Cassandra 認証を有効にする

デフォルトでは、Cassandra のインストール時に認証は有効にされません。つまり、だれでも Cassandra にアクセスできます。Edge のインストール後、またはインストール プロセスの一環として認証を有効にできます。

ロールの追加、削除、変更には、Cassandra の CREATE/ALTER/DROP ROLES ステートメントを使用します。詳しくは以下をご覧ください。

一般的な考慮事項

  • Cassandra 認証を有効にすると、デフォルトのスーパーユーザー cassandra(パスワード cassandra)が Cassandra によって自動的に作成されます。これは広く知られているスーパーユーザーであり、本番環境では使用しないでください。また、このスーパーユーザーによる認証には、クォーラムの整合性が必要です。したがって、このユーザーを介して認証される Cassandra へのすべての接続には、より厳格な整合性が求められ、パフォーマンスが低下し、フォールト トレラントが低下します。
  • 一般的なワークフローは、構成ファイルからカスタム ユーザー名とパスワードを渡しながら、Cassandra で認証を有効にします。これにより、ニーズに応じて安全に使用できるカスタム ユーザーとパスワードが作成されます。このようなユーザーによる認証には、クォーラムの整合性制限がありません。
  • カスタム ユーザーが作成されている場合でも、Cassandra はデフォルトの cassandra スーパーユーザーを作成します。Cassandra クラスタには、このスーパーユーザーからアクセスできます。通常、Apigee 全体で Cassandra 認証が正常に有効になったら、ALTER ROLE コマンドを使用して、この cassandra ユーザーのパスワードをデフォルトの cassandra 以外のものに変更する必要があります。後で参照できるように、このパスワードを記録しておいてください。
  • edge-* コンポーネントが認証に使用しているロールのパスワードを変更しないでください。変更すると、サービスがすぐに中断されます。代わりに、まったく新しいユーザーを作成し、新しいユーザーを使用するように edge-* コンポーネントを変更し、完了したら DROP ROLE コマンドを使用して古いユーザーを削除する必要があります。
  • Cassandra 認証に edge-* コンポーネントで使用されるロールを変更するには、次の操作を行います。
    1. 認証を有効にするの手順に沿って、新しいユーザーを作成します。クラスタで認証がすでに有効になっていて、cassandra ユーザーのパスワードを変更した場合は、CASS_EXISTING_USERNAMECASS_EXISTING_PASSWORD を介して既存のユーザーのユーザー名とパスワードの組み合わせを渡す必要があります。
    2. 完了したら、古いユーザーと新しいユーザーの両方から Cassandra に接続できることを cqlsh で確認します。
    3. Cassandra に接続する Edge コンポーネントを更新するの手順に沿って、新しく作成したユーザーを使用して Cassandra に接続するように、すべての edge-* コンポーネントを設定します。
    4. 最後に、すべてのコンポーネントが新しいユーザーを使用して Cassandra と通信している場合は、DROP ROLE コマンドを使用して古いユーザーを削除できます。デフォルトの cassandra ロールは削除しないでください。edge-* コンポーネントが Cassandra との通信に使用していない、カスタム作成のロールがあれば削除できます。
  • Edge コンポーネントのインストールまたはアップグレードに使用する構成ファイルで、機能する Cassandra のユーザー名とパスワードを更新してください。これにより、エッジ オペレーション中の中断を排除または最小限に抑えることができます。

インストール時に Cassandra 認証を有効にする

インストール時に Cassandra 認証を有効にできます。

インストール時に Cassandra 認証を有効にするには、すべての Cassandra ノードの構成ファイルに CASS_AUTH プロパティを含めます。

CASS_AUTH=y # The default value is n.

Cassandra にアクセスする Edge コンポーネントは次のとおりです。

  • 管理サーバー
  • Message Processor
  • ルーター
  • Qpid サーバー
  • Postgres サーバー

これらのコンポーネントをインストールするときに、構成ファイルでユーザー名とパスワードを設定する必要があります。

CASS_USERNAME=cassandra_username
CASS_PASSWORD=cassandra_password

Cassandra インストール後に Cassandra の認証情報を変更できます。ただし、Management Server、Message Processor、Router、Qpid サーバー、Postgres サーバーをすでにインストールしている場合は、これらのコンポーネントも新しい認証情報を使用するよう更新する必要があります。

Cassandra のインストール後に Cassandra の認証情報を変更するには:

  1. cqlsh ツールとデフォルトの認証情報を使用していずれかの Cassandra にログインします。パスワードの変更は 1 つのノードだけで行い、その変更をリング内のすべての Cassandra ノードにブロードキャストします。 
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra_username -p cassandra_password

