Andere Authentifizierungsmethoden für Openflow Connector für Kafka konfigurieren¶
Bemerkung
Der Konnektor unterliegt den Bedingungen für Konnektoren.
Unter diesem Thema wird beschrieben, wie Sie andere Authentifizierungsmethoden für den Openflow Connector für Kafka konfigurieren. Der Konnektor unterstützt mehrere Authentifizierungsmechanismen, die über die einfache SASL-Authentifizierung hinausgehen.
Bemerkung
Die einfache SASL-Authentifizierung wird über Parameterkontexte konfiguriert, wie unter Einrichten von Openflow Connector für Kafka beschrieben. Diese Seite behandelt andere Authentifizierungsmethoden, die eine zusätzliche Dienstkonfiguration erfordern.
Unterstützte Authentifizierungsmethoden¶
Der Openflow Connector für Kafka unterstützt die folgenden Authentifizierungsmechanismen:
SASL mit den folgenden SASL-Mechanismen (konfiguriert über Parameterkontexte):
PLAIN
SCRAM-SHA-256
SCRAM-SHA-512
SASL mit AWS MSK IAM (zusätzliche Konfiguration über Dienste erforderlich)
mTLS (zusätzliche Konfiguration über Dienste erforderlich)
mTLS-Authentifizierung konfigurieren¶
mTLS-Authentifizierung (mutual Transport Layer Security) erfordert, dass sowohl der Client als auch der Server Zertifikate zur gegenseitigen Authentifizierung vorlegen.
Voraussetzungen¶
Bevor Sie die mTLS-Authentifizierung konfigurieren, vergewissern Sie sich, dass Sie Folgendes erledigt haben:
Erforderliche Zertifikate für den Connector und den Kafka-Broker erstellt und konfiguriert
Einen Keystore erstellt, der den privaten Schlüssel und das Zertifikat des Konnektors enthält
(Optional) einen Truststore erstellt, der das Kafka-Broker-Zertifikat oder ein Zertifikat in der Zertifizierungskette enthält. Dieser Schritt ist nur erforderlich, wenn das Broker-Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert ist.
Die unterstützten Keystore- und Truststore-Formate sind PKCS12, JKS und BCFKS
Schritt 1: Konfigurieren Sie SSL Context Service¶
Rufen Sie im NiFi-Canvas die Controller Services-Konfiguration auf:
Doppelklicken Sie auf die Verarbeitungsgruppe des Konnektors
Klicken Sie mit der rechten Maustaste auf das Canvas und wählen Sie Controller Services aus
Fügen Sie einen neuen StandardSSLContextService hinzu.
Klicken Sie auf +, um einen neuen Controller-Dienst hinzuzufügen.
Wählen Sie StandardSSLContextService aus der Liste aus.
Klicken Sie auf Add.
Konfigurieren Sie die Eigenschaften von SSL Context Service:
Eigenschaft
Wert
Keystore Filename
Vollständiger Pfad zu Ihrer Keystore-Datei (z. B.
/path/to/client-keystore.p12
) oder Asset-ReferenzKeystore Password
Kennwort für den Keystore
Keystore Type
Keystore-Format (
PKCS12
,JKS
oderBCFKS
)Key Password
Kennwort für den privaten Schlüssel (wenn der Schlüssel verschlüsselt ist)
Truststore Filename
Vollständiger Pfad zu Ihrer Truststore-Datei (z. B.
/path/to/client-truststore.p12
) oder Asset-ReferenzTruststore Password
Kennwort für den Truststore
Truststore Type
Truststore-Format (
PKCS12
,JKS
oderBCFKS
)Aktivieren Sie den SSL Context Service
Klicken Sie auf Enable für den Dienst.
Vergewissern Sie sich, dass der Dienststatus als Enabled angezeigt wird.
Schritt 2: Konfigurieren Sie den Kafka3Connection-Dienst¶
Auf derselben Registerkarte Controller Services finden Sie den Kafka3Connection-Dienst.
Konfigurieren Sie die folgenden Eigenschaften:
Eigenschaft
Wert
Security Protocol
SSL
SSL Context Service
Wählen Sie den SSL Context Service, den Sie in Schritt 1 erstellt haben
Lassen Sie alle anderen Einstellungen des Kafka3Connection-Dienstes unverändert.
Überprüfen Sie den Kafka3Connection-Dienst:
Klicken Sie auf Verify für den Dienst.
Vergewissern Sie sich, dass der Dienststatus als Verified angezeigt wird.
AWS MSK IAM- Authentifizierung konfigurieren¶
AWS MSK IAM-Authentifizierung ermöglicht Ihnen die Verwendung von AWS Identity and Access Management (IAM) zur Authentifizierung bei Amazon Managed Streaming für Apache Kafka (MSK).
Voraussetzungen¶
Ihr Kafka-Cluster muss Amazon MSK mit aktivierter IAM-Authentifizierung sein.
Sie müssen IAM-Anmeldeinformationen in Openflow mit BYOC-Konfigurationen (Bring Your Own Cloud) bereitstellen, die in Ihrer Cloud implementiert sind.
Die/der IAM-Rolle oder -Benutzer muss über die erforderlichen MSK-Berechtigungen verfügen.
Schritt 1: Erstellen Sie einen AmazonMSKConnectionService¶
Rufen Sie im NiFi-Canvas die Controller Services-Konfiguration auf:
Doppelklicken Sie auf die Verarbeitungsgruppe des Konnektors
Klicken Sie mit der rechten Maustaste auf das Canvas und wählen Sie Controller Services aus
Fügen Sie einen neuen AmazonMSKConnectionService hinzu.
Klicken Sie auf +, um einen neuen Controller-Dienst hinzuzufügen.
Wählen Sie AmazonMSKConnectionService aus der Liste aus.
Klicken Sie auf Add.
Konfigurieren Sie die Eigenschaften von AmazonMSKConnectionService:
Eigenschaft
Wert
SASL Mechanism
AWS_MSK_IAM
Security Protocol
#{Kafka Security Protocol}
Bootstrap-Server
#{Kafka Bootstrap Servers}
Überprüfen Sie den AmazonMSKConnectionService:
Klicken Sie auf Verify für den Dienst.
Vergewissern Sie sich, dass der Dienststatus als Verified angezeigt wird.
Schritt 2: Konfigurieren Sie den ConsumeKafka-Prozessor¶
Suchen Sie in Ihrem Kafka-Konnektorablauf den ConsumeKafka-Prozessor.
Konfigurieren Sie den Prozessor für die Verwendung des neuen Verbindungsdienstes:
Legen Sie die Eigenschaft Kafka Connection Service auf den AmazonMSKConnectionService fest, den Sie in Schritt 1: Erstellen Sie einen AmazonMSKConnectionService erstellt haben.
Schritt 3: Entfernen Sie den alten Kafka-Verbindungsdienst¶
Suchen Sie auf der Registerkarte Controller Services den alten Kafka3Connection-Dienst
Deaktivieren und entfernen Sie den Dienst:
Klicken Sie für den alten Dienst auf Disable.
Klicken Sie nach der Deaktivierung auf Delete, um den alten Dienst zu entfernen.