Andere Authentifizierungsmethoden für Openflow Connector für Kafka konfigurieren

Bemerkung

Der Konnektor unterliegt den Bedingungen für Konnektoren.

Unter diesem Thema wird beschrieben, wie Sie andere Authentifizierungsmethoden für den Openflow Connector für Kafka konfigurieren. Der Konnektor unterstützt mehrere Authentifizierungsmechanismen, die über die einfache SASL-Authentifizierung hinausgehen.

Bemerkung

Die einfache SASL-Authentifizierung wird über Parameterkontexte konfiguriert, wie unter Einrichten von Openflow Connector für Kafka beschrieben. Diese Seite behandelt andere Authentifizierungsmethoden, die eine zusätzliche Dienstkonfiguration erfordern.

Unterstützte Authentifizierungsmethoden

Der Openflow Connector für Kafka unterstützt die folgenden Authentifizierungsmechanismen:

  • SASL mit den folgenden SASL-Mechanismen (konfiguriert über Parameterkontexte):

    • PLAIN

    • SCRAM-SHA-256

    • SCRAM-SHA-512

  • SASL mit AWS MSK IAM (zusätzliche Konfiguration über Dienste erforderlich)

  • mTLS (zusätzliche Konfiguration über Dienste erforderlich)

mTLS-Authentifizierung konfigurieren

mTLS-Authentifizierung (mutual Transport Layer Security) erfordert, dass sowohl der Client als auch der Server Zertifikate zur gegenseitigen Authentifizierung vorlegen.

Voraussetzungen

Bevor Sie die mTLS-Authentifizierung konfigurieren, vergewissern Sie sich, dass Sie Folgendes erledigt haben:

  1. Erforderliche Zertifikate für den Connector und den Kafka-Broker erstellt und konfiguriert

  2. Einen Keystore erstellt, der den privaten Schlüssel und das Zertifikat des Konnektors enthält

  3. (Optional) einen Truststore erstellt, der das Kafka-Broker-Zertifikat oder ein Zertifikat in der Zertifizierungskette enthält. Dieser Schritt ist nur erforderlich, wenn das Broker-Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert ist.

  4. Die unterstützten Keystore- und Truststore-Formate sind PKCS12, JKS und BCFKS

Schritt 1: Konfigurieren Sie SSL Context Service

  1. Rufen Sie im NiFi-Canvas die Controller Services-Konfiguration auf:

    • Doppelklicken Sie auf die Verarbeitungsgruppe des Konnektors

    • Klicken Sie mit der rechten Maustaste auf das Canvas und wählen Sie Controller Services aus

  2. Fügen Sie einen neuen StandardSSLContextService hinzu.

    • Klicken Sie auf +, um einen neuen Controller-Dienst hinzuzufügen.

    • Wählen Sie StandardSSLContextService aus der Liste aus.

    • Klicken Sie auf Add.

  3. Konfigurieren Sie die Eigenschaften von SSL Context Service:

    Eigenschaft

    Wert

    Keystore Filename

    Vollständiger Pfad zu Ihrer Keystore-Datei (z. B. /path/to/client-keystore.p12) oder Asset-Referenz

    Keystore Password

    Kennwort für den Keystore

    Keystore Type

    Keystore-Format (PKCS12, JKS oder BCFKS)

    Key Password

    Kennwort für den privaten Schlüssel (wenn der Schlüssel verschlüsselt ist)

    Truststore Filename

    Vollständiger Pfad zu Ihrer Truststore-Datei (z. B. /path/to/client-truststore.p12) oder Asset-Referenz

    Truststore Password

    Kennwort für den Truststore

    Truststore Type

    Truststore-Format (PKCS12, JKS oder BCFKS)

  4. Aktivieren Sie den SSL Context Service

    • Klicken Sie auf Enable für den Dienst.

    • Vergewissern Sie sich, dass der Dienststatus als Enabled angezeigt wird.

Schritt 2: Konfigurieren Sie den Kafka3Connection-Dienst

  1. Auf derselben Registerkarte Controller Services finden Sie den Kafka3Connection-Dienst.

  2. Konfigurieren Sie die folgenden Eigenschaften:

    Eigenschaft

    Wert

    Security Protocol

    SSL

    SSL Context Service

    Wählen Sie den SSL Context Service, den Sie in Schritt 1 erstellt haben

  3. Lassen Sie alle anderen Einstellungen des Kafka3Connection-Dienstes unverändert.

  4. Überprüfen Sie den Kafka3Connection-Dienst:

    • Klicken Sie auf Verify für den Dienst.

    • Vergewissern Sie sich, dass der Dienststatus als Verified angezeigt wird.

AWS MSK IAM- Authentifizierung konfigurieren

AWS MSK IAM-Authentifizierung ermöglicht Ihnen die Verwendung von AWS Identity and Access Management (IAM) zur Authentifizierung bei Amazon Managed Streaming für Apache Kafka (MSK).

Voraussetzungen

  1. Ihr Kafka-Cluster muss Amazon MSK mit aktivierter IAM-Authentifizierung sein.

  2. Sie müssen IAM-Anmeldeinformationen in Openflow mit BYOC-Konfigurationen (Bring Your Own Cloud) bereitstellen, die in Ihrer Cloud implementiert sind.

  3. Die/der IAM-Rolle oder -Benutzer muss über die erforderlichen MSK-Berechtigungen verfügen.

Schritt 1: Erstellen Sie einen AmazonMSKConnectionService

  1. Rufen Sie im NiFi-Canvas die Controller Services-Konfiguration auf:

    • Doppelklicken Sie auf die Verarbeitungsgruppe des Konnektors

    • Klicken Sie mit der rechten Maustaste auf das Canvas und wählen Sie Controller Services aus

  2. Fügen Sie einen neuen AmazonMSKConnectionService hinzu.

    • Klicken Sie auf +, um einen neuen Controller-Dienst hinzuzufügen.

    • Wählen Sie AmazonMSKConnectionService aus der Liste aus.

    • Klicken Sie auf Add.

  3. Konfigurieren Sie die Eigenschaften von AmazonMSKConnectionService:

    Eigenschaft

    Wert

    SASL Mechanism

    AWS_MSK_IAM

    Security Protocol

    #{Kafka Security Protocol}

    Bootstrap-Server

    #{Kafka Bootstrap Servers}

  4. Überprüfen Sie den AmazonMSKConnectionService:

    • Klicken Sie auf Verify für den Dienst.

    • Vergewissern Sie sich, dass der Dienststatus als Verified angezeigt wird.

Schritt 2: Konfigurieren Sie den ConsumeKafka-Prozessor

  1. Suchen Sie in Ihrem Kafka-Konnektorablauf den ConsumeKafka-Prozessor.

  2. Konfigurieren Sie den Prozessor für die Verwendung des neuen Verbindungsdienstes:

Schritt 3: Entfernen Sie den alten Kafka-Verbindungsdienst

  1. Suchen Sie auf der Registerkarte Controller Services den alten Kafka3Connection-Dienst

  2. Deaktivieren und entfernen Sie den Dienst:

    • Klicken Sie für den alten Dienst auf Disable.

    • Klicken Sie nach der Deaktivierung auf Delete, um den alten Dienst zu entfernen.