Configure outros métodos de autenticação para o Openflow Connector para Kafka¶

Nota

O conector está sujeito aos termos do conector.

Este tópico descreve como configurar outros métodos de autenticação para o Openflow Connector para Kafka. O conector oferece suporte a vários mecanismos de autenticação além da autenticação SASL básica.

Nota

A autenticação SASL básica é configurada por meio de contextos de parâmetros, conforme descrito em Configure o Openflow Connector para Kafka. Esta página aborda outros métodos de autenticação que exigem configuração adicional do serviço.

Métodos de autenticação compatíveis¶

O Openflow Connector para Kafka é compatível com os seguintes mecanismos de autenticação:

SASL com os seguintes mecanismos SASL (configurados por meio de contextos de parâmetros):
- PLAIN
- SCRAM-SHA-256
- SCRAM-SHA-512
SASL com AWS MSK IAM (configuração extra necessária por meio de serviços)
mTLS (configuração extra necessária por meio de serviços)

Configuração da autenticação mTLS¶

O mutual Transport Layer Security (mTLS) requer que o cliente e servidor apresentem certificados para autenticação mútua.

Pré-requisitos¶

Antes de configurar a autenticação mTLS, certifique-se de ter:

Gerou e configurou os certificados necessários para o conector e corretor Kafka
Criou um keystore que contém a chave privada e o certificado do conector
(Opcional) Criou um truststore que contém o certificado do corretor Kafka ou um certificado na cadeia de certificação. Essa etapa só é necessária se o certificado do corretor não for assinado por uma autoridade de certificação (CA) confiável.
Os formatos de keystore/truststore compatíveis são PKCS12, JKS e BCFKS

Etapa 1: configuração do serviço de contexto SSL¶

Na tela NiFi, acesse a configuração Controller Services:
- Clique duas vezes no grupo de processamento do conector
- Clique com o botão direito do mouse na tela e selecione Controller Services
Adicione um novo StandardSSLContextService.
- Clique em + para adicionar um novo serviço de controlador.
- Selecione StandardSSLContextService na lista.
- Clique em Add.

Configure as propriedades do serviço de contexto SSL:

Propriedade	Valor
Nome de arquivo do keystore	Caminho completo para o arquivo do keystore (por exemplo, `/path/to/client-keystore.p12`) ou referência de ativo
Senha do keystore	Senha para o keystore
Tipo de keystore	Formato do keystore (`PKCS12`, `JKS`, ou `BCFKS`)
Senha da chave	Senha par a chave privada (se a chave estiver criptografada)
Nome do arquivo truststore	Caminho completo para seu arquivo truststore (por exemplo, `/path/to/client-truststore.p12`) ou referência de ativo
Senha do truststore	Senha para o truststore
Tipo de truststore	Formato do truststore (`PKCS12`, `JKS` ou `BCFKS`)

Habilite o serviço de contexto SSL:
- Clique em Enable para ver o serviço.
- Confirme se o status do serviço é exibido como Enabled.

Etapa 2: configure o serviço Kafka3Connection¶

Na mesma guia Controller Services, localize o serviço Kafka3Connection.
Configure as seguintes propriedades:

Propriedade

Valor

Protocolo de segurança

SSL

Serviço de contexto SSL

Selecione o serviço de contexto SSL que você criou na etapa 1
Mantenha inalteradas todas as outras configurações do serviço Kafka3Connection
Verifique o serviço Kafka3Connection:
- Clique em Verify para ver o serviço.
- Confirme se o status do serviço é exibido como Verified.

Propriedade	Valor
Protocolo de segurança	`SSL`
Serviço de contexto SSL	Selecione o serviço de contexto SSL que você criou na etapa 1

Configuração da autenticação AWS MSK IAM¶

A autenticação AWS MSK IAM permite que você use o gerenciamento de identidade e acesso AWS (IAM) para autenticar no Amazon Managed Streaming for Apache Kafka (MSK).

Pré-requisitos¶

Seu cluster do Kafka deve ser o Amazon MSK com autenticação IAM ativada.
Você precisa fornecer credenciais IAM no Openflow com configurações BYOC (traga sua própria nuvem), implementadas em sua nuvem.
A função ou o usuário IAM deve ter as permissões MSK necessárias.

Etapa 1: crie AmazonMSKConnectionService¶

Na tela NiFi, acesse a configuração Controller Services:
- Clique duas vezes no grupo de processamento do conector
- Clique com o botão direito do mouse na tela e selecione Controller Services
Adicionar um novo AmazonMSKConnectionService.
- Clique em + para adicionar um novo serviço de controlador.
- Selecione AmazonMSKConnectionService na lista.
- Clique em Add
Configure as propriedades AmazonMSKConnectionService:

Propriedade

Valor

Mecanismo SASL

AWS_MSK_IAM

Protocolo de segurança

#{Kafka Security Protocol}

Servidores de bootstrap

#{Kafka Bootstrap Servers}
Verifique o AmazonMSKConnectionService:
- Clique em Verify para acessar o serviço
- Confirme se o status do serviço é exibido como Verified

Propriedade	Valor
Mecanismo SASL	`AWS_MSK_IAM`
Protocolo de segurança	`#{Kafka Security Protocol}`
Servidores de bootstrap	`#{Kafka Bootstrap Servers}`

Etapa 2: configure o processador ConsumeKafka¶

No fluxo de seu conector Kafka, localize o processador ConsumeKafka
Configure o processador para usar o novo serviço de conexão:
- Defina a propriedade Kafka Connection Service como AmazonMSKConnectionService que você criou em Etapa 1: crie AmazonMSKConnectionService.

Etapa 3: remova o antigo serviço de conexão Kafka¶

Na guia Controller Services, localize o antigo serviço Kafka3Connection.
Desative e remova o serviço antigo:
- Clique em Disable para o serviço antigo.
- Depois de desativado, clique em Delete para remover o serviço antigo.