红帽全球峰会10.2. Operator 生成的 secret
部署自定义资源时创建 secret,如 Kafka 和 KafkaUser。AMQ Streams 使用这些 secret 为 Kafka 集群、客户端和用户存储私钥和公钥证书。secret 用于在 Kafka 代理和代理和客户端之间建立 TLS 加密连接。它们也用于 mTLS 验证。
集群和客户端 secret 始终对:一个包含公钥,另一个包含私钥。
- 集群 secret
- 集群 secret 包含用于为 Kafka 代理证书签名 的集群 CA。连接客户端使用证书与 Kafka 集群建立 TLS 加密连接。证书验证代理身份。
- 客户端机密
- 客户端 secret 包含用户用来签署自己的客户端证书的客户端 CA。这允许对 Kafka 集群进行 mutual 身份验证。代理通过证书验证客户端的身份。
- 用户 secret
- 用户 secret 包含私钥和证书。在创建新用户时,secret 由客户端 CA 创建并签名。密钥和证书用于验证和授权用户访问集群时的用户。
10.2.1. 使用 PEM 或 PKCS #12 格式的密钥和证书的 TLS 身份验证
由 AMQ Streams 创建的 secret 提供 PEM (Privacy Enhanced Mail)和 PKCS #12 (Public-Key Cryptography Standards)格式的私钥和证书。PEM 和 PKCS #12 是使用 SSL 协议进行 TLS 通讯的 OpenSSL 生成的密钥格式。
您可以配置 mutual TLS (mTLS)身份验证,它使用为 Kafka 集群和用户生成的 secret 中包含的凭证。
要设置 mTLS,您必须首先执行以下操作:
当您部署 Kafka 集群时,会使用公钥创建一个 <cluster_name>-cluster-ca-cert secret 来验证集群。您可以使用公钥为客户端配置信任存储。
当您创建 KafkaUser 时,会使用 密钥和证书创建一个 <kafka_user_name > secret 来验证用户(客户端)。使用这些凭证为客户端配置密钥存储。
当 Kafka 集群和客户端设置为使用 mTLS 时,您可以从 secret 中提取凭证并将其添加到客户端配置中。
- PEM 密钥和证书
对于 PEM,您可以在客户端配置中添加以下内容:
- truststore
-
来自 <
cluster_name>-cluster-ca-certsecret 的ca.crt,这是集群的 CA 证书。
-
来自 <
- keystore
-
user.crt来自 <kafka_user_name> secret,这是用户的公共证书。 -
<kafka_user_name>secret 中的 user.key,这是用户的公钥。
-
- PKCS #12 密钥和证书
对于 PKCS #12,您可以在客户端配置中添加以下内容:
- truststore
-
来自 <
cluster_name>-cluster-ca-certsecret 的ca.p12,这是集群的 CA 证书。 -
<cluster_name>-cluster-ca-certsecret 的 ca.password,这是用于访问公共集群 CA 证书的密码。
-
来自 <
- keystore
-
user.p12来自<kafka_user_name> secret,这是用户的公钥证书。 -
<kafka_user_name> secret 中的 user.password,这是访问 Kafka 用户的公钥证书的密码。
-
Java 支持 PKCS #12,因此您可以将证书值直接添加到 Java 客户端配置中。您也可以从安全存储位置引用证书。使用 PEM 文件时,您必须直接将证书添加到客户端配置中,采用单行格式。选择适合在 Kafka 集群和客户端之间建立 TLS 连接的格式。如果您不熟悉 PEM,请使用 PKCS #12。
所有密钥都是 2048 位,默认情况下,从初始生成之日起 365 天有效。您可以更改有效期。
10.2.2. Cluster Operator 生成的 secret
Cluster Operator 生成以下证书,该证书保存为 OpenShift 集群中的 secret。AMQ Streams 默认使用这些 secret。
集群 CA 和客户端 CA 为私钥和公钥有单独的 secret。
<cluster_name>-cluster-ca- 包含集群 CA 的私钥。AMQ Streams 和 Kafka 组件使用私钥为服务器证书签名。
<cluster_name>-cluster-ca-cert- 包含集群 CA 的公钥。Kafka 客户端使用公钥验证它们正通过 TLS 服务器身份验证连接的 Kafka 代理的身份。
<cluster_name>-clients-ca- 包含客户端 CA 的私钥。Kafka 客户端在连接到 Kafka 代理时使用私钥为 mTLS 验证签署新的用户证书。
