5.4. AMQ Streams での Service Registry ストレージでの SCRAM セキュリティーの設定

手順

1. OpenShift Web コンソールで Installed Operators をクリックし、AMQ Streams Operator の詳細を選択してから、Kafka タブをクリックします。
2. Create Kafka をクリックし、Service Registry ストレージの新しい Kafka クラスターをプロビジョニングします。

3. Kafka クラスターに SCRAM-SHA-512 認証を使用するように、 authorization フィールドと tls フィールドを設定します。次に例を示します。

   apiVersion: kafka.strimzi.io/v1beta1
   kind: Kafka
   metadata:
     name: my-cluster
     namespace: registry-example-streams-tls
   spec:
     kafka:
       authorization:
         type: simple
       version: 2.5.0
       replicas: 3
       listeners:
         plain: {}
         tls:
           authentication:
             type: scram-sha-512
       config:
         offsets.topic.replication.factor: 3
         transaction.state.log.replication.factor: 3
         transaction.state.log.min.isr: 2
         log.message.format.version: '2.5'
       storage:
         type: ephemeral
     zookeeper:
       replicas: 3
       storage:
         type: ephemeral
     entityOperator:
       topicOperator: {}
       userOperator: {}

   Copy to Clipboard Toggle word wrap

4. Kafka トピックを作成し、Service Registry アーティファクトを保存します。

   1. Provided APIs > Kafka Topic で、Create topic をクリックします。
   2. デフォルトのトピック名を my-topic から必要な storage-topic に変更します。

5. Kafka トピックを作成し、Service Registry のグローバル ID を保存します。

   1. Provided APIs > Kafka Topic で、Create topic をクリックします。
   2. デフォルトのトピック名を my-topic から必要な global-id-topic に変更します。

6. Kafka User リソースを作成し、Service Registry ユーザーの SCRAM 認証および承認を設定します。たとえば、spec ブロックは authentication セクションを参照してください。

   spec:
     authentication:
       type: scram-sha-512
     authorization:
       acls:
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: topic
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: cluster
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: transactionalId
         - operation: All
           resource:
             name: '*'
             patternType: literal
             type: group
       type: simple

   Copy to Clipboard Toggle word wrap

7. Workloads をクリックしてから Secrets をクリックし、Service Registry が Kafka クラスターに接続するために AMQ Stremas によって作成される 2 つのシークレットを見つけます。

   • my-cluster-cluster-ca-cert - Kafka クラスターの PKCS12 トラストストアが含まれています

   • my-user - ユーザーのキーストアが含まれます

     注記

     シークレットの名前は、クラスターまたはユーザー名によって異なります。

8. シークレットを手動で作成する場合は、以下のキーと値のペアを含める必要があります。

   • my-cluster-ca-cert

     • ca.p12 -PKCS12 形式のトラストストア
     • ca.password - truststore password

   • my-user

     • パスワード - ユーザーパスワード

9. Service Registry をデプロイするように、以下の設定例を設定します。

   apiVersion: apicur.io/v1alpha1
   kind: ApicurioRegistry
   metadata:
     name: example-apicurioregistry
   spec:
     configuration:
       persistence: "streams"
       streams:
         bootstrapServers: "my-cluster-kafka-bootstrap.registry-example-streams-scram.svc:9093"
         security:
           scram:
             truststoreSecretName: my-cluster-cluster-ca-cert
             user: my-user
             passwordSecretName: my-user

   Copy to Clipboard Toggle word wrap
   重要

   プレーンでセキュアでないユースケースとは別の bootstrapServers アドレスを使用する必要があります。アドレスは TLS 接続をサポートする必要があり、指定された Kafka リソースの type:tls フィールドにあります。