セキュリティ・キースペースのレプリケーション係数の構成

認証と権限を管理するセキュリティ・キースペースのレプリケーション係数(RF)を大きくして、ロックアウトを回避しクラスター内の整合性を確保します。

プロダクション環境でDSEセキュリティを使用する場合は適切なレプリケーション係数を構成します。レプリケーション・クラスをNetworkTopologyStrategyに変更します。次のセキュリティ・キースペースのレプリケーション係数は3~5です。
  • system_auth
  • dse_security
注: DSEでは、セキュリティ・キースペース内に認証および権限管理情報を格納します。system_keyspaces_filteringが無効になっている場合、すべての認証済みユーザーは、security_authおよびdse_securityキースペースへの完全な読み取りアクセス権を持ちます。

デフォルトのレプリケーション係数

system_authキースペースとdse_securityキースペースのデフォルトのレプリケーション係数は1です。

データ損失を防ぐために、これらはそれぞれプロダクション環境で更新する必要があります。DataStaxでは、認証を有効にする前にレプリケーション係数を変更することを推奨しています。DSEでは、cassandraロールを使用する場合を除き、すべてのセキュリティ・キースペース・クエリーに対してLOCAL_ONE整合性レベルを使用します。cassandraロールの場合は整合性レベルQUORUMを使用します。cassandraロールのみを使用してログインし、独自のフル・アクセス・アカウントを作成したら、cassandraロールを削除してください。

警告: DSE認証を有効にする前にRFを大きくします。デフォルトのログイン・アカウントcassandraは、すべての要求をQUORUMで実行し、RFが1で失敗する可能性があります。

推奨されるレプリケーション係数

フォールト・トレランスとデプロイのサイズに基づいて、適切なRFを決定します。

  • system_auth:ログインごと、およびデータベース・オブジェクトに影響を与えるアクションごとに必須です。ユーザーがログインすると、それぞれの認証情報、ロール、パーミッションは、cassandra.yamlファイルのroles_validity_in_msで設定されている期間にわたりキャッシュされます。この設定には、LDAP、ネイティブ認証、権限管理に関するデータが含まれています。キースペースを使用できない場合、ログインとアクションは失敗する可能性があります。キースペースが別のデータ・センターにある場合、遅延が発生し、障害につながる可能性があります。キースペース・テーブルは、比較的小さくなります。

    DataStaxでは、データ・センターごとにレプリケーション係数34、または5の使用を推奨しています。

    注: DSEは、セキュリティ・データをキャッシュします。cassandra.yamlセキュリティ・プロパティのroles_update_interval_in_msおよびpermissions_update_interval_in_msキャッシュ間隔を調整します。
  • dse_security:ログインごと、および関連するDSEサービスに必須です。DSE Analytic(Spark)、DSEクライアント・ダイジェスト・トークン、その他のKerberosに関するデータが含まれています。純粋なデータベース・アクティビティーでは重要度は低くなります。

    DataStaxでは、データ・センターごとにレプリケーション係数34、または5の使用を推奨しています。

注意: レプリケーション係数をデータ・センター内のノードの数より大きく設定しないでください。

手順

セキュリティ・キースペースのレプリケーション係数(RF)を変更するには、以下の手順を実行します。
  1. system_authキースペースRFを変更します。 
    ALTER KEYSPACE system_auth
    WITH REPLICATION= {'class' : 'NetworkTopologyStrategy', 
                       'data_center_name' : N, 
                       'data_center_name' : N};
    注: データ・センターを追加または削除するたびに、手動でsystem_authキースペースを再構成する必要があります
  2. dse_securityキースペースRFを変更します。 
    ALTER KEYSPACE dse_security
    WITH REPLICATION= {'class' : 'NetworkTopologyStrategy', 
                       'data_center_name' : N, 
                       'data_center_name' : N};
    重要: データ・センターを追加または削除するたびに、手動でdse_securityキースペースを再構成する必要があります。また、DataStax EnterpriseまたはSparkのセキュリティ・オプションがクラスターで有効になっている場合、すべての論理データ・センターでdse_leasesキースペースのレプリケーション係数を大きくする必要があります。
  3. セキュリティ・キースペースでnodetool repairを実行します。 
    nodetool repair --full system_auth
nodetool repair --full dse_security
    注: レプリケーション・ストラテジを変更した後、--fullオプションを指定してnodetool repairを実行する必要があります。