandra ノードにログインし、次のコマンドを実行します。

    apigee-service apigee-cassandra enable_cassandra_authentication -f CONFIG

    必要に応じて、次の例に示すように、プロパティをコマンド引数としてスクリプトに渡すことができます。 

    CASS_AUTH=y HOSTIP=$(hostname -i) CASS_PORT=9042 CASS_EXISTING_USERNAME=existing_cassandra_username CASS_EXISTING_PASSWORD=existing_cassandra_password CASS_USERNAME=cassandra_username CASS_PASSWORD=cassandra_password  CASS_HOSTS="192.168.1.1:1,1 192.168.1.2:1,1 192.168.1.3:1,1" apigee-service apigee-cassandra enable_cassandra_authentication

    注:

    • デフォルトの Cassandra 認証情報の場合、上記のコマンドにより Cassandra 認証が有効になり、Cassandra が再起動されます。
    • デフォルト以外の認証情報の場合、このコマンドはレプリケーション係数の変更、スーパーユーザーの作成、system_auth keyspace の修復も行います。
  3. すべての Cassandra ノードで手順 1 と 2 を繰り返します。