Mengonfigurasi TLS untuk Cassandra

Cara mengonfigurasi TLS untuk Cassandra di bidang runtime

Cassandra menyediakan komunikasi yang aman antara komputer klien dan {i>database<i} cluster dan di antara node dalam cluster. Mengaktifkan enkripsi memastikan bahwa data dalam penerbangan tidak disusupi dan ditransfer dengan aman. Di Apigee Hybrid, TLS diaktifkan secara {i>default<i} untuk komunikasi apa pun antara {i>node<i} Cassandra dan antara klien dan Node Cassandra.

Tentang autentikasi pengguna Cassandra

Platform hybrid menggunakan Cassandra sebagai datastore backend untuk runtime data bidang. Secara {i>default<i}, salah satu komunikasi klien ke Cassandra memerlukan otentikasi. Ada tiga pengguna yang digunakan oleh klien yang berkomunikasi dengan Cassandra. Sandi default disediakan untuk pengguna ini, dan Anda tidak yang diperlukan untuk mengubahnya.

Para pengguna ini, termasuk pengguna default, dijelaskan di bawah ini:

  • Pengguna DML: Digunakan oleh komunikasi klien untuk membaca dan menulis data ke Cassandra (KMS, KVM, Cahce, dan Kuota).
  • Pengguna DDL: Digunakan oleh MART untuk tugas definisi data apa pun seperti keyspace pembuatan, pembaruan, dan penghapusan.
  • Pengguna Admin: Digunakan untuk aktivitas administratif yang dilakukan di gugus cassandra.
  • Pengguna Cassandra default: Cassandra membuat pengguna default saat Autentikasi diaktifkan dan nama penggunanya adalah cassandra

Mengubah {i>password<i} default

Apigee Hybrid menyediakan sandi default untuk pengguna Cassandra. Jika Anda ingin mengubah {i>password<i} pengguna {i>default<i}, Anda dapat melakukannya di File overrides.yaml. Tambahkan konfigurasi berikut, ubah default {i>password<i} ("iloveapis123") sesuai keinginan Anda, dan terapkan perubahan untuk cluster Anda.

Semua nama pengguna harus dalam huruf kecil.

cassandra:
   auth:
     default:  ## the password for the new default user (static username: cassandra)
       password: "iloveapis123"
     admin: ## the password for the admin user (static username: admin_user)
       password: "iloveapis123"
     ddl: ## the password for the DDL User (static username: ddl_user)
       password: "iloveapis123"
     dml: ## the password for the DML User (static username: dml_user)
       password: "iloveapis123"

Perhatikan hal berikut:

  • Rotasi Certificate Authority (CA) tidak didukung.
  • Sertifikat server yang dibuat dengan frasa sandi tidak didukung.

Memeriksa log Cassandra

Periksa log segera setelah Cassandra menyala. Log di bawah ini menunjukkan bahwa Koneksi klien Cassandra dienkripsi.

kubectl logs apigee-cassandra-2 -n apigee -f

INFO  00:44:36 Starting listening for CQL clients on /10.0.2.12:9042 (encrypted)...
INFO  00:44:36 Binding thrift service to /10.0.2.12:9160
INFO  00:44:36 enabling encrypted thrift connections between client and server
INFO  00:44:36 Listening for thrift clients...