4.9.3. 启用 TLS 加密
这个步骤描述了如何在 Kafka 代理中启用加密。
先决条件
- AMQ Streams 安装 在所有用作 Kafka 代理的主机上。
流程
- 为集群中的所有 Kafka 代理生成 TLS 证书。证书应在其 Common Name 或 Subject Alternative Name 中包括它们公告的 bootstrap 地址。
编辑所有集群节点中的
/opt/kafka/config/server.propertiesKafka 配置文件。-
更改
listener.security.protocol.map字段,为您要使用 TLS 加密的监听程序指定SSL协议。 -
将
ssl.keystore.location选项设置为使用代理证书的 JKS 密钥存储的路径。 将
ssl.keystore.password选项设置为用来保护密钥存储的密码。例如:
listeners=UNENCRYPTED://:9092,ENCRYPTED://:9093,REPLICATION://:9094 listener.security.protocol.map=UNENCRYPTED:PLAINTEXT,ENCRYPTED:SSL,REPLICATION:PLAINTEXT ssl.keystore.location=/path/to/keystore/server-1.jks ssl.keystore.password=123456
-
更改
- (重新)启动 Kafka 代理
其它资源
- 有关配置 AMQ Streams 的详情请参考 第 2.8 节 “配置 AMQ 流”。
- 有关运行 Kafka 集群的详情请参考 第 4.5 节 “运行多节点 Kafka 集群”。
有关在客户端中配置 TLS 加密的详情,请参考:
