セキュリティ・キースペースのレプリケーション係数の構成
認証と権限を管理するセキュリティ・キースペースのレプリケーション係数(RF)を大きくして、ロックアウトを回避しクラスター内の整合性を確保します。
プロダクション環境でDSEセキュリティを使用する場合は適切なレプリケーション係数を構成します。レプリケーション・クラスをNetworkTopologyStrategyに変更します。次のセキュリティ・キースペースのレプリケーション係数は3~5です。
system_auth
dse_security
注: DSEでは、セキュリティ・キースペース内に認証および権限管理情報を格納します。system_keyspaces_filteringが無効になっている場合、すべての認証済みユーザーは、
security_auth
およびdse_security
キースペースへの完全な読み取りアクセス権を持ちます。デフォルトのレプリケーション係数
system_auth
キースペースとdse_security
キースペースのデフォルトのレプリケーション係数は1です。
データ損失を防ぐために、これらはそれぞれプロダクション環境で更新する必要があります。DataStaxでは、認証を有効にする前にレプリケーション係数を変更することを推奨しています。DSEでは、cassandraロールを使用する場合を除き、すべてのセキュリティ・キースペース・クエリーに対してLOCAL_ONE
整合性レベルを使用します。cassandraロールの場合は整合性レベルQUORUM
を使用します。cassandraロールのみを使用してログインし、独自のフル・アクセス・アカウントを作成したら、cassandraロールを削除してください。
警告: DSE認証を有効にする前にRFを大きくします。デフォルトのログイン・アカウント
cassandra
は、すべての要求をQUORUM
で実行し、RFが1
で失敗する可能性があります。推奨されるレプリケーション係数
フォールト・トレランスとデプロイのサイズに基づいて、適切なRFを決定します。
system_auth
:ログインごと、およびデータベース・オブジェクトに影響を与えるアクションごとに必須です。ユーザーがログインすると、それぞれの認証情報、ロール、パーミッションは、cassandra.yamlファイルのroles_validity_in_msで設定されている期間にわたりキャッシュされます。この設定には、LDAP、ネイティブ認証、権限管理に関するデータが含まれています。キースペースを使用できない場合、ログインとアクションは失敗する可能性があります。キースペースが別のデータ・センターにある場合、遅延が発生し、障害につながる可能性があります。キースペース・テーブルは、比較的小さくなります。DataStaxでは、データ・センターごとにレプリケーション係数
3
、4
、または5
の使用を推奨しています。注: DSEは、セキュリティ・データをキャッシュします。cassandra.yamlセキュリティ・プロパティのroles_update_interval_in_ms
およびpermissions_update_interval_in_ms
キャッシュ間隔を調整します。dse_security
:ログインごと、および関連するDSEサービスに必須です。DSE Analytic(Spark)、DSEクライアント・ダイジェスト・トークン、その他のKerberosに関するデータが含まれています。純粋なデータベース・アクティビティーでは重要度は低くなります。DataStaxでは、データ・センターごとにレプリケーション係数
3
、4
、または5
の使用を推奨しています。
注意: レプリケーション係数をデータ・センター内のノードの数より大きく設定しないでください。
手順
セキュリティ・キースペースのレプリケーション係数(RF)を変更するには、以下の手順を実行します。
-
system_auth
キースペースRFを変更します。ALTER KEYSPACE system_auth WITH REPLICATION= {'class' : 'NetworkTopologyStrategy', 'data_center_name' : N, 'data_center_name' : N};
注: データ・センターを追加または削除するたびに、手動でsystem_auth
キースペースを再構成する必要があります。 -
dse_security
キースペースRFを変更します。ALTER KEYSPACE dse_security WITH REPLICATION= {'class' : 'NetworkTopologyStrategy', 'data_center_name' : N, 'data_center_name' : N};
重要: データ・センターを追加または削除するたびに、手動でdse_security
キースペースを再構成する必要があります。また、DataStax EnterpriseまたはSparkのセキュリティ・オプションがクラスターで有効になっている場合、すべての論理データ・センターでdse_leases
キースペースのレプリケーション係数を大きくする必要があります。 -
セキュリティ・キースペースでnodetool repairを実行します。
nodetool repair --full system_auth nodetool repair --full dse_security
注: レプリケーション・ストラテジを変更した後、--fullオプションを指定してnodetool repair
を実行する必要があります。