Как добавить пользователя (для производителя или потребителя) с собственным сертификатом SSL в кластер Kafka?

У меня установлен Strimzi Kafka с кластером Kafka со слушателями TLS (в OpenShift, если это имеет значение). Когда я добавляю KafkaUser, я запрашиваю аутентификацию TLS следующим образом:

spec:
  authentication:
    type: tls
  authorization:
    type: simple

Затем я извлекаю созданное хранилище ключей пользователя Strimzi и предоставляю его при подключении к загрузочному серверу Kafka из клиентского кода.

Вопрос: как я могу предоставить пользовательский SSL-сертификат при добавлении KafkaUser, или есть ли способ заменить автоматически сгенерированный пользовательский сертификат SSL на пользовательский (например, для продления срока действия)? В частности, в хранилище доверенных сертификатов какого секрета добавить сертификат пользователя? Или это плохая практика, и я должен придерживаться автоматической генерации?


openshift apache-kafka strimzi apache-kafka-security
person Barat Sahdzijeu    schedule 17.03.2021    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Для аутентификации в кластере необходимо использовать сертификат, подписанный доверенным ЦС. Таким образом, вы не можете предоставить случайный сертификат и использовать его. Поэтому, если вы хотите использовать оператора пользователя, вы должны использовать ЦС, которому доверяют брокеры, и оператор пользователя генерирует из него сертификат пользователя. Вы можете использовать сгенерированный Strimzi CA или предоставить свой собственный. В качестве альтернативы, если вы хотите, вы также можете предоставить свой собственный доверенный сертификат и выдавать свои пользовательские сертификаты любым удобным для вас способом и вообще не использовать оператор User и ресурсы KafkaUser.

person Jakub    schedule 17.03.2021