<cluster_name>-clients-ca-cert- 包含客户端 CA 的公钥。Kafka 代理使用公钥验证在使用 mTLS 验证时访问 Kafka 代理的客户端身份。
AMQ Streams 组件间的通信 secret 包括一个由集群 CA 签名的公钥证书。
<cluster_name>-kafka-brokers- 包含 Kafka 代理的私钥和公钥。
<cluster_name>-zookeeper-nodes- 包含 ZooKeeper 节点的私钥和公钥。
<cluster_name>-cluster-operator-certs- 包含加密集群 Operator 和 Kafka 或 ZooKeeper 之间通信的私钥和公钥。
<cluster_name>-entity-topic-operator-certs- 包含加密主题 Operator 和 Kafka 或 ZooKeeper 之间通信的私钥和公钥。
<cluster_name>-entity-user-operator-certs- 包含加密用户 Operator 和 Kafka 或 ZooKeeper 之间通信的私钥和公钥。
<cluster_name>-cruise-control-certs- 包含加密 Cruise Control 和 Kafka 或 ZooKeeper 之间通信的私钥和公钥。
<cluster_name>-kafka-exporter-certs- 包含加密 Kafka 导出器和 Kafka 或 ZooKeeper 之间通信的私钥和公钥。
您可以提供自己的服务器证书和私钥,以使用 Kafka 侦听器证书 连接到 Kafka 代理,而不是由集群 CA 或客户端 CA 签名的证书。
10.2.3. 集群 CA secret
集群 CA secret 由 Kafka 集群中的 Cluster Operator 管理。
客户端只需要 <cluster_name> -cluster-ca-cert secret。所有其他集群 secret 都可通过 AMQ Streams 组件访问。如果需要,您可以使用 OpenShift 基于角色的访问控制来执行此操作。
Kafka 客户端应用程序必须信任 <cluster_name> -cluster-ca-cert 中的 CA 证书,以便在通过 TLS 连接到 Kafka 代理时验证 Kafka 代理证书。
| 字段 | Description |
|---|---|
|
| 集群 CA 的当前私钥。 |
| 字段 | Description |
|---|---|
|
| PKCS #12 存储用于存储证书和密钥。 |
|
| 用于保护 PKCS #12 存储的密码。 |
|
| 集群 CA 的当前证书。 |
| 字段 | Description |
|---|---|
|
| PKCS #12 存储用于存储证书和密钥。 |
|
| 用于保护 PKCS #12 存储的密码。 |
|
|
Kafka 代理 pod < num> 的证书。由 <cluster |
|
|
Kafka 代理 pod < |
| 字段 | Description |
|---|---|
|
| PKCS #12 存储用于存储证书和密钥。 |
|
| 用于保护 PKCS #12 存储的密码。 |
|
|
ZooKeeper node < num> 的证书。由 <cluster |
|
|
ZooKeeper pod < |
| 字段 | Description |
|---|---|
|
| PKCS #12 存储用于存储证书和密钥。 |
|
| 用于保护 PKCS #12 存储的密码。 |
|
|
Cluster Operator 和 Kafka 或 ZooKeeper 之间的 mTLS 通信的证书。由 <cluster |
|
| Cluster Operator 和 Kafka 或 ZooKeeper 之间的 mTLS 通信的私钥。 |
| 字段 | Description |
|---|---|
|
| PKCS #12 存储用于存储证书和密钥。 |
|
| 用于保护 PKCS #12 存储的密码。 |
|
|
相关 Operator 和 Kafka 或 ZooKeeper 之间的 mTLS 通信的证书。由 <cluster |
|
| 主题 Operator 和 Kafka 或 ZooKeeper 之间的 mTLS 通信的私钥。 |
| 字段 | Description |
|---|---|
|
| PKCS #12 存储用于存储证书和密钥。 |
|
| 用于保护 PKCS #12 存储的密码。 |
|
|
用户 Operator 和 Kafka 或 ZooKeeper 之间的 mTLS 通信的证书。由 <cluster |
|
| 用户 Operator 和 Kafka 或 ZooKeeper 之间的 mTLS 通信的私钥。 |
| 字段 | Description |
