Configure outros métodos de autenticação para o Openflow Connector para Kafka¶
Nota
O conector está sujeito aos termos do conector.
Este tópico descreve como configurar outros métodos de autenticação para o Openflow Connector para Kafka. O conector oferece suporte a vários mecanismos de autenticação além da autenticação SASL básica.
Nota
A autenticação SASL básica é configurada por meio de contextos de parâmetros, conforme descrito em Configure o Openflow Connector para Kafka. Esta página aborda outros métodos de autenticação que exigem configuração adicional do serviço.
Métodos de autenticação compatíveis¶
O Openflow Connector para Kafka é compatível com os seguintes mecanismos de autenticação:
SASL com os seguintes mecanismos SASL (configurados por meio de contextos de parâmetros):
PLAIN
SCRAM-SHA-256
SCRAM-SHA-512
SASL com AWS MSK IAM (configuração extra necessária por meio de serviços)
mTLS (configuração extra necessária por meio de serviços)
Configuração da autenticação mTLS¶
O mutual Transport Layer Security (mTLS) requer que o cliente e servidor apresentem certificados para autenticação mútua.
Pré-requisitos¶
Antes de configurar a autenticação mTLS, certifique-se de ter:
Gerou e configurou os certificados necessários para o conector e corretor Kafka
Criou um keystore que contém a chave privada e o certificado do conector
(Opcional) Criou um truststore que contém o certificado do corretor Kafka ou um certificado na cadeia de certificação. Essa etapa só é necessária se o certificado do corretor não for assinado por uma autoridade de certificação (CA) confiável.
Os formatos de keystore/truststore compatíveis são PKCS12, JKS e BCFKS
Etapa 1: configuração do serviço de contexto SSL¶
Na tela NiFi, acesse a configuração Controller Services:
Clique duas vezes no grupo de processamento do conector
Clique com o botão direito do mouse na tela e selecione Controller Services
Adicione um novo StandardSSLContextService.
Clique em + para adicionar um novo serviço de controlador.
Selecione StandardSSLContextService na lista.
Clique em Add.
Configure as propriedades do serviço de contexto SSL:
Propriedade
Valor
Nome de arquivo do keystore
Caminho completo para o arquivo do keystore (por exemplo,
/path/to/client-keystore.p12
) ou referência de ativoSenha do keystore
Senha para o keystore
Tipo de keystore
Formato do keystore (
PKCS12
,JKS
, ouBCFKS
)Senha da chave
Senha par a chave privada (se a chave estiver criptografada)
Nome do arquivo truststore
Caminho completo para seu arquivo truststore (por exemplo,
/path/to/client-truststore.p12
) ou referência de ativoSenha do truststore
Senha para o truststore
Tipo de truststore
Formato do truststore (
PKCS12
,JKS
ouBCFKS
)Habilite o serviço de contexto SSL:
Clique em Enable para ver o serviço.
Confirme se o status do serviço é exibido como Enabled.
Etapa 2: configure o serviço Kafka3Connection¶
Na mesma guia Controller Services, localize o serviço Kafka3Connection.
Configure as seguintes propriedades:
Propriedade
Valor
Protocolo de segurança
SSL
Serviço de contexto SSL
Selecione o serviço de contexto SSL que você criou na etapa 1
Mantenha inalteradas todas as outras configurações do serviço Kafka3Connection
Verifique o serviço Kafka3Connection:
Clique em Verify para ver o serviço.
Confirme se o status do serviço é exibido como Verified.
Configuração da autenticação AWS MSK IAM¶
A autenticação AWS MSK IAM permite que você use o gerenciamento de identidade e acesso AWS (IAM) para autenticar no Amazon Managed Streaming for Apache Kafka (MSK).
Pré-requisitos¶
Seu cluster do Kafka deve ser o Amazon MSK com autenticação IAM ativada.
Você precisa fornecer credenciais IAM no Openflow com configurações BYOC (traga sua própria nuvem), implementadas em sua nuvem.
A função ou o usuário IAM deve ter as permissões MSK necessárias.
Etapa 1: crie AmazonMSKConnectionService¶
Na tela NiFi, acesse a configuração Controller Services:
Clique duas vezes no grupo de processamento do conector
Clique com o botão direito do mouse na tela e selecione Controller Services
Adicionar um novo AmazonMSKConnectionService.
Clique em + para adicionar um novo serviço de controlador.
Selecione AmazonMSKConnectionService na lista.
Clique em Add
Configure as propriedades AmazonMSKConnectionService:
Propriedade
Valor
Mecanismo SASL
AWS_MSK_IAM
Protocolo de segurança
#{Kafka Security Protocol}
Servidores de bootstrap
#{Kafka Bootstrap Servers}
Verifique o AmazonMSKConnectionService:
Clique em Verify para acessar o serviço
Confirme se o status do serviço é exibido como Verified
Etapa 2: configure o processador ConsumeKafka¶
No fluxo de seu conector Kafka, localize o processador ConsumeKafka
Configure o processador para usar o novo serviço de conexão:
Defina a propriedade Kafka Connection Service como AmazonMSKConnectionService que você criou em Etapa 1: crie AmazonMSKConnectionService.
Etapa 3: remova o antigo serviço de conexão Kafka¶
Na guia Controller Services, localize o antigo serviço Kafka3Connection.
Desative e remova o serviço antigo:
Clique em Disable para o serviço antigo.
Depois de desativado, clique em Delete para remover o serviço antigo.