内部トランザクション用ノード接続のセキュリティ保護

ノード間の暗号化では、クラスター内のノード間で転送されるデータをSSLを使用して保護します。

ノード間の暗号化では、クラスター内のノード間で転送されるデータをSSL(Secure Sockets Layer)を使用して保護します。SSL証明書の生成については、「SSL証明書の設定」を参照してください。

cassandra.yamlファイルの場所は、インストールのタイプによって異なります。

パッケージ・インストールInstaller-Servicesインストール

/etc/dse/cassandra/cassandra.yaml

tarボール・インストールInstaller-No Servicesインストール

installation_location/resources/cassandra/conf/cassandra.yaml

OpsCenter Lifecycle Managerで、DataStax Enterpriseクラスターがノード間の暗号化を使用するように構成できます。また、内部認証局を使用するサーバー証明書の作成プロセスが自動化され、生成されるキーストアとトラストストアが各ノードに自動的にデプロイされます。

手順

ノード間のSSL暗号化を有効にするには:

  1. ノードごとにcassandra.yamlファイルのserver_encryption_optionsを設定します。
    • internode_encryption:ノード間のトラフィックを暗号化します。オプションは、nonealldcrackです。
    • keystore:DSEインストール・ディレクトリからの相対パス、またはキーストア・ファイルの絶対パス。
    • keystore_password:キーストアにアクセスするためのパスワード。
    • truststore:DSEインストール・ディレクトリからの相対パス、またはトラストストア・ファイルの絶対パス。
    • truststore_password:トラストストアにアクセスするためのパスワード。
    • require_client_auth:双方向の暗号化を有効にします。有効にした後で、SSLを使用するようクライアント(nodetoolやcqlshなど)を構成する必要があります。
    • require_endpoint_verification:任意指定。接続先のホストと証明書のホスト名が一致することを確認します。
    注: トラストストアとキーストアのパスワードをKMIPで暗号化するには、「テーブル・データの暗号化」を参照してください。
    server_encryption_options:
       internode_encryption: all
       keystore: resources/dse/conf/keystore.jks
       keystore_password: myPassKey
       truststore: resources/dse/conf/truststore.jks
       truststore_password: truststorePass
       require_client_auth: true
       require_endpoint_verification: true
  2. DSEを再起動します