    ここで

    1. cassIP は Cassandra ノードの IP アドレスです。
    2. 9042 はデフォルトの Cassandra ポートです。
  2. cqlsh> プロンプトで次のコマンドを実行して、パスワードを更新します。
    ALTER ROLE <username> WITH PASSWORD='';
  3. 次の例のように、cqlsh ツールを終了します。 
    exit
  4. Management Server、Message Processor、Router、Qpid サーバー、Postgres サーバーをまだインストールしていない場合は、構成ファイルで次のプロパティを設定してそれらのコンポーネントをインストールします。
    CASS_USERNAME=cassandra_username
CASS_PASSWORD=new_cassandra_password
  5. Management Server、Message Processor、Router、Qpid サーバー、Postgres サーバーをすでにインストールしている場合は、Edge パスワードをリセットするの手順に従って、これらのコンポーネントで新しいパスワードが使用されるようにします。

インストール後に Cassandra 認証を有効にする

インストール後に認証を有効にするには、次の手順に従います。

  • Cassandra に接続するすべての Edge コンポーネントを更新して、Cassandra のユーザー名とパスワードを反映させます。
  • すべての Cassandra ノードで 認証を有効にし、いずれか 1 つのノードで Cassandra のユーザー名とパスワードを設定します。認証情報の変更は 1 つの Cassandra ノードだけで行い、その変更をリング内のすべての Cassandra ノードにブロードキャストします。

Cassandra に接続する Edge コンポーネントを更新する

Cassandra と通信するすべての Edge コンポーネントに新しい認証情報を設定する手順は次のとおりです。この手順は、Cassandra の認証情報を実際に更新する前に行う必要があります。

  1. Management Server ノードで、次のコマンドを実行します。 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server
  store_cassandra_credentials -u cassandra_username -p cassandra_password

    必要に応じて、次のように新しいユーザー名とパスワードを含むファイルをコマンドに渡すこともできます。

    apigee-service edge-management-server store_cassandra_credentials  -f configFile

    ここで、configFile には次の設定が含まれます。

    CASS_USERNAME=cassandra_username # Default is cassandra
CASS_PASSWORD='cassandra_password' # Default is cassandra; wrap in single quotes if it includes special chars

    このコマンドは、自動的に Management Server を再起動します。

  2. 次の各サービスに対してステップ 1 を繰り返します。
    • すべての Message Processor
    • すべての Router
    • すべての Qpid サーバー(edge-qpid-server)
    • Postgres サーバー(edge-postgres-server)

    各サービスに対してステップ 1 を繰り返すとき、上記のコマンドの edge-management-server の部分を適切なサービス名に置き換えます。たとえば、Router サービスに対してステップ 1 を行うときは、次のコマンドを使用します。

    /opt/apigee/apigee-service/bin/apigee-service edge-router
  store_cassandra_credentials -u cassandra -p cassandra

認証を有効にする

次の手順に従い、Cassandra 認証を有効にしてユーザー名とパスワードを設定します。

  1. 以下の設定を含むサイレント構成ファイルを作成します。 
    # Specify IP address or DNS name of cassandra node
IP1=192.168.1.1
IP2=192.168.1.2
IP3=192.168.1.3
# Must resolve to IP address or DNS name of host
HOSTIP=$(hostname -i)
# Set to ‘y’ to enable Cassandra authentication.
CASS_AUTH=y # Possible values are ‘y/n’
# Cassandra username. If it does not exist, this user would be created as a SUPERUSER
CASS_USERNAME=cassandra_username # Default value is cassandra - don't use for production
# Cassandra Password. If CASS_USERNAME does not exist, create SUPERUSER with this as password
CASS_PASSWORD=cassandra_password # Default value is cassandra - don't use for production
# Space-separated IP/DNS names of the Cassandra hosts
CASS_HOSTS="$IP1:1,1 $IP2:1,1 $IP3:1,1"

# Username of an existing C* user. Only needed if you have disabled or changed details of the default cassandra user(‘cassandra’)
CASS_EXISTING_USERNAME=existing_cassandra_username
# Password of an existing C* user. Only needed if you have disabled or change password of the default cassandra user(‘cassandra’)
CASS_EXISTING_PASSWORD=existing_cassandra_password
# Cassandra port
CASS_PORT=9042 # The default port is 9042.

  2. 最初の Cassandra ノードにログインし、次のコマンドを実行します。

    apigee-service apigee-cassandra enable_cassandra_authentication -f CONFIG

    必要に応じて、次の例のようにプロパティをコマンド引数としてスクリプトに渡すこともできます。 

    CASS_AUTH=y HOSTIP=$(hostname -i) CASS_PORT=9042 CASS_EXISTING_USERNAME=existing_cassandra_username CASS_EXISTING_PASSWORD=existing_cassandra_password CASS_USERNAME=cassandra_username CASS_PASSWORD=cassandra_password  CASS_HOSTS="192.168.1.1:1,1 192.168.1.2:1,1 192.168.1.3:1,1" apigee-service apigee-cassandra enable_cassandra_authentication

    注:

    • デフォルトの Cassandra 認証情報の場合、上記のコマンドを実行すると Cassandra 認証が有効になり、Cassandra が再起動します。
    • デフォルト以外の認証情報の場合は、このコマンドにより、レプリケーション係数の変更、スーパーユーザーの作成、system_auth keyspace の修復も行われます。
  3. すべての Cassandra ノードでステップ 1 と 2 を繰り返します。