4.3.2. Kafka へのユーザーアクセスのセキュア化
KafkaUser リソースのプロパティーを使用して Kafka ユーザーを設定します。
oc apply を使用すると、ユーザーを作成または編集できます。oc delete を使用すると、既存のユーザーを削除できます。
以下は例になります。
-
oc apply -f USER-CONFIG-FILE -
oc delete KafkaUser USER-NAME
KafkaUser 認証および承認メカニズムを設定する場合、必ず同等の Kafka 設定と一致するようにしてください。
-
KafkaUser.spec.authenticationはKafka.spec.kafka.listeners[*].authenticationと一致します。 -
KafkaUser.spec.authorizationはKafka.spec.kafka.authorizationと一致します。
この手順では、TLS 認証でユーザーを作成する方法を説明します。SCRAM-SHA 認証でユーザーを作成することも可能です。
必要な認証は、Kafka ブローカーリスナーに設定された認証のタイプ によって異なります。
Kafka ユーザーと Kafka ブローカー間の認証は、それぞれの認証設定によって異なります。たとえば、TLS が Kafka 設定で有効になっていない場合は、TLS でユーザーを認証できません。
前提条件
- TLS による認証および暗号化を使用して Kafka ブローカーリスナーで設定された 稼働中の Kafka クラスターが必要です。
- 稼働中の User Operator (通常は Entity Operator でデプロイされる) が必要です。
KafkaUser の認証タイプは、Kafka ブローカーに設定された認証と一致する必要があります。
手順
KafkaUserリソースを設定します。以下は例になります。
apiVersion: kafka.strimzi.io/v1beta2 kind: KafkaUser metadata: name: my-user labels: strimzi.io/cluster: my-cluster spec: authentication: 1 type: tls authorization: type: simple 2 acls: - resource: type: topic name: my-topic patternType: literal operation: Read - resource: type: topic name: my-topic patternType: literal operation: Describe - resource: type: group name: my-group patternType: literal operation: ReadKafkaUserリソースを作成または更新します。oc apply -f USER-CONFIG-FILEKafkaUserリソースと同じ名前の Secret と共に、ユーザーが作成されます。Secret には、TLS クライアント認証の秘密鍵と公開鍵が含まれます。
Kafka ブローカーへの接続をセキュアにするために Kafka クライアントをプロパティーで設定する詳細は『Deploying and Upgrading AMQ Streams on OpenShift』の「Setting up access for clients outside of OpenShift」を参照してください。
