Red Hat Summit第3章 外部リスナーの設定
外部リスナーを使用して AMQ Streams の Kafka クラスターを OpenShift 環境外のクライアントに公開します。
外部リスナー設定で Kafka を公開するため type を指定します。
-
nodeportはNodePortタイプのServicesを使用します。 -
loadbalancerが使用するLoadbalancer型Services -
ingressはKubernetesIngressと NGINX Ingress Controller for Kubernetes を使用しています。 -
routeは、OpenShiftRoutesと HAProxy ルーターを使用します。
リスナーの設定の詳細については、GenericKafkaListener スキーマリファレンスを参照してください。
route は OpenShift でのみサポートされます。
3.1. ノードポートを使用した Kafka へのアクセス
この手順では、ノードポートを使用して外部クライアントから AMQ Streams Kafka クラスターにアクセスする方法について説明します。
ブローカーに接続するには、Kafka bootstrap アドレスのホスト名とポート番号、および認証に使用される証明書が必要です。
前提条件
- OpenShift クラスター。
- 稼働中の Cluster Operator。
手順
外部リスナーを
nodeportタイプに設定してKafkaリソースを設定します。以下は例になります。
apiVersion: kafka.strimzi.io/v1beta2 kind: Kafka spec: kafka: # ... listeners: - name: external port: 9094 type: nodeport tls: true authentication: type: tls # ... # ... zookeeper: # ...リソースを作成または更新します。
oc apply -f KAFKA-CONFIG-FILENodePortタイプのサービスは、各 Kafka ブローカーと、外部のブートストラップサービスのために作成されます。ブートストラップサービスは外部トラフィックを Kafka ブローカーにルーティングします。接続に使用されるノードアドレスは、Kafka カスタムリソースのstatusに伝搬されます。kafka ブローカーの ID を検証するためのクラスター CA 証明書も、
Kafkaリソースと同じ名前で作成されます。Kafkaリソースのステータスから、Kafka クラスタにアクセスする際に使用するブートストラップアドレスを取得します。oc get kafka KAFKA-CLUSTER-NAME -o=jsonpath='{.status.listeners[?(@.type=="external")].bootstrapServers}{"\n"}'TLS による暗号化が有効な場合は、ブローカーの認証局の公開証明書を取得します。
oc get secret KAFKA-CLUSTER-NAME-cluster-ca-cert -o jsonpath='{.data.ca\.crt}' | base64 -d > ca.crtKafka クライアントで取得した証明書を使用して TLS 接続を設定します。認証が有効になっている場合は、SASL または TLS 認証を設定する必要もあります。
