Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

3.4. 保护到目标集群的连接

要保护到目标集群的虚拟集群连接,请在虚拟集群中配置 TLS。目标集群必须已配置为使用 TLS。

使用 targetCluster.tls 属性为虚拟集群配置指定 TLS

使用空对象({})从集群运行的底层平台继承信任。如果目标集群使用由公共 CA 签名的 TLS 证书,则此选项适合。

TLS 的目标集群配置示例

virtualClusters:
  my-cluster-proxy:
    targetCluster:
      bootstrap_servers: my-cluster-kafka-bootstrap.kafka.svc.cluster.local:9093
      tls: {}
      #...
Copy to Clipboard Toggle word wrap

如果使用由私有 CA 签名的 TLS 证书,您必须为目标集群添加信任存储配置。

目标集群的 truststore 配置示例

virtualClusters:
  my-cluster-proxy:
    targetCluster:
      bootstrap_servers: my-cluster-kafka-bootstrap.kafka.svc.cluster.local:9093
      tls:
        trust:
          storeFile: <path>/trust.p12
1 

          storePassword:
            passwordFile: <path>/store.password
2 

          storeType: PKCS12
3 

      #...
Copy to Clipboard Toggle word wrap

1
Kafka 集群的公共 CA 证书的 PKCSRG 存储。
2
访问公共 Kafka 集群 CA 证书的密码。
3
(可选) Keystore 类型。如果没有指定密钥存储类型,则使用默认的 JKS (Java Keystore)类型。

对于 mTLS,您也可以为虚拟集群添加密钥存储配置。

mTLS 的 keystore 和 truststore 配置示例

virtualClusters:
  my-cluster-proxy:
    targetCluster:
      bootstrap_servers: my-cluster-kafka-bootstrap.kafka.svc.cluster.local:9093:9092
      tls:
        key:
          privateKeyFile: <path>/client.key
1 

          certificateFile: <path>/client.crt
2 

        trust:
          storeFile: <path>/server.crt
          storeType: PEM
# ...
Copy to Clipboard Toggle word wrap

1
虚拟集群的私钥。
2
虚拟集群的公共 CA 证书。

对于生产环境外测试的目的,您可以将 insecure 属性设置为 true 以关闭 TLS,以便 Apache Kafka 代理的 Streams 可以连接到任何 Kafka 集群。

关闭 TLS 的配置示例

virtualClusters:
  my-cluster-proxy:
    targetCluster:
      bootstrap_servers: myprivatecluster:9092
      tls:
        trust:
          insecure: true
      #...
Copy to Clipboard Toggle word wrap

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat