10.4.5. 为 Kafka 配置身份验证

在生产环境中,Kafka 集群通常使用 TLS 或 SASL 身份验证方法进行保护。本节演示了如何将 Kafka 频道配置为使用 TLS 或 SASL 针对受保护的 Red Hat AMQ Streams(Kafka)集群。

注意

如果选择启用 SASL,红帽建议同时启用 TLS。

10.4.5.1. 配置 TLS 身份验证

先决条件

  • Kafka 集群 CA 证书为一个 .pem 文件。
  • Kafka 集群客户端证书和密钥为 .pem 文件。

流程

  1. 在所选命名空间中创建证书文件作为 secret:

    $ kubectl create secret -n <namespace> generic <kafka_auth_secret> \
      --from-file=ca.crt=caroot.pem \
      --from-file=user.crt=certificate.pem \
      --from-file=user.key=key.pem
    重要

    使用密钥名称 ca.crtuser.crtuser.key。不要更改它们。

  2. 编辑 KnativeKafka 自定义资源:

    $ oc edit knativekafka
  3. 引用您的 secret 和 secret 的命名空间:

    apiVersion: operator.serverless.openshift.io/v1alpha1
    kind: KnativeKafka
    metadata:
      namespace: knative-eventing
      name: knative-kafka
    spec:
      channel:
        authSecretName: <kafka_auth_secret>
        authSecretNamespace: <kafka_auth_secret_namespace>
        bootstrapServers: <bootstrap_servers>
        enabled: true
      source:
        enabled: true
    注意

    确保指定 bootstrap 服务器中的匹配端口。

    例如:

    apiVersion: operator.serverless.openshift.io/v1alpha1
    kind: KnativeKafka
    metadata:
      namespace: knative-eventing
      name: knative-kafka
    spec:
      channel:
        authSecretName: tls-user
        authSecretNamespace: kafka
        bootstrapServers: eventing-kafka-bootstrap.kafka.svc:9094
        enabled: true
      source:
        enabled: true