11.3.2. 客户端证书续订
Cluster Operator 不知道使用 Kafka 集群的客户端应用程序。
当连接到集群并确保它们正常工作时,客户端应用程序必须:
- 信任 <cluster> -cluster-ca-cert Secret 中发布的集群 CA 证书。
使用其 <user-name> Secret 中发布的凭证来连接到集群。
用户 Secret 以 PEM 和 PKCS #12 格式提供凭证,或者在使用 SCRAM-SHA 身份验证时可以提供密码。User Operator 在创建用户时创建用户凭据。
您必须确保在证书续订后客户继续工作。续订过程取决于如何配置客户端。
如果要手动置备客户端证书和密钥,您必须生成新的客户端证书,并确保客户端在续订期内使用这些新证书。如果续订周期结束后未能这样做,则可能导致客户应用程序无法连接到集群。
注意
对于在同一 OpenShift 集群和命名空间中运行的工作负载,可以将机密挂载为卷,以便客户端 Pod 从 Secret 的当前状态构建其密钥存储和信任存储。有关此流程的详情,请参阅配置内部客户端以信任集群 CA。