25.9. Streams for Apache Kafka のアップグレード時に FIPS モードに切り替える
FIPS 対応の OpenShift クラスターで FIPS モードで実行できるように、Streams for Apache Kafka をアップグレードします。Streams for Apache Kafka 2.3 までは、FIPS 対応の OpenShift クラスターで実行するには、FIPS_MODE
環境変数を使用して FIPS モードを無効にする必要がありました。リリース 2.3 以降の Streams for Apache Kafka は、FIPS モードをサポートします。FIPS_MODE
が disabled
に設定されている FIPS 対応の OpenShift クラスターで Streams for Apache Kafka を実行する場合は、次の手順に従って FIPS モードを有効にできます。
前提条件
- FIPS 対応の OpenShift クラスター
-
FIPS_MODE
環境変数がdisabled
に設定された既存の Cluster Operator デプロイメント
手順
-
Cluster Operator をバージョン 2.3 以降にアップグレードしますが、
FIPS_MODE
環境変数をdisabled
に設定したままにします。 最初に 2.3 より古いバージョンの Streams for Apache Kafka をデプロイした場合、PKCS #12 ストアで古い暗号化およびダイジェストアルゴリズムが使用される可能性があります。これらは、FIPS が有効になっている場合はサポートされません。更新されたアルゴリズムで証明書を再作成するには、クラスターとクライアントの CA 証明書を更新します。
-
Cluster Operator によって生成された CA を更新するには、
force-renew
アノテーションを CA シークレットに追加して更新をトリガー します。 -
独自の CA を更新するには、新しい証明書を CA シークレットに追加し、より高い増分値で
ca-cert-generation
アノテーションを更新して、更新をキャプチャー します。
-
Cluster Operator によって生成された CA を更新するには、
SCRAM-SHA-512 認証を使用する場合は、ユーザーのパスワードの長さを確認してください。長さが 32 文字未満の場合は、次のいずれかの方法で新しいパスワードを生成します。
- ユーザーシークレットを削除して、User Operator が十分な長さの新しいパスワードで新しいユーザーシークレットを生成できるようにします。
-
KafkaUser
カスタムリソースの.spec.authentication.password
プロパティーを使用してパスワードを指定した場合は、同じパスワード設定で参照されている OpenShift シークレットのパスワードを更新します。新しいパスワードを使用するようにクライアントを更新することを忘れないでください。
- CA 証明書が正しいアルゴリズムを使用していること、および SCRAM-SHA-512 パスワードが十分な長さであることを確認してください。その後、FIPS モードを有効にできます。
-
Cluster Operator デプロイメントから
FIPS_MODE
環境変数を削除します。これにより Cluster Operator が再起動され、すべてのオペランドがロールされて FIPS モードが有効になります。再起動が完了すると、すべての Kafka クラスターが FIPS モードを有効にして実行されるようになります。