第 6 章 保护 Kafka
安全部署 AMQ Streams 可以包含:
- 为数据交换加密
- 验证以证明身份
- 允许或拒绝用户执行的操作的授权
6.1. 加密
AMQ 流支持传输层安全性(TLS),这是一种用于加密通信的协议。
始终对通信进行加密以实现:
- Kafka 代理
- zookeeper 节点
- Operator 和 Kafka 代理
- Operators 和 ZooKeeper 节点
- Kafka Exporter
您还可以通过将 TLS 加密应用到 Kafka 代理的监听程序来配置 Kafka 代理和客户端之间的 TLS。在配置外部侦听器时,为外部客户端指定 TLS。
AMQ Streams 组件和 Kafka 客户端使用数字证书加密。Cluster Operator 设置证书以便在 Kafka 集群中启用加密。您可以提供自己的服务器证书,称为 Kafka 侦听程序证书,用于 Kafka 客户端和 Kafka 代理之间的通信,以及集群间通信。
AMQ Streams 使用 Secret 以 PEM 和 PKCS #12 格式存储 TLS 所需的证书和私钥。
TLS 证书颁发机构(CA)发布证书来验证组件的身份。AMQ Streams 根据 CA 证书验证组件的证书。
- 根据 集群 CA 证书颁发机构(CA)验证 AMQ Streams 组件
- 针对 客户端 CA 证书颁发机构(CA)验证 Kafka 客户端。
