LCMを使用したDSE用のSSL/TLSの構成

Lifecycle Manager構成プロファイルを使用して、DSEクラスター用のSSL/TLSを構成します。この手順は、プロダクション環境で推奨されます。ノード間の暗号化とクライアントとノード間の暗号化を有効にするには、以下の手順を実行します。

Lifecycle Manager(LCM)構成プロファイルを使用して、DataStax Enterprise(DSE)クラスター用のSSL/TLSを構成します。この手順は、プロダクション環境で推奨されます。LCMでは、ノード間の暗号化またはクライアントとノード間の暗号化のいずれかを使用するようDSEクラスターを構成できます。
  • クライアントとノード間の暗号化はデフォルトで有効になっており、LCMで内部認証局によって生成された証明書、またはLCMの外部で生成された証明書を使用できます。
  • ノード間の暗号化はデフォルトで有効になっていますが、ノード間通信を有効にすることによって構成できます。

ノード間の暗号化またはクライアントとノード間の暗号化が有効な場合は、LCMにより、DSEのノード間およびクライアントとノード間のSSL/TLS通信のキーストアとトラストストアが以下のデフォルトの名前と場所で作成されます。

クライアントとノード間
  • /etc/dse/keystores/client.keystore(クライアントとノード間のキーストア)
  • /etc/dse/keystores/client.truststore(クライアントとノード間のトラストストア)
ノード間
  • /etc/dse/keystores/server.keystore(ノード間のキーストア)
  • /etc/dse/keystores/server.truststore(ノード間のトラストストア)
また、クライアントとノード間のSSL暗号化が有効な場合、DSEサーバー・ノードと適切に通信するには、OpsCenterデーモンとDataStaxエージェントの両方でSSLを有効にする必要があります。LCMは、クラスター固有の構成ファイルcluster_name.confで、その目的に合わせてSSL構成オプションを自動的に構成します。
[agents]
ssl_keystore_password = cassandra
ssl_keystore = /etc/dse/keystores/client.keystore

[cassandra]
ssl_keystore_password = lifecyclemanager
ssl_keystore = /var/lib/opscenter/ssl/lcm/lcm-auto-generated.truststore

DataStaxエージェントがDSEノードと通信するために使用するキーストア・ファイルは、他のDSEノードに接続する際にDSEノードで使用されるキーストア・ファイルとまったく同じものです。

DSEノードと通信する際にOpsCenterデーモンに使用されるキーストア・ファイルは、LCM構成プロセスで自動的に生成され、/var/lib/opscenter/ssl/lcmフォルダーに格納されます。

OpsCenter UIを使用してクラスター接続を手動で構成する詳細については、「認証または暗号化のためのOpsCenterクラスター接続の編集」を参照してください。

cluster_name.conf

cluster_name.confファイルの場所は、インストールのタイプによって異なります。
  • パッケージ・インストール:/etc/opscenter/clusters/cluster_name.conf
  • tarボール・インストール:install_location/conf/clusters/cluster_name.conf

始める前に

LCMのドキュメントの「LCMを使用したDSEセキュリティの構成」を確認してください。
重要: 既存のクラスターでノード間の暗号化を有効にすると、クラスターで転送中にネットワーク・パーティションが発生し、整合性が一時的に失われます。可能であれば、クラスターを最初に作成するときにノード間の暗号化を使用するかどうかを選択してください。
注: [client_encryption_options][require_client_auth]を有効にすると、LCM制限事項により特別な手順を実行する必要があります。詳細については、このナレッジ・ベース記事を参照してください。

手順

  1. Lifecycle Managerのナビゲーション・メニューで[Config Profiles]をクリックします。
  2. 編集する構成プロファイルの[Edit]アイコンをクリックするか、プロファイルをまだ作成していない場合は[Add config profile]をクリックします。
  3. [Config Profile]ペインの[Cassandra]セクションで、[cassandra.yaml]を選択します。

    LCM構成プロファイルのcassandra.yamlのセキュリティ・オプション

  4. [Security]ペインの[server_encryption_options]で、[internode_encryption]の次のいずれかのオプションを選択します。
    • all:すべてのノード間通信が暗号化されます(推奨される最も強力なオプションです)。
    • dc:データ・センター間のトラフィックが暗号化されます。トラフィックをローカルに暗号化することでパフォーマンスが低下することは問題だが、信頼されないリンクが通過する可能性があるためデータ・センター間のトラフィックを暗号化する必要がある場合は、このオプションを選択します。
    • rack:ラック間のトラフィックが暗号化されます。
    ヒント: 使用可能な構成オプションの詳細については、「server_encryption_options」を参照してください。
  5. キーストアとトラストストアのパスワードを確認のため再入力します。
  6. [Security]ペインで[client_encryption_options][Enabled]オプションを選択します。

    クライアント暗号化オプションを有効にする

    ヒント: 使用可能な構成オプションの詳細については、「client_encryption_options」を参照してください。
  7. キーストアとトラストストアのパスワードを確認のため再入力します。
  8. [Save]をクリックし、構成プロファイルを保存します。

次のタスク

  1. Lifecycle Managerの[Clusters]ワークスペースに移動し、クラスター・レベルで適用する構成プロファイルを選択します。
  2. インストール・ジョブがクラスターでまだ実行されていない場合は、インストール・ジョブを実行します。実行されている場合は、構成ジョブを実行し、構成プロファイルの変更を適用します。
  3. ジョブを監視します。ジョブが正常に完了すると、DSEクラスターのSSL/TLS設定が有効になります。
  4. DSEのクライアントSSL接続で使用するため、生成されたCA証明書をダウンロードします