Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

23.7. 在升级 AMQ Streams 时切换到 FIPS 模式

将 AMQ Streams 升级到在启用了 FIPS 的 OpenShift 集群上以 FIPS 模式运行。在 AMQ Streams 2.3 之前,只有使用 FIPS_MODE 环境变量禁用 FIPS 模式,才能在启用了 FIPS 的 OpenShift 集群上运行。在 2.3 版本中,AMQ Streams 支持 FIPS 模式。如果您在启用了 FIPS 的 OpenShift 集群上运行 AMQ Streams,FIPS_MODE 被设置为 disabled,您可以按照以下流程启用它。

先决条件

  • 启用 FIPS 的 OpenShift 集群
  • FIPS_MODE 环境变量设置为 disabled的现有 Cluster Operator 部署

流程

  1. 将 Cluster Operator 升级到 2.3 或更新版本,但保持 FIPS_MODE 环境变量设置为 disabled

  2. 如果您最初部署了一个早于 2.3 的 AMQ Streams 版本,则可能会在其 PKCS #12 存储中使用旧的加密和摘要算法,该算法在启用了 FIPS 的情况下不被支持。要使用更新的算法重新创建证书,请续订集群和客户端 CA 证书。

    1. 要续订 Cluster Operator 生成的 CA,请将 force-renew 注解添加到 CA secret 中以触发续订
    2. 要续订您自己的 CA,将新证书添加到 CA secret,并使用更高的增量值更新 ca-cert-generation 注解,以捕获更新

  3. 如果使用 SCRAM-SHA-512 身份验证,请检查用户的密码长度。如果它们小于 32 个字符,请使用以下方法之一生成新密码:

    1. 删除用户 secret,以便 User Operator 生成一个新的密码,密码为 sufficient length。
    2. 如果您使用 KafkaUser 自定义资源的 .spec.authentication.password 属性提供密码,请更新同一密码配置中引用的 OpenShift secret 中的密码。不要忘记更新您的客户端以使用新密码。
  4. 确保 CA 证书使用正确的算法,SCRAM-SHA-512 密码就足够长。然后,您可以启用 FIPS 模式。
  5. 从 Cluster Operator 部署中删除 FIPS_MODE 环境变量。这会重启 Cluster Operator 并推出所有操作对象来启用 FIPS 模式。重启完成后,所有 Kafka 集群现在都会在启用了 FIPS 模式的情况下运行。
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat