Configure outros métodos de autenticação para o Openflow Connector para Kafka

Nota

O conector está sujeito aos termos do conector.

Este tópico descreve como configurar outros métodos de autenticação para o Openflow Connector para Kafka. O conector oferece suporte a vários mecanismos de autenticação além da autenticação SASL básica.

Nota

A autenticação SASL básica é configurada por meio de contextos de parâmetros, conforme descrito em Configure o Openflow Connector para Kafka. Esta página aborda outros métodos de autenticação que exigem configuração adicional do serviço.

Métodos de autenticação compatíveis

O Openflow Connector para Kafka é compatível com os seguintes mecanismos de autenticação:

  • SASL com os seguintes mecanismos SASL (configurados por meio de contextos de parâmetros):

    • PLAIN

    • SCRAM-SHA-256

    • SCRAM-SHA-512

  • SASL com AWS MSK IAM (configuração extra necessária por meio de serviços)

  • mTLS (configuração extra necessária por meio de serviços)

Configuração da autenticação mTLS

O mutual Transport Layer Security (mTLS) requer que o cliente e servidor apresentem certificados para autenticação mútua.

Pré-requisitos

Antes de configurar a autenticação mTLS, certifique-se de ter:

  1. Gerou e configurou os certificados necessários para o conector e corretor Kafka

  2. Criou um keystore que contém a chave privada e o certificado do conector

  3. (Opcional) Criou um truststore que contém o certificado do corretor Kafka ou um certificado na cadeia de certificação. Essa etapa só é necessária se o certificado do corretor não for assinado por uma autoridade de certificação (CA) confiável.

  4. Os formatos de keystore/truststore compatíveis são PKCS12, JKS e BCFKS

Etapa 1: configuração do serviço de contexto SSL

  1. Na tela NiFi, acesse a configuração Controller Services:

    • Clique duas vezes no grupo de processamento do conector

    • Clique com o botão direito do mouse na tela e selecione Controller Services

  2. Adicione um novo StandardSSLContextService.

    • Clique em + para adicionar um novo serviço de controlador.

    • Selecione StandardSSLContextService na lista.

    • Clique em Add.

  3. Configure as propriedades do serviço de contexto SSL:

    Propriedade

    Valor

    Nome de arquivo do keystore

    Caminho completo para o arquivo do keystore (por exemplo, /path/to/client-keystore.p12) ou referência de ativo

    Senha do keystore

    Senha para o keystore

    Tipo de keystore

    Formato do keystore (PKCS12, JKS, ou BCFKS)

    Senha da chave

    Senha par a chave privada (se a chave estiver criptografada)

    Nome do arquivo truststore

    Caminho completo para seu arquivo truststore (por exemplo, /path/to/client-truststore.p12) ou referência de ativo

    Senha do truststore

    Senha para o truststore

    Tipo de truststore

    Formato do truststore (PKCS12, JKS ou BCFKS)

  4. Habilite o serviço de contexto SSL:

    • Clique em Enable para ver o serviço.

    • Confirme se o status do serviço é exibido como Enabled.

Etapa 2: configure o serviço Kafka3Connection

  1. Na mesma guia Controller Services, localize o serviço Kafka3Connection.

  2. Configure as seguintes propriedades:

    Propriedade

    Valor

    Protocolo de segurança

    SSL

    Serviço de contexto SSL

    Selecione o serviço de contexto SSL que você criou na etapa 1

  3. Mantenha inalteradas todas as outras configurações do serviço Kafka3Connection

  4. Verifique o serviço Kafka3Connection:

    • Clique em Verify para ver o serviço.

    • Confirme se o status do serviço é exibido como Verified.

Configuração da autenticação AWS MSK IAM

A autenticação AWS MSK IAM permite que você use o gerenciamento de identidade e acesso AWS (IAM) para autenticar no Amazon Managed Streaming for Apache Kafka (MSK).

Pré-requisitos

  1. Seu cluster do Kafka deve ser o Amazon MSK com autenticação IAM ativada.

  2. Você precisa fornecer credenciais IAM no Openflow com configurações BYOC (traga sua própria nuvem), implementadas em sua nuvem.

  3. A função ou o usuário IAM deve ter as permissões MSK necessárias.

Etapa 1: crie AmazonMSKConnectionService

  1. Na tela NiFi, acesse a configuração Controller Services:

    • Clique duas vezes no grupo de processamento do conector

    • Clique com o botão direito do mouse na tela e selecione Controller Services

  2. Adicionar um novo AmazonMSKConnectionService.

    • Clique em + para adicionar um novo serviço de controlador.

    • Selecione AmazonMSKConnectionService na lista.

    • Clique em Add

  3. Configure as propriedades AmazonMSKConnectionService:

    Propriedade

    Valor

    Mecanismo SASL

    AWS_MSK_IAM

    Protocolo de segurança

    #{Kafka Security Protocol}

    Servidores de bootstrap

    #{Kafka Bootstrap Servers}

  4. Verifique o AmazonMSKConnectionService:

    • Clique em Verify para acessar o serviço

    • Confirme se o status do serviço é exibido como Verified

Etapa 2: configure o processador ConsumeKafka

  1. No fluxo de seu conector Kafka, localize o processador ConsumeKafka

  2. Configure o processador para usar o novo serviço de conexão:

Etapa 3: remova o antigo serviço de conexão Kafka

  1. Na guia Controller Services, localize o antigo serviço Kafka3Connection.

  2. Desative e remova o serviço antigo:

    • Clique em Disable para o serviço antigo.

    • Depois de desativado, clique em Delete para remover o serviço antigo.