25.9. Streams for Apache Kafka のアップグレード時に FIPS モードに切り替える


FIPS 対応の OpenShift クラスターで FIPS モードで実行できるように、Streams for Apache Kafka をアップグレードします。Streams for Apache Kafka 2.3 までは、FIPS 対応の OpenShift クラスターで実行するには、FIPS_MODE 環境変数を使用して FIPS モードを無効にする必要がありました。リリース 2.3 以降の Streams for Apache Kafka は、FIPS モードをサポートします。FIPS_MODEdisabled に設定されている FIPS 対応の OpenShift クラスターで Streams for Apache Kafka を実行する場合は、次の手順に従って FIPS モードを有効にできます。

前提条件

  • FIPS 対応の OpenShift クラスター
  • FIPS_MODE 環境変数が disabled に設定された既存の Cluster Operator デプロイメント

手順

  1. Cluster Operator をバージョン 2.3 以降にアップグレードしますが、FIPS_MODE 環境変数を disabled に設定したままにします。
  2. 最初に 2.3 より古いバージョンの Streams for Apache Kafka をデプロイした場合、PKCS #12 ストアで古い暗号化およびダイジェストアルゴリズムが使用される可能性があります。これらは、FIPS が有効になっている場合はサポートされません。更新されたアルゴリズムで証明書を再作成するには、クラスターとクライアントの CA 証明書を更新します。

  3. SCRAM-SHA-512 認証を使用する場合は、ユーザーのパスワードの長さを確認してください。長さが 32 文字未満の場合は、次のいずれかの方法で新しいパスワードを生成します。

    1. ユーザーシークレットを削除して、User Operator が十分な長さの新しいパスワードで新しいユーザーシークレットを生成できるようにします。
    2. KafkaUser カスタムリソースの .spec.authentication.password プロパティーを使用してパスワードを指定した場合は、同じパスワード設定で参照されている OpenShift シークレットのパスワードを更新します。新しいパスワードを使用するようにクライアントを更新することを忘れないでください。
  4. CA 証明書が正しいアルゴリズムを使用していること、および SCRAM-SHA-512 パスワードが十分な長さであることを確認してください。その後、FIPS モードを有効にできます。
  5. Cluster Operator デプロイメントから FIPS_MODE 環境変数を削除します。これにより Cluster Operator が再起動され、すべてのオペランドがロールされて FIPS モードが有効になります。再起動が完了すると、すべての Kafka クラスターが FIPS モードを有効にして実行されるようになります。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.