Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

23.6. 在升级 AMQ Streams 时切换到 FIPS 模式

将 AMQ Streams 升级到在启用了 FIPS 的 OpenShift 集群中以 FIPS 模式运行。在 AMQ Streams 2.4 之前,只能使用 FIPS_MODE 环境变量禁用 FIPS 模式在启用了 FIPS 的 OpenShift 集群上运行。在版本 2.4 中,AMQ Streams 支持 FIPS 模式。如果您在启用了 FIPS 的 OpenShift 集群上运行 AMQ Streams,FIPS_MODE 被设置为 disabled,您可以按照以下流程启用它。

先决条件

  • 启用 FIPS 的 OpenShift 集群
  • FIPS_MODE 环境变量设置为 disabled的现有 Cluster Operator 部署

流程

  1. 将 Cluster Operator 升级到 2.4 或更高版本,但将 FIPS_MODE 环境变量设置为 disabled

  2. 如果您最初部署了一个早于 2.3 的 AMQ Streams 版本,则可能会在其 PKCS #12 存储中使用旧的加密和摘要算法,该算法在启用了 FIPS 的情况下不被支持。要使用更新的算法重新创建证书,请更新集群和客户端 CA 证书。

    1. 要续订 Cluster Operator 生成的 CA,请在 CA secret 中添加 force-renew 注解来触发续订
    2. 要续订您自己的 CA,请将新证书添加到 CA 机密,并使用更高的增量值更新 ca-cert-generation 注解,以捕获更新

  3. 如果您使用 SCRAM-SHA-512 验证,请检查用户的密码长度。如果它们长度少于 32 个字符,请使用以下方法之一生成新密码:

    1. 删除用户 secret,以便 User Operator 生成一个新密码有足够长度的新密码。
    2. 如果您使用 KafkaUser 自定义资源的 .spec.authentication.password 属性提供密码,请更新同一密码配置中引用的 OpenShift secret 中的密码。不要忘记更新您的客户端以使用新密码。
  4. 确保 CA 证书使用正确的算法,并且 SCRAM-SHA-512 密码足够长度。然后您可以启用 FIPS 模式。
  5. 从 Cluster Operator 部署中删除 FIPS_MODE 环境变量。这会重启 Cluster Operator,并滚动所有操作对象来启用 FIPS 模式。重启完成后,所有 Kafka 集群现在都启用了 FIPS 模式运行。
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部