ホーム
製品
Streams for Apache Kafka
2.1
OpenShift でのAMQ Streams の設定
11.5. クラスター CA を信頼する内部クライアントの設定

11.5. クラスター CA を信頼する内部クライアントの設定

この手順では、TLS リスナーに接続する OpenShift クラスター内部に存在する Kafka クライアントがクラスター CA 証明書を信頼するように設定する方法を説明します。

これを内部クライアントで実現するには、ボリュームマウントを使用して、必要な証明書および鍵が含まれる Secrets にアクセスするのが最も簡単な方法です。

以下の手順に従い、クラスター CA によって署名された信頼できる証明書を Java ベースの Kafka Producer、Consumer、および Streams API に設定します。

クラスター CA の証明書の形式に合わせて、従う手順を選択します。PKCS #12(.p12)または PEM(.crt)

この手順では、Kafka クラスターの ID を検証する Cluster Secret をクライアント Pod にマウントする方法を説明します。

前提条件

Cluster Operator が稼働している必要があります。
OpenShift クラスター内に Kafka リソースが必要です。
TLS を使用して接続し、クラスター CA 証明書を必ず信頼する Kafka クライアントアプリケーションが、OpenShift クラスター内部に必要です。
クライアントアプリケーションが Kafka リソースと同じ namespace で実行している必要があります。

PKCS #12 形式 (.p12) の使用

クライアント Pod の定義時に、Cluster Secret をボリュームとしてマウントします。

以下はその例です。

kind: Pod
apiVersion: v1
metadata:
  name: client-pod
spec:
  containers:
  - name: client-name
    image: client-name
    volumeMounts:
    - name: secret-volume
      mountPath: /data/p12
    env:
    - name: SECRET_PASSWORD
      valueFrom:
        secretKeyRef:
          name: my-secret
          key: my-password
  volumes:
  - name: secret-volume
    secret:
      secretName: my-cluster-cluster-ca-cert

kind: Pod
apiVersion: v1
metadata:
  name: client-pod
spec:
  containers:
  - name: client-name
    image: client-name
    volumeMounts:
    - name: secret-volume
      mountPath: /data/p12
    env:
    - name: SECRET_PASSWORD
      valueFrom:
        secretKeyRef:
          name: my-secret
          key: my-password
  volumes:
  - name: secret-volume
    secret:
      secretName: my-cluster-cluster-ca-cert

Copy to Clipboard

Toggle word wrap

ここでは、以下をマウントしています。

PKCS #12 ファイルを設定可能な正確なパスにマウント。
パスワードを Java 設定に使用できる環境変数にマウント。

Kafka クライアントを以下のプロパティーで設定します。
- セキュリティープロトコルのオプション:
  - セキュリティープロトコル: SASL_SSL (TLS 認証ありまたはなしで、暗号化に TLS を使用する場合)。
  - セキュリティープロトコル: SASL_SSL (TLS で SCRAM-SHA 認証を使用する場合)
- ssl.truststore.location (証明書がインポートされたトラストストアを指定)。
- ssl.truststore.password (トラストストアにアクセスするためのパスワードを指定)。
- ssl.truststore.type=PKCS12 (トラストストアのタイプを識別)。

PEM 形式の使用 (.crt)

クライアント Pod の定義時に、Cluster Secret をボリュームとしてマウントします。

以下はその例です。

kind: Pod
apiVersion: v1
metadata:
  name: client-pod
spec:
  containers:
  - name: client-name
    image: client-name
    volumeMounts:
    - name: secret-volume
      mountPath: /data/crt
  volumes:
  - name: secret-volume
    secret:
      secretName: my-cluster-cluster-ca-cert

kind: Pod
apiVersion: v1
metadata:
  name: client-pod
spec:
  containers:
  - name: client-name
    image: client-name
    volumeMounts:
    - name: secret-volume
      mountPath: /data/crt
  volumes:
  - name: secret-volume
    secret:
      secretName: my-cluster-cluster-ca-cert

Copy to Clipboard

Toggle word wrap

X.509 形式の証明書を使用するクライアントでこの証明書を使用します。

トップに戻る

11.5. クラスター CA を信頼する内部クライアントの設定

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links