11.7.2. Kafka 监听程序服务器证书中的其他主题

要将 TLS 主机名验证与您自己的 Kafka 侦听程序证书 一起使用,您必须为每个监听器使用正确的 Subject 备用名称(SAN)。证书 SAN 必须指定主机名:

  • 集群中的所有 Kafka 代理
  • Kafka 集群 bootstrap 服务

如果您的 CA 支持通配符证书,您可以使用通配符证书。

11.7.2.1. TLS 侦听器 SAN 示例

使用以下示例来帮助您在证书中为 TLS 侦听器指定 SAN 的主机名。

通配符示例

//Kafka brokers
*.<cluster-name>-kafka-brokers
*.<cluster-name>-kafka-brokers.<namespace>.svc

// Bootstrap service
<cluster-name>-kafka-bootstrap
<cluster-name>-kafka-bootstrap.<namespace>.svc

非通配符示例

// Kafka brokers
<cluster-name>-kafka-0.<cluster-name>-kafka-brokers
<cluster-name>-kafka-0.<cluster-name>-kafka-brokers.<namespace>.svc
<cluster-name>-kafka-1.<cluster-name>-kafka-brokers
<cluster-name>-kafka-1.<cluster-name>-kafka-brokers.<namespace>.svc
# ...

// Bootstrap service
<cluster-name>-kafka-bootstrap
<cluster-name>-kafka-bootstrap.<namespace>.svc