Como configurar o TLS do Cassandra no plano de ambiente de execução
O Cassandra fornece comunicação segura entre uma máquina cliente e um cluster de banco
de dados e entre nós dentro de um cluster. A ativação da criptografia garante que os dados
em trânsito não sejam comprometidos e sejam transferidos com segurança. No híbrido da Apigee, o TLS é
ativado por padrão para qualquer comunicação entre os nós do Cassandra e entre os clientes e
os nós do Cassandra.
Sobre a autenticação de usuários do Cassandra
A plataforma híbrida usa o Cassandra como armazenamento de dados de back-end para dados do plano
de ambiente de execução. Por padrão, qualquer comunicação do cliente com o Cassandra
requer autenticação. Há três usuários utilizados pelos clientes que se comunicam
com o Cassandra. As senhas padrão são fornecidas a esses usuários, e você não
precisa alterá-las.
Esses usuários,
incluindo um usuário padrão, estão descritos abaixo:
Usuário DML: usado pela comunicação do cliente para ler e gravar dados no Cassandra
(KMS, KVM, Cahce e Quota).
Usuário DDL: usado pelo MART para qualquer uma das tarefas de definição de dados, como criação,
atualização e exclusão de espaço de chave.
Usuário administrador: usado para qualquer atividade administrativa realizada
em cluster cassandra.
Usuário padrão do Cassandra: o Cassandra cria um usuário padrão quando
a autenticação está ativada e o nome de usuário é cassandra.
Como alterar as senhas padrão
O híbrido da Apigee fornece senhas padrão para os usuários do Cassandra. Se você quiser alterar
as senhas de usuário padrão, faça isso no
arquivo overrides.yaml. Adicione a configuração a seguir, altere as senhas
padrão ("iloveapis123") como quiser e aplique a alteração ao
seu cluster.
Todos os nomes de usuário precisam estar em letras minúsculas.
A rotação da autoridade de certificação (CA, na sigla em inglês) não é compatível.
Um certificado de servidor gerado com a senha longa não é compatível.
Verificar os registros do Cassandra
Verifique os registros assim que o Cassandra for iniciado. O registro abaixo mostra que as
conexões do cliente do Cassandra estão criptografadas.
kubectl logs apigee-cassandra-2 -n apigee -f
INFO 00:44:36 Starting listening for CQL clients on /10.0.2.12:9042 (encrypted)...
INFO 00:44:36 Binding thrift service to /10.0.2.12:9160
INFO 00:44:36 enabling encrypted thrift connections between client and server
INFO 00:44:36 Listening for thrift clients...
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-28 UTC."],[[["\u003cp\u003eThis documentation version (1.2) for Apigee hybrid is end-of-life, and users should upgrade to a newer, supported version.\u003c/p\u003e\n"],["\u003cp\u003eApigee hybrid uses Cassandra as the backend datastore, and TLS encryption is enabled by default for communication between Cassandra nodes and clients.\u003c/p\u003e\n"],["\u003cp\u003eThere are three default user accounts (DML, DDL, and Admin) for client communication with Cassandra, along with a default "cassandra" user account, and while default passwords are provided, users can change them in the \u003ccode\u003eoverrides.yaml\u003c/code\u003e file.\u003c/p\u003e\n"],["\u003cp\u003eCassandra client connections are encrypted, as confirmed by checking the Cassandra logs after startup.\u003c/p\u003e\n"],["\u003cp\u003eCertificate Authority rotation and server certificates with a passphrase are not supported.\u003c/p\u003e\n"]]],[],null,["# Configuring TLS for Cassandra\n\n| You are currently viewing version 1.2 of the Apigee hybrid documentation. **This version is end of life.** You should upgrade to a newer version. For more information, see [Supported versions](/apigee/docs/hybrid/supported-platforms#supported-versions).\n\nHow to configure TLS for Cassandra in the runtime plane\n-------------------------------------------------------\n\n\nCassandra provides secure communication between a client machine and a database\ncluster and between nodes within a cluster. Enabling encryption ensures that data\nin flight is not compromised and is transferred securely. In Apigee hybrid, TLS is\nenabled by default for any communication between Cassandra nodes and between clients and\nCassandra nodes.\n\nAbout Cassandra user authentication\n-----------------------------------\n\n\nThe hybrid platform uses Cassandra as the backend datastore for runtime\nplane data. By default, any of the client communications to Cassandra\nrequires authentication. There are three users used by clients that communicate\nwith Cassandra. Default passwords are provided for these users, and you are not\nrequired to change them.\n\nThese users,\nincluding a default user, are described below:\n\n- **DML User**: Used by the client communication to read and write data to Cassandra (KMS, KVM, Cahce and Quota).\n- **DDL User:** Used by MART for any of the data definition tasks like keyspace creation, update, and deletion.\n- **Admin User:** Used for any administrative activities performed on cassandra cluster.\n- **Default Cassandra user:** Cassandra creates a default user when Authentication is enabled and the username is `cassandra`\n\nChanging the default passwords\n------------------------------\n\n\nApigee hybrid provides default passwords for the Cassandra users. If you want to change\nthe default user passwords, you can do so in the\n`overrides.yaml` file. Add the following configuration, change the default\npasswords (\"iloveapis123\") as you wish, and apply the change to\nyour cluster.\n\n\nAll the usernames must be in lowercase. \n\n```actionscript-3\ncassandra:\n auth:\n default: ## the password for the new default user (static username: cassandra)\n password: \"iloveapis123\"\n admin: ## the password for the admin user (static username: admin_user)\n password: \"iloveapis123\"\n ddl: ## the password for the DDL User (static username: ddl_user)\n password: \"iloveapis123\"\n dml: ## the password for the DML User (static username: dml_user)\n password: \"iloveapis123\"\n```\n\n\nNote the following:\n\n- Certificate Authority (CA) rotation is not supported.\n- A server certificate which is generated with passphrase is not supported.\n\nCheck the Cassandra logs\n------------------------\n\n\nCheck the logs as soon as the Cassandra starts up. The log below shows you that the\nCassandra client connections are encrypted. \n\n```\nkubectl logs apigee-cassandra-2 -n apigee -f\n\nINFO 00:44:36 Starting listening for CQL clients on /10.0.2.12:9042 (encrypted)...\nINFO 00:44:36 Binding thrift service to /10.0.2.12:9160\nINFO 00:44:36 enabling encrypted thrift connections between client and server\nINFO 00:44:36 Listening for thrift clients...\n```"]]
