Openflow Connector for Kafkaのその他の認証方法を構成する

注釈

コネクタには、 コネクタ利用規約 が適用されます。

このトピックでは、Openflow Connector for Kafkaのその他の認証方法を構成する方法について説明します。コネクタは、基本的な SASL 認証以外にも複数の認証メカニズムをサポートしています。

注釈

基本的な SASL 認証は、 Openflow Connector for Kafkaを設定する で説明されているように、パラメーターコンテキストを介して構成されます。このページでは、追加のサービス構成が必要なその他の認証方法について説明します。

サポートされている認証方法

Openflow Connector for Kafkaは、以下の認証メカニズムをサポートしています。

  • 以下の SASL メカニズムを使用した SASL (パラメーターコンテキストを介して構成):

    • PLAIN

    • SCRAM-SHA-256

    • SCRAM-SHA-512

  • AWS MSK IAM を使用した SASL (サービスを介した追加構成が必要)

  • mTLS (サービスを介した追加構成が必要)

mTLS 認証の構成

mTLS (相互TLS)認証では、クライアントとサーバーの両方が相互認証のために証明書を提示する必要があります。

前提条件

mTLS 認証を構成する前に、以下を確認します。

  1. コネクタとKafkaブローカーの両方に必要な証明書を生成・構成した

  2. コネクタの秘密キーと証明書を含むキーストアを作成した

  3. (オプション)Kafkaブローカー証明書または証明書チェーン内の証明書を含むトラストストアを作成した。このステップは、ブローカー証明書が信頼できる認証機関(CA)によって署名されていない場合にのみ必要です。

  4. サポートされているキーストア/トラストストアの形式が、 PKCS12、 JKS または BCFKS である

ステップ1: SSL コンテキストサービスを構成する

  1. NiFi キャンバスから、 Controller Services 構成にアクセスします。

    • コネクタの処理グループをダブルクリックします。

    • キャンバス上で右クリックし、 Controller Services を選択します。

  2. 新しい StandardSSLContextService を追加します。

    • 新しいコントローラーサービスを追加するには、 + をクリックします。

    • リストから StandardSSLContextService を選択します。

    • Add をクリックします。

  3. SSL Context Serviceのプロパティを構成します。

    プロパティ

    キーストアファイル名

    キーストアファイルへのフルパス(例: /path/to/client-keystore.p12)、またはアセットリファレンス

    キーストアパスワード

    キーストアのパスワード

    キーストアタイプ

    キーストア形式(PKCS12JKS、 または BCFKS

    キーパスワード

    秘密キーのパスワード(キーが暗号化されている場合)

    トラストストアファイル名

    トラストストアファイルへのフルパス(例: /path/to/client-truststore.p12)、またはアセットリファレンス

    トラストストアパスワード

    トラストストアのパスワード

    トラストストアタイプ

    トラストストアの形式(PKCS12JKS、 または BCFKS

  4. SSL Context Serviceを有効にします。

    • サービスの Enable をクリックします。

    • サービスのステータスが Enabled と表示されていることを確認します。

ステップ2: Kafka3Connection サービスを構成する

  1. 同じ Controller Services タブで、 Kafka3Connection サービスを探します。

  2. 以下のプロパティを構成します。

    プロパティ

    セキュリティプロトコル

    SSL

    SSL コンテキストサービス

    ステップ1で作成した SSL Context Serviceを選択します。

  3. その他のすべての Kafka3Connection サービス の設定は変更しないでください。

  4. Kafka3Connection サービスを検証します。

    • サービスの Verify をクリックします。

    • サービスのステータスが Verified と表示されていることを確認します。

AWS MSK IAM 認証の構成

AWS MSK IAM 認証では、 AWS Identity and Access Management(IAM)を使用してAmazon Managed Streaming for Apache Kafka(MSK)を認証できます。

前提条件

  1. Kafkaクラスターは、 IAM 認証が有効化されたAmazon MSK である必要があります。

  2. クラウドにデプロイされた BYOC (Bring Your Own Cloud)構成のOpenflowで IAM 認証情報を提供する必要があります。

  3. IAM ロールまたはユーザーには、必要な MSK 権限がなければいけません。

ステップ1: AmazonMSKConnectionService を作成する

  1. NiFi キャンバスから、 Controller Services 構成にアクセスします。

    • コネクタの処理グループをダブルクリックします。

    • キャンバス上で右クリックし、 Controller Services を選択します。

  2. 新しい AmazonMSKConnectionService を追加します。

    • 新しいコントローラーサービスを追加するには、 + をクリックします。

    • リストから AmazonMSKConnectionService を選択します。

    • Add をクリックします

  3. AmazonMSKConnectionService プロパティを構成します。

    プロパティ

    SASL メカニズム

    AWS_MSK_IAM

    セキュリティプロトコル

    #{Kafka Security Protocol}

    ブートストラップサーバー

    #{Kafka Bootstrap Servers}

  4. AmazonMSKConnectionService を検証します。

    • サービスの Verify をクリックします。

    • サービスのステータスが Verified と表示されていることを確認します。

ステップ2: ConsumeKafka プロセッサーを構成する

  1. Kafkaコネクタフローで、 ConsumeKafka プロセッサーを探します。

  2. 新しい接続サービスを使用するためにプロセッサーを構成します。

ステップ3: 古いKafka Connection Serviceを削除する

  1. Controller Services タブで、古い Kafka3Connection サービスを探します。

  2. 古いサービスを無効にして削除します。

    • 古いサービスの Disable をクリックします。

    • 無効にしたら、 Delete をクリックして古いサービスを削除します。