홈
제품
Streams for Apache Kafka
2.5
OpenShift에서 AMQ Streams 배포 및 관리
15.5. 클러스터 CA를 신뢰하도록 외부 클라이언트 구성

15.5. 클러스터 CA를 신뢰하도록 외부 클라이언트 구성

다음 절차에서는 OpenShift 클러스터 외부에 있는 Kafka 클라이언트를 구성하는 방법 - 외부 리스너에 연결 - 클러스터 CA 인증서를 신뢰하는 방법을 설명합니다. 클라이언트를 설정하는 경우 및 갱신 기간 동안 이전 클라이언트 CA 인증서가 교체되면 다음 절차를 따르십시오.

Java 기반 Kafka Producer, Consumer 및 Streams API에 대해 클러스터 CA에서 서명한 신뢰 인증서를 구성하는 단계를 따르십시오.

클러스터 CA의 인증서 형식 PKCS #12(.p12) 또는 PEM(.crt)에 따라 수행할 단계를 선택합니다.

이 단계에서는 Kafka 클러스터의 ID를 확인하는 클러스터 시크릿에서 인증서를 가져오는 방법을 설명합니다.

중요

& lt;cluster_name> -cluster-ca-cert 보안에는 CA 인증서 갱신 기간 동안 두 개 이상의 CA 인증서가 포함되어 있습니다. 고객은 모든 항목을 신뢰 저장소에 추가해야 합니다.

사전 요구 사항

Cluster Operator가 실행 중이어야 합니다.
OpenShift 클러스터 내에 Kafka 리소스가 있어야 합니다.
TLS를 사용하여 연결할 OpenShift 클러스터 외부의 Kafka 클라이언트 애플리케이션이 필요하며 클러스터 CA 인증서를 신뢰해야 합니다.

PKCS #12 형식(.p12) 사용

Kafka 클러스터의 <cluster _name> -cluster-ca-cert 시크릿에서 클러스터 CA 인증서 및 암호를 추출합니다.

oc get secret <cluster_name>-cluster-ca-cert -o jsonpath='{.data.ca\.p12}' | base64 -d > ca.p12

oc get secret <cluster_name>-cluster-ca-cert -o jsonpath='{.data.ca\.password}' | base64 -d > ca.password

& lt;cluster_name >을 Kafka 클러스터 이름으로 바꿉니다.

다음 속성을 사용하여 Kafka 클라이언트를 구성합니다.
- 보안 프로토콜 옵션:
  - security.protocol: TLS를 사용할 때 SSL 입니다.
  - security.protocol: TLS를 통해 SCRAM-SHA 인증을 사용할 때 SASL_SSL.
- SSL.truststore.location 인증서를 가져온 신뢰 저장소 위치가 있습니다.
- SSL.truststore.password 에는 신뢰 저장소에 액세스하기 위한 암호가 있습니다. 이 속성은 신뢰 저장소에 필요하지 않은 경우 생략할 수 있습니다.
- SSL.truststore.type=PKCS12: truststore 유형을 식별합니다.

PEM 형식(.crt) 사용

Kafka 클러스터의 < cluster_name> -cluster-ca-cert 시크릿에서 클러스터 CA 인증서를 추출합니다.
```
oc get secret <cluster_name>-cluster-ca-cert -o jsonpath='{.data.ca\.crt}' | base64 -d > ca.crt
```
X.509 형식의 인증서를 사용하는 클라이언트에서 TLS 연결을 구성하려면 추출된 인증서를 사용합니다.

15.5. 클러스터 CA를 신뢰하도록 외부 클라이언트 구성

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links