Cara mengonfigurasi TLS untuk Cassandra di platform runtime
Cassandra menyediakan komunikasi yang aman antara mesin klien dan cluster database serta antara node dalam cluster. Mengaktifkan enkripsi memastikan bahwa data dalam pengiriman tidak disusupi dan ditransfer dengan aman. Di Apigee hybrid, TLS diaktifkan secara default untuk setiap komunikasi antara node Cassandra dan antara klien dan node Cassandra.
Tentang autentikasi pengguna Cassandra
Platform campuran menggunakan Cassandra sebagai datastore backend untuk data bidang runtime. Secara default, setiap komunikasi klien ke Cassandra memerlukan autentikasi. Ada tiga pengguna yang digunakan oleh klien yang berkomunikasi dengan Cassandra. Sandi default disediakan untuk pengguna ini, dan Anda tidak diwajibkan untuk mengubahnya.
Pengguna ini, termasuk pengguna default, dijelaskan di bawah ini:
- Pengguna DML: Digunakan oleh komunikasi klien untuk membaca dan menulis data ke Cassandra (KMS, KVM, Cache, dan Kuota).
- Pengguna DDL: Digunakan oleh MART untuk tugas definisi data apa pun seperti pembuatan, pembaruan, dan penghapusan ruang kunci.
- Pengguna Admin: Digunakan untuk aktivitas administratif apa pun yang dilakukan di cluster cassandra.
- Pengguna Cassandra default: Cassandra membuat pengguna default saat
Autentikasi diaktifkan dan nama penggunanya adalah
cassandra
Mengubah sandi default
Apigee hybrid menyediakan sandi default untuk pengguna Cassandra. Jika ingin mengubah
sandi pengguna default, Anda dapat melakukannya di
file overrides.yaml
. Tambahkan konfigurasi berikut, ubah sandi default ("iloveapis123") sesuai keinginan, dan terapkan perubahan ke cluster Anda.
Semua nama pengguna harus dalam huruf kecil.
cassandra: auth: default: ## the password for the new default user (static username: cassandra) password: "iloveapis123" admin: ## the password for the admin user (static username: admin_user) password: "iloveapis123" ddl: ## the password for the DDL User (static username: ddl_user) password: "iloveapis123" dml: ## the password for the DML User (static username: dml_user) password: "iloveapis123"
Perhatikan hal berikut:
- Rotasi Certificate Authority (CA) tidak didukung.
- Sertifikat server yang dibuat dengan frasa sandi tidak didukung.
Memeriksa log Cassandra
Periksa log segera setelah Cassandra dimulai. Log di bawah menunjukkan bahwa koneksi klien Cassandra dienkripsi.
kubectl logs apigee-cassandra-2 -n apigee -f INFO 00:44:36 Starting listening for CQL clients on /10.0.2.12:9042 (encrypted)... INFO 00:44:36 Binding thrift service to /10.0.2.12:9160 INFO 00:44:36 enabling encrypted thrift connections between client and server INFO 00:44:36 Listening for thrift clients...