|---|---|
|
| PKCS #12 存储用于存储证书和密钥。 |
|
| 用于保护 PKCS #12 存储的密码。 |
|
|
用于 Cruise Control 和 Kafka 或 ZooKeeper 之间的 mTLS 通信的证书。由 <cluster |
|
| Cruise Control 和 ZooKeeper 之间的 mTLS 通信的私钥。 |
| 字段 | Description |
|---|---|
|
| PKCS #12 存储用于存储证书和密钥。 |
|
| 用于保护 PKCS #12 存储的密码。 |
|
|
Kafka Exporter 和 Kafka 或 ZooKeeper 之间的 mTLS 通信的证书。由 <cluster |
|
| Kafka Exporter 和 Kafka 或 ZooKeeper 之间的 mTLS 通信的私钥。 |
10.2.4. 客户端 CA secret
客户端 CA secret 由 Kafka 集群中的 Cluster Operator 管理。
<cluster_name>-clients-ca-cert 中的正式是 Kafka 代理信任的证书。
& lt;cluster_name> -clients-ca secret 用于签署客户端应用程序的证书。如果打算在不使用 User Operator 的情况下发布应用程序证书,则必须访问该 secret。AMQ Streams 组件以及管理访问权限需要被访问。如果需要,您可以使用 OpenShift 基于角色的访问控制来执行此操作。
| 字段 | Description |
|---|---|
|
| 客户端 CA 的当前私钥。 |
| 字段 | Description |
|---|---|
|
| PKCS #12 存储用于存储证书和密钥。 |
|
| 用于保护 PKCS #12 存储的密码。 |
|
| 客户端 CA 的当前证书。 |
10.2.5. User Operator 生成的用户 secret
用户 secret 由 User Operator 管理。
使用 User Operator 创建用户时,会使用用户名称生成 secret。
| Secret 名称 | secret 中的字段 | Description |
|---|---|---|
|
|
| PKCS #12 存储用于存储证书和密钥。 |
|
| 用于保护 PKCS #12 存储的密码。 | |
|
| 用户的证书,由客户端 CA 签名 | |
|
| 用户的私钥 |
10.2.6. 在集群 CA secret 中添加标签和注解
通过在 Kafka 自定义资源中配置 clusterCaCert template 属性,您可以在 Cluster Operator 创建的 Cluster CA secret 中添加自定义标签和注解。标签和注解可用于识别对象和添加上下文信息。您可以在 AMQ Streams 自定义资源中配置模板属性。
将标签和注解添加到 secret 的模板自定义示例
apiVersion: kafka.strimzi.io/v1beta2
kind: Kafka
metadata:
name: my-cluster
spec:
kafka:
# ...
template:
clusterCaCert:
metadata:
labels:
label1: value1
label2: value2
annotations:
annotation1: value1
annotation2: value2
# ...有关配置模板属性的详情请参考 第 2.8 节 “自定义 OpenShift 资源”。
10.2.7. 在 CA secret 中禁用 ownerReference
默认情况下,集群和客户端 CA secret 使用设置为 Kafka 自定义资源的 ownerReference 属性创建。这意味着,当删除 Kafka 自定义资源时,OpenShift 也会删除(智能)删除 CA secret。
如果要为新集群重复使用 CA,您可以通过将 Kafka 配置中的 generateSecretOwnerReference 属性设置为 false 来禁用 ownerReference。当禁用 ownerReference 时,当删除对应的 Kafka 自定义资源时,OpenShift 不会删除 CA secret。
集群和客户端 CA 禁用 ownerReference 的 Kafka 配置示例
apiVersion: kafka.strimzi.io/v1beta2
kind: Kafka
# ...
spec:
# ...
clusterCa:
generateSecretOwnerReference: false
clientsCa:
generateSecretOwnerReference: false
# ...
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}