主页
产品
Streams for Apache Kafka
2.8
在 OpenShift 中部署和管理 Apache Kafka 的流
29.9. 在升级 Apache Kafka 的 Streams 时切换到 FIPS 模式

29.9. 在升级 Apache Kafka 的 Streams 时切换到 FIPS 模式

升级 Apache Kafka 的流，以便在启用了 FIPS 的 OpenShift 集群上以 FIPS 模式运行。until Streams for Apache Kafka 2.3，只能在启用了 FIPS 的 OpenShift 集群上运行，才能使用 FIPS_MODE 环境变量禁用 FIPS 模式。从 2.3 版本中，Apache Kafka 的 Streams 支持 FIPS 模式。如果您在启用了 FIPS 的 OpenShift 集群上运行 Streams for Apache Kafka，且将 FIPS_MODE 设置为 禁用，您可以按照以下流程启用它。

先决条件

启用 FIPS 的 OpenShift 集群
将 FIPS_MODE 环境变量设置为 disabled的现有 Cluster Operator 部署

流程

将 Cluster Operator 升级到 2.3 或更新版本，但保持 FIPS_MODE 环境变量设置为 disabled。
如果您最初为早于 2.3 的 Apache Kafka 版本部署了流，它可能会在其 PKCSMemcached 存储中使用旧的加密和摘要算法，这些算法在启用了 FIPS 的情况下不被支持。要使用更新的算法重新创建证书，请续订集群和客户端 CA 证书。
1. 要续订 Cluster Operator 生成的 CA，请将 force-renew 注解添加到 CA secret 中以触发续订。
2. 要续订您自己的 CA，将新证书添加到 CA secret，并使用更高的增量值更新 ca-cert-generation 注解，以捕获更新。
如果使用 SCRAM-SHA-512 身份验证，请检查用户的密码长度。如果它们小于 32 个字符，请使用以下方法之一生成新密码：
1. 删除用户 secret，以便 User Operator 生成一个新的密码，密码为 sufficient length。
2. 如果您使用 KafkaUser 自定义资源的 .spec.authentication.password 属性提供密码，请更新同一密码配置中引用的 OpenShift secret 中的密码。不要忘记更新您的客户端以使用新密码。
确保 CA 证书使用正确的算法，SCRAM-SHA-512 密码就足够长。然后，您可以启用 FIPS 模式。
从 Cluster Operator 部署中删除 FIPS_MODE 环境变量。这会重启 Cluster Operator 并推出所有操作对象来启用 FIPS 模式。重启完成后，所有 Kafka 集群现在都会在启用了 FIPS 模式的情况下运行。

返回顶部

29.9. 在升级 Apache Kafka 的 Streams 时切换到 FIPS 模式

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links