ホーム
製品
Red Hat OpenShift Serverless
1.31
Eventing
6.5. チャネルのセキュリティー設定

6.5. チャネルのセキュリティー設定

6.5.1. Apache Kafka の Knative チャネルの TLS 認証設定
リンクのコピー

Transport Layer Security (TLS) は、Apache Kafka クライアントおよびサーバーによって、Knative と Kafka 間のトラフィックを暗号化するため、および認証のために使用されます。TLS は、Apache Kafka の Knative ブローカー実装でサポートされている唯一のトラフィック暗号化方式です。

前提条件

OpenShift Container Platform でクラスターまたは専用の管理者パーミッションを持っている。
OpenShift Serverless Operator、Knative Eventing、および KnativeKafka CR は、OpenShift Container Platform クラスターにインストールされている。
OpenShift Container Platform でアプリケーションおよび他のワークロードを作成するために、プロジェクトを作成しているか、適切なロールおよびパーミッションを持つプロジェクトにアクセスできる。
.pem ファイルとして Kafka クラスター CA 証明書が保存されている。
Kafka クラスタークライアント証明書とキーが .pem ファイルとして保存されている。
OpenShift CLI (oc) がインストールされている。

手順

選択された namespace にシークレットとして証明書ファイルを作成します。

oc create secret -n <namespace> generic <kafka_auth_secret> \
  --from-file=ca.crt=caroot.pem \
  --from-file=user.crt=certificate.pem \
  --from-file=user.key=key.pem

$ oc create secret -n <namespace> generic <kafka_auth_secret> \
  --from-file=ca.crt=caroot.pem \
  --from-file=user.crt=certificate.pem \
  --from-file=user.key=key.pem

Copy to Clipboard

Toggle word wrap

重要

キー名に ca.crt、 user.crt、および user.key を使用します。これらの値は変更しないでください。

KnativeKafka カスタムリソースの編集を開始します。
```
oc edit knativekafka
```
```
$ oc edit knativekafka
```
Copy to Clipboard Toggle word wrap

シークレットおよびシークレットの namespace を参照します。

apiVersion: operator.serverless.openshift.io/v1alpha1
kind: KnativeKafka
metadata:
  namespace: knative-eventing
  name: knative-kafka
spec:
  channel:
    authSecretName: <kafka_auth_secret>
    authSecretNamespace: <kafka_auth_secret_namespace>
    bootstrapServers: <bootstrap_servers>
    enabled: true
  source:
    enabled: true

apiVersion: operator.serverless.openshift.io/v1alpha1
kind: KnativeKafka
metadata:
  namespace: knative-eventing
  name: knative-kafka
spec:
  channel:
    authSecretName: <kafka_auth_secret>
    authSecretNamespace: <kafka_auth_secret_namespace>
    bootstrapServers: <bootstrap_servers>
    enabled: true
  source:
    enabled: true

Copy to Clipboard

Toggle word wrap

注記

ブートストラップサーバーで一致するポートを指定するようにしてください。

以下に例を示します。

apiVersion: operator.serverless.openshift.io/v1alpha1
kind: KnativeKafka
metadata:
  namespace: knative-eventing
  name: knative-kafka
spec:
  channel:
    authSecretName: tls-user
    authSecretNamespace: kafka
    bootstrapServers: eventing-kafka-bootstrap.kafka.svc:9094
    enabled: true
  source:
    enabled: true

apiVersion: operator.serverless.openshift.io/v1alpha1
kind: KnativeKafka
metadata:
  namespace: knative-eventing
  name: knative-kafka
spec:
  channel:
    authSecretName: tls-user
    authSecretNamespace: kafka
    bootstrapServers: eventing-kafka-bootstrap.kafka.svc:9094
    enabled: true
  source:
    enabled: true

Copy to Clipboard

Toggle word wrap

6.5.2. Apache Kafka の Knative チャネルの SASL 認証設定
リンクのコピー

Simple Authentication and Security Layer (SASL) は、Apache Kafka が認証に使用します。クラスターで SASL 認証を使用する場合、ユーザーは Kafka クラスターと通信するために Knative に認証情報を提供する必要があります。そうしないと、イベントを生成または消費できません。

前提条件

OpenShift Container Platform でクラスターまたは専用の管理者パーミッションを持っている。
OpenShift Serverless Operator、Knative Eventing、および KnativeKafka CR は、OpenShift Container Platform クラスターにインストールされている。
OpenShift Container Platform でアプリケーションおよび他のワークロードを作成するために、プロジェクトを作成しているか、適切なロールおよびパーミッションを持つプロジェクトにアクセスできる。
Kafka クラスターのユーザー名およびパスワードがある。
使用する SASL メカニズムを選択している (例: PLAIN、SCRAM-SHA-256、または SCRAM-SHA-512)。
TLS が有効になっている場合は、Kafka クラスターの ca.crt 証明書ファイルがある。
OpenShift CLI (oc) がインストールされている。

手順

選択された namespace にシークレットとして証明書ファイルを作成します。

oc create secret -n <namespace> generic <kafka_auth_secret> \
  --from-file=ca.crt=caroot.pem \
  --from-literal=password="SecretPassword" \
  --from-literal=saslType="SCRAM-SHA-512" \
  --from-literal=user="my-sasl-user"

$ oc create secret -n <namespace> generic <kafka_auth_secret> \
  --from-file=ca.crt=caroot.pem \
  --from-literal=password="SecretPassword" \
  --from-literal=saslType="SCRAM-SHA-512" \
  --from-literal=user="my-sasl-user"

Copy to Clipboard

Toggle word wrap

キー名に ca.crt、 password、および sasl.mechanism を使用します。これらの値は変更しないでください。

パブリック CA 証明書で SASL を使用する場合は、シークレットの作成時に ca.crt 引数ではなく tls.enabled=true フラグを使用する必要があります。以下に例を示します。

oc create secret -n <namespace> generic <kafka_auth_secret> \
  --from-literal=tls.enabled=true \
  --from-literal=password="SecretPassword" \
  --from-literal=saslType="SCRAM-SHA-512" \
  --from-literal=user="my-sasl-user"

$ oc create secret -n <namespace> generic <kafka_auth_secret> \
  --from-literal=tls.enabled=true \
  --from-literal=password="SecretPassword" \
  --from-literal=saslType="SCRAM-SHA-512" \
  --from-literal=user="my-sasl-user"

Copy to Clipboard

Toggle word wrap

KnativeKafka カスタムリソースの編集を開始します。
```
oc edit knativekafka
```
```
$ oc edit knativekafka
```
Copy to Clipboard Toggle word wrap

シークレットおよびシークレットの namespace を参照します。

apiVersion: operator.serverless.openshift.io/v1alpha1
kind: KnativeKafka
metadata:
  namespace: knative-eventing
  name: knative-kafka
spec:
  channel:
    authSecretName: <kafka_auth_secret>
    authSecretNamespace: <kafka_auth_secret_namespace>
    bootstrapServers: <bootstrap_servers>
    enabled: true
  source:
    enabled: true

apiVersion: operator.serverless.openshift.io/v1alpha1
kind: KnativeKafka
metadata:
  namespace: knative-eventing
  name: knative-kafka
spec:
  channel:
    authSecretName: <kafka_auth_secret>
    authSecretNamespace: <kafka_auth_secret_namespace>
    bootstrapServers: <bootstrap_servers>
    enabled: true
  source:
    enabled: true

Copy to Clipboard

Toggle word wrap

注記

ブートストラップサーバーで一致するポートを指定するようにしてください。

以下に例を示します。

apiVersion: operator.serverless.openshift.io/v1alpha1
kind: KnativeKafka
metadata:
  namespace: knative-eventing
  name: knative-kafka
spec:
  channel:
    authSecretName: scram-user
    authSecretNamespace: kafka
    bootstrapServers: eventing-kafka-bootstrap.kafka.svc:9093
    enabled: true
  source:
    enabled: true

apiVersion: operator.serverless.openshift.io/v1alpha1
kind: KnativeKafka
metadata:
  namespace: knative-eventing
  name: knative-kafka
spec:
  channel:
    authSecretName: scram-user
    authSecretNamespace: kafka
    bootstrapServers: eventing-kafka-bootstrap.kafka.svc:9093
    enabled: true
  source:
    enabled: true

Copy to Clipboard

Toggle word wrap

トップに戻る

6.5. チャネルのセキュリティー設定

6.5.1. Apache Kafka の Knative チャネルの TLS 認証設定
リンクのコピー

6.5.2. Apache Kafka の Knative チャネルの SASL 認証設定
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.5. チャネルのセキュリティー設定

6.5.1. Apache Kafka の Knative チャネルの TLS 認証設定リンクのコピーリンクがクリップボードにコピーされました!

6.5.2. Apache Kafka の Knative チャネルの SASL 認証設定リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.5.1. Apache Kafka の Knative チャネルの TLS 認証設定
リンクのコピー

6.5.2. Apache Kafka の Knative チャネルの SASL 認証設定
リンクのコピー