3.3. TLS セキュリティーでの Kafka ストレージの設定
AMQ Streams Operator および Service Registry Operator を、暗号化された Transport Layer Security (TLS) 接続を使用するように設定できます。
前提条件
- OperatorHub またはコマンドラインを使用して Service Registry Operator をインストールする。
- AMQ Streams Operator をインストールする、または Kafka が OpenShift クラスターからアクセスできる。
ここでは、AMQ Streams Operator が利用可能であることを前提としていますが、任意の Kafka デプロイメントを使用できます。この場合、Service Registry Operator が想定する Openshift シークレットを手動で作成する必要があります。
手順
- OpenShift Web コンソールで Installed Operators をクリックし、AMQ Streams Operator の詳細を選択してから、Kafka タブをクリックします。
- Create Kafka をクリックし、Service Registry ストレージの新しい Kafka クラスターをプロビジョニングします。
以下のように、Kafka クラスターの TLS 認証を使用するように
authorization
およびtls
フィールドを設定します。apiVersion: kafka.strimzi.io/v1beta2 kind: Kafka metadata: name: my-cluster namespace: registry-example-kafkasql-tls # Change or remove the explicit namespace spec: kafka: config: offsets.topic.replication.factor: 3 transaction.state.log.replication.factor: 3 transaction.state.log.min.isr: 2 log.message.format.version: '2.7' inter.broker.protocol.version: '2.7' version: 2.7.0 storage: type: ephemeral replicas: 3 listeners: - name: tls port: 9093 type: internal tls: true authentication: type: tls authorization: type: simple entityOperator: topicOperator: {} userOperator: {} zookeeper: storage: type: ephemeral replicas: 3
Service Registry がデータを保存するために使用するデフォルトの Kafka トピック名は
kafkasql-journal
です。このトピックは Service Registry によって自動的に作成されます。適切な環境変数 (デフォルト値) を設定して、この動作またはデフォルトのトピック名を上書きできます。-
REGISTRY_KAFKASQL_TOPIC_AUTO_CREATE=true
-
REGISTRY_KAFKASQL_TOPIC=kafkasql-journal
Kafka トピックを手動で作成しない場合は、次の手順を省略します。
-
Kafka Topic タブをクリックしてから Create Kafka Topic をクリックし、
kafkasql-journal
トピックを作成します。apiVersion: kafka.strimzi.io/v1beta1 kind: KafkaTopic metadata: name: kafkasql-journal labels: strimzi.io/cluster: my-cluster namespace: registry-example-kafkasql-tls spec: partitions: 2 replicas: 1 config: retention.ms: 604800000 segment.bytes: 1073741824
Kafka User リソースを作成し、Service Registry ユーザーの認証および承認を設定します。
metadata
セクションでユーザー名を指定するか、デフォルトのmy-user
を使用できます。apiVersion: kafka.strimzi.io/v1beta1 kind: KafkaUser metadata: name: my-user labels: strimzi.io/cluster: my-cluster namespace: registry-example-kafkasql-tls spec: authentication: type: tls authorization: acls: - operation: All resource: name: '*' patternType: literal type: topic - operation: All resource: name: '*' patternType: literal type: cluster - operation: All resource: name: '*' patternType: literal type: transactionalId - operation: All resource: name: '*' patternType: literal type: group type: simple
注記Service Registry が必要とするトピックおよびリソースに合わせて承認を設定する必要があります。これは、単純な許容例です。
Workloads をクリックしてから Secrets をクリックし、Service Registry が Kafka クラスターに接続するために AMQ Stremas によって作成される 2 つのシークレットを見つけます。
-
my-cluster-cluster-ca-cert
- Kafka クラスターの PKCS12 トラストストアが含まれます。 my-user
- ユーザーのキーストアが含まれます。注記シークレットの名前は、クラスターまたはユーザー名によって異なります。
-
シークレットを手動で作成する場合は、以下のキーと値のペアを含める必要があります。
my-cluster-ca-cert
-
ca.p12
- PKCS12 形式のトラストストア -
ca.password
- トラストストアのパスワード
-
my-user
-
user.p12
- PKCS12 形式のキーストア -
user.password
- キーストアパスワード
-
Service Registry をデプロイするように、以下の設定例を設定します。
apiVersion: registry.apicur.io/v1 kind: ApicurioRegistry metadata: name: example-apicurioregistry-kafkasql spec: configuration: persistence: "kafkasql" kafkasql: bootstrapServers: "my-cluster-kafka-bootstrap.registry-example-kafkasql-tls.svc:9093" security: tls: keystoreSecretName: my-user truststoreSecretName: my-cluster-cluster-ca-cert
プレーンでセキュアでないユースケースとは別の bootstrapServers
アドレスを使用する必要があります。アドレスは TLS 接続をサポートする必要があり、type: tls
フィールドで指定された Kafka リソースにあります。