LCMを使用したDSE用のSSL/TLSの構成
Lifecycle Manager構成プロファイルを使用して、DSEクラスター用のSSL/TLSを構成します。この手順は、実稼働環境で推奨されます。ノード間の暗号化とクライアントとノード間の暗号化を有効にするには、以下の手順を実行します。
Lifecycle Manager構成プロファイルを使用して、DSEクラスター用のSSL/TLSを構成します。この手順は、実稼働環境で推奨されます。ノード間の暗号化とクライアントとノード間の暗号化を有効にするには、以下の手順を実行します。
ノード間の暗号化またはクライアントとノード間の暗号化が有効な場合は、LCMにより、DSEのノード間およびクライアントとノード間のSSL/TLS通信のキーストアとトラストストアが以下のデフォルトの名前と場所で作成されます。
- /etc/dse/keystores/server.keystore(ノード間のキーストア)
- /etc/dse/keystores/server.truststore(ノード間のトラストストア)
- /etc/dse/keystores/client.keystore(クライアントとノード間のキーストア)
- /etc/dse/keystores/client.truststore(クライアントとノード間のトラストストア)
また、クライアントとノード間のSSL暗号化が有効な場合、DSEサーバー・ノードと適切に通信するには、OpsCenterデーモンとDataStaxエージェントの両方でSSLを有効にする必要があります。LCMは、クラスター固有の構成ファイルcluster_name.confで、その目的に合わせてSSL構成オプションを自動的に構成します。
[agents]
ssl_keystore_password = cassandra
ssl_keystore = /etc/dse/keystores/client.keystore
[cassandra]
ssl_keystore_password = lifecyclemanager
ssl_keystore = /var/lib/opscenter/ssl/lcm/lcm-auto-generated.truststoreDataStaxエージェントがDSEノードと通信するために使用するキーストア・ファイルは、他のDSEノードに接続する際にDSEノードで使用されるキーストア・ファイルとまったく同じものです。
DSEノードと通信する際にOpsCenterデーモンに使用されるキーストア・ファイルは、LCM構成プロセスで自動的に生成され、/var/lib/opscenter/ssl/lcmフォルダーに格納されます。
OpsCenter UIを使用してクラスター接続を手動で構成する詳細については、「認証または暗号化のためのOpsCenterクラスター接続の編集」を参照してください。
始める前に
LCMのドキュメントの「LCMを使用したDSEセキュリティの管理」を確認してください。
重要: 既存のクラスターでノード間の暗号化を有効にすると、クラスターで転送中にネットワーク・パーティションが発生し、整合性が一時的に失われます。可能であれば、クラスターを最初に作成するときにノード間の暗号化を使用するかどうかを選択してください。
注: [client_encryption_options]の[require_client_auth]を有効にすると、LCM制限事項により特別な手順を実行する必要があります。詳細については、ナレッジ・ベース記事を参照してください。
cluster_name.conf
cluster_name.confファイルの場所は、インストールのタイプによって異なります。
- パッケージ・インストール:/etc/opscenter/clusters/cluster_name.conf
- tarボール・インストール:install_location/conf/clusters/cluster_name.conf
手順
- Lifecycle Managerのナビゲーション・メニューで[Config Profiles]をクリックします。
- 編集する構成プロファイルの[Edit]アイコンをクリックするか、プロファイルをまだ作成していない場合は[Add config profile]をクリックします。
-
[Config Profile]ペインの[Cassandra]セクションで、[cassandra.yaml]をクリックします。
-
[Security]ペインの[server_encryption_options]で、[internode_encryption]のオプションを選択します。
ノード間の暗号化に使用できるオプション:
- all:すべてのノード間通信が暗号化されます。推奨される最も強力なオプションです。
- dc:データ・センター間のトラフィックが暗号化されます。トラフィックをローカルに暗号化することでパフォーマンスが低下することは問題だが、信頼されないリンクが通過する可能性があるためデータ・センター間のトラフィックを暗号化する必要がある場合は、このオプションを選択します。
- rack:ラック間のトラフィックが暗号化されます。
ヒント: 使用可能な構成オプションの詳細については、DSE管理者向けドキュメントの「server_encryption_options」を参照してください。 -
[Security]ペインで[client_encryption_options]に[Enabled]オプションを選択します。
ヒント: 使用可能な構成オプションの詳細については、DSE管理者向けドキュメントの「client_encryption_options」を参照してください。 - [Save]をクリックし、構成プロファイルを保存します。
次のタスク
- Lifecycle Managerの[Clusters]ワークスペースに移動し、クラスター・レベルで適用する構成プロファイルを選択します。
- インストール・ジョブがクラスターでまだ実行されていない場合は、インストール・ジョブを実行します。実行されている場合は、構成ジョブを実行し、構成プロファイルの変更を適用します。
- ジョブを監視します。ジョブが正常に完了すると、DSEクラスターのSSL/TLS設定が完了します。
- DSEのクライアントSSL接続で使用するため、生成されたCA証明書をダウンロードします。