Openflow Connector for Kafkaのその他の認証方法を構成する¶
注釈
コネクタには、 コネクタ利用規約 が適用されます。
このトピックでは、Openflow Connector for Kafkaのその他の認証方法を構成する方法について説明します。コネクタは、基本的な SASL 認証以外にも複数の認証メカニズムをサポートしています。
注釈
基本的な SASL 認証は、 Openflow Connector for Kafkaを設定する で説明されているように、パラメーターコンテキストを介して構成されます。このページでは、追加のサービス構成が必要なその他の認証方法について説明します。
サポートされている認証方法¶
Openflow Connector for Kafkaは、以下の認証メカニズムをサポートしています。
以下の SASL メカニズムを使用した SASL (パラメーターコンテキストを介して構成):
PLAIN
SCRAM-SHA-256
SCRAM-SHA-512
AWS MSK IAM を使用した SASL (サービスを介した追加構成が必要)
mTLS (サービスを介した追加構成が必要)
mTLS 認証の構成¶
mTLS (相互TLS)認証では、クライアントとサーバーの両方が相互認証のために証明書を提示する必要があります。
前提条件¶
mTLS 認証を構成する前に、以下を確認します。
コネクタとKafkaブローカーの両方に必要な証明書を生成・構成した
コネクタの秘密キーと証明書を含むキーストアを作成した
(オプション)Kafkaブローカー証明書または証明書チェーン内の証明書を含むトラストストアを作成した。このステップは、ブローカー証明書が信頼できる認証機関(CA)によって署名されていない場合にのみ必要です。
サポートされているキーストア/トラストストアの形式が、 PKCS12、 JKS または BCFKS である
ステップ1: SSL コンテキストサービスを構成する¶
NiFi キャンバスから、 Controller Services 構成にアクセスします。
コネクタの処理グループをダブルクリックします。
キャンバス上で右クリックし、 Controller Services を選択します。
新しい StandardSSLContextService を追加します。
新しいコントローラーサービスを追加するには、 + をクリックします。
リストから StandardSSLContextService を選択します。
Add をクリックします。
SSL Context Serviceのプロパティを構成します。
プロパティ
値
キーストアファイル名
キーストアファイルへのフルパス(例:
/path/to/client-keystore.p12
)、またはアセットリファレンスキーストアパスワード
キーストアのパスワード
キーストアタイプ
キーストア形式(
PKCS12
、JKS
、 またはBCFKS
)キーパスワード
秘密キーのパスワード(キーが暗号化されている場合)
トラストストアファイル名
トラストストアファイルへのフルパス(例:
/path/to/client-truststore.p12
)、またはアセットリファレンストラストストアパスワード
トラストストアのパスワード
トラストストアタイプ
トラストストアの形式(
PKCS12
、JKS
、 またはBCFKS
)SSL Context Serviceを有効にします。
サービスの Enable をクリックします。
サービスのステータスが Enabled と表示されていることを確認します。
ステップ2: Kafka3Connection サービスを構成する¶
同じ Controller Services タブで、 Kafka3Connection サービスを探します。
以下のプロパティを構成します。
プロパティ
値
セキュリティプロトコル
SSL
SSL コンテキストサービス
ステップ1で作成した SSL Context Serviceを選択します。
その他のすべての Kafka3Connection サービス の設定は変更しないでください。
Kafka3Connection サービスを検証します。
サービスの Verify をクリックします。
サービスのステータスが Verified と表示されていることを確認します。
AWS MSK IAM 認証の構成¶
AWS MSK IAM 認証では、 AWS Identity and Access Management(IAM)を使用してAmazon Managed Streaming for Apache Kafka(MSK)を認証できます。
前提条件¶
Kafkaクラスターは、 IAM 認証が有効化されたAmazon MSK である必要があります。
クラウドにデプロイされた BYOC (Bring Your Own Cloud)構成のOpenflowで IAM 認証情報を提供する必要があります。
IAM ロールまたはユーザーには、必要な MSK 権限がなければいけません。
ステップ1: AmazonMSKConnectionService を作成する¶
NiFi キャンバスから、 Controller Services 構成にアクセスします。
コネクタの処理グループをダブルクリックします。
キャンバス上で右クリックし、 Controller Services を選択します。
新しい AmazonMSKConnectionService を追加します。
新しいコントローラーサービスを追加するには、 + をクリックします。
リストから AmazonMSKConnectionService を選択します。
Add をクリックします
AmazonMSKConnectionService プロパティを構成します。
プロパティ
値
SASL メカニズム
AWS_MSK_IAM
セキュリティプロトコル
#{Kafka Security Protocol}
ブートストラップサーバー
#{Kafka Bootstrap Servers}
AmazonMSKConnectionService を検証します。
サービスの Verify をクリックします。
サービスのステータスが Verified と表示されていることを確認します。
ステップ2: ConsumeKafka プロセッサーを構成する¶
Kafkaコネクタフローで、 ConsumeKafka プロセッサーを探します。
新しい接続サービスを使用するためにプロセッサーを構成します。
Kafka Connection Service プロパティを ステップ1: AmazonMSKConnectionService を作成する で作成した AmazonMSKConnectionService に設定します。
ステップ3: 古いKafka Connection Serviceを削除する¶
Controller Services タブで、古い Kafka3Connection サービスを探します。
古いサービスを無効にして削除します。
古いサービスの Disable をクリックします。
無効にしたら、 Delete をクリックして古いサービスを削除します。