Como configurar o TLS do Cassandra no plano de ambiente de execução
O Cassandra fornece comunicação segura entre uma máquina cliente e um cluster de banco
de dados e entre nós dentro de um cluster. A ativação da criptografia garante que os dados
em trânsito não sejam comprometidos e sejam transferidos com segurança. No híbrido da Apigee, o TLS é
ativado por padrão para qualquer comunicação entre os nós do Cassandra e entre os clientes e
os nós do Cassandra.
Sobre a autenticação de usuários do Cassandra
A plataforma híbrida usa o Cassandra como armazenamento de dados de back-end para dados do plano
de ambiente de execução. Por padrão, qualquer comunicação do cliente com o Cassandra
requer autenticação. Há três usuários utilizados pelos clientes que se comunicam
com o Cassandra. As senhas padrão são fornecidas a esses usuários, e você não
precisa alterá-las.
Esses usuários,
incluindo um usuário padrão, estão descritos abaixo:
Usuário DML: usado pela comunicação do cliente para ler e gravar dados no Cassandra
(KMS, KVM, Cahce e Quota).
Usuário DDL: usado pelo MART para qualquer uma das tarefas de definição de dados, como criação,
atualização e exclusão de espaço de chave.
Usuário administrador: usado para qualquer atividade administrativa realizada
em cluster cassandra.
Usuário padrão do Cassandra: o Cassandra cria um usuário padrão quando
a autenticação está ativada e o nome de usuário é cassandra.
Como alterar as senhas padrão
O híbrido da Apigee fornece senhas padrão para os usuários do Cassandra. Se você quiser alterar
as senhas de usuário padrão, faça isso no
arquivo overrides.yaml. Adicione a configuração a seguir, altere as senhas
padrão ("iloveapis123") como quiser e aplique a alteração ao
seu cluster.
Todos os nomes de usuário precisam estar em letras minúsculas.
A rotação da autoridade de certificação (CA, na sigla em inglês) não é compatível.
Um certificado de servidor gerado com a senha longa não é compatível.
Verificar os registros do Cassandra
Verifique os registros assim que o Cassandra for iniciado. O registro abaixo mostra que as
conexões do cliente do Cassandra estão criptografadas.
kubectl logs apigee-cassandra-2 -n apigee -f
INFO 00:44:36 Starting listening for CQL clients on /10.0.2.12:9042 (encrypted)...
INFO 00:44:36 Binding thrift service to /10.0.2.12:9160
INFO 00:44:36 enabling encrypted thrift connections between client and server
INFO 00:44:36 Listening for thrift clients...
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-28 UTC."],[[["\u003cp\u003eApigee hybrid uses Cassandra as its backend datastore, and TLS encryption is enabled by default for all communication between Cassandra nodes and clients to ensure data security.\u003c/p\u003e\n"],["\u003cp\u003eClient communication with Cassandra requires authentication, utilizing four different users: DML, DDL, Admin, and a default user, each with specific roles and default passwords.\u003c/p\u003e\n"],["\u003cp\u003eYou can change the default passwords for Cassandra users in the \u003ccode\u003eoverrides.yaml\u003c/code\u003e file by updating the configuration and applying the change to your cluster, ensuring all usernames are in lowercase.\u003c/p\u003e\n"],["\u003cp\u003eCassandra logs indicate that client connections are encrypted, confirming the successful implementation of secure communication between clients and the Cassandra server.\u003c/p\u003e\n"],["\u003cp\u003eThere is an outdated version warning at the top of this page for the user to upgrade to a newer version of the documentation for Apigee hybrid, and the specific version is 1.1, considered end of life.\u003c/p\u003e\n"]]],[],null,["# Configuring TLS for Cassandra\n\n| You are currently viewing version 1.1 of the Apigee hybrid documentation. **This version is end of life.** You should upgrade to a newer version. For more information, see [Supported versions](/apigee/docs/hybrid/supported-platforms#supported-versions).\n\nHow to configure TLS for Cassandra in the runtime plane\n-------------------------------------------------------\n\n\nCassandra provides secure communication between a client machine and a database\ncluster and between nodes within a cluster. Enabling encryption ensures that data\nin flight is not compromised and is transferred securely. In Apigee hybrid, TLS is\nenabled by default for any communication between Cassandra nodes and between clients and\nCassandra nodes.\n\nAbout Cassandra user authentication\n-----------------------------------\n\n\nThe hybrid platform uses Cassandra as the backend datastore for runtime\nplane data. By default, any of the client communications to Cassandra\nrequires authentication. There are three users used by clients that communicate\nwith Cassandra. Default passwords are provided for these users, and you are not\nrequired to change them.\n\nThese users,\nincluding a default user, are described below:\n\n- **DML User**: Used by the client communication to read and write data to Cassandra (KMS, KVM, Cahce and Quota).\n- **DDL User:** Used by MART for any of the data definition tasks like keyspace creation, update, and deletion.\n- **Admin User:** Used for any administrative activities performed on cassandra cluster.\n- **Default Cassandra user:** Cassandra creates a default user when Authentication is enabled and the username is `cassandra`\n\nChanging the default passwords\n------------------------------\n\n\nApigee hybrid provides default passwords for the Cassandra users. If you want to change\nthe default user passwords, you can do so in the\n`overrides.yaml` file. Add the following configuration, change the default\npasswords (\"iloveapis123\") as you wish, and apply the change to\nyour cluster.\n\n\nAll the usernames must be in lowercase. \n\n```actionscript-3\ncassandra:\n auth:\n default: ## the password for the new default user (static username: cassandra)\n password: \"iloveapis123\"\n admin: ## the password for the admin user (static username: admin_user)\n password: \"iloveapis123\"\n ddl: ## the password for the DDL User (static username: ddl_user)\n password: \"iloveapis123\"\n dml: ## the password for the DML User (static username: dml_user)\n password: \"iloveapis123\"\n```\n\n\nNote the following:\n\n- Certificate Authority (CA) rotation is not supported.\n- A server certificate which is generated with passphrase is not supported.\n\nCheck the Cassandra logs\n------------------------\n\n\nCheck the logs as soon as the Cassandra starts up. The log below shows you that the\nCassandra client connections are encrypted. \n\n```\nkubectl logs apigee-cassandra-2 -n apigee -f\n\nINFO 00:44:36 Starting listening for CQL clients on /10.0.2.12:9042 (encrypted)...\nINFO 00:44:36 Binding thrift service to /10.0.2.12:9160\nINFO 00:44:36 enabling encrypted thrift connections between client and server\nINFO 00:44:36 Listening for thrift clients...\n```"]]
