为 Openflow Connector for Kafka 配置其他身份验证方法

备注

使用该连接器需遵守 连接器条款

本主题介绍如何为 Openflow Connector for Kafka 配置其他身份验证方法。除基本 SASL 身份验证外,连接器还支持多种身份验证机制。

备注

基本 SASL 身份验证是通过参数上下文配置的,如 设置 Openflow Connector for Kafka 中所述。本页介绍了其他需要额外服务配置的身份验证方法。

支持的身份验证方法

Openflow Connector for Kafka 支持以下身份验证机制:

  • 使用以下 SASL 机制的 SASL(通过参数上下文进行配置):

    • PLAIN

    • SCRAM-SHA-256

    • SCRAM-SHA-512

  • 使用 AWS MSK IAM 的 SASL(需要通过服务进行额外配置)

  • mTLS(需要通过服务进行额外配置)

配置 mTLS 身份验证

mTLS(双向传输层安全)身份验证需要客户端和服务器都提供用于双向身份验证的证书。

先决条件

在配置 mTLS 身份验证之前,请确保您已执行以下操作:

  1. 为连接器和 Kafka 代理生成并配置了所需的证书

  2. 创建了包含连接器的私钥和证书的密钥库

  3. (可选)创建了包含 Kafka 代理证书或认证链中证书的信任库。仅当代理证书未由可信证书颁发机构 (CA) 签名时,才需要执行此步骤。

  4. 支持的密钥库/信任库格式为 PKCS12、JKS 和 BCFKS

第 1 步:配置 SSL Context Service

  1. 从 NiFi 画布访问 Controller Services 配置:

    • 双击连接器的处理组

    • 右键点击画布并选择 Controller Services

  2. 添加新的 StandardSSLContextService

    • 点击 + 以添加新的控制器服务。

    • 从列表中选择 StandardSSLContextService

    • 点击 Add

  3. 配置 SSL Context Service 属性:

    属性

    Keystore Filename

    密钥库文件完整路径(例如,/path/to/client-keystore.p12)或资产引用

    Keystore Password

    密钥库的密码

    Keystore Type

    密钥库格式(PKCS12JKSBCFKS

    Key Password

    私钥的密码(如果密钥已加密)

    信任库文件名

    信任库文件完整路径(例如,/path/to/client-truststore.p12)或资产引用

    信任库密码

    信任库的密码

    信任库类型

    信任库格式(PKCS12JKSBCFKS

  4. 启用 SSL Context Service:

    • 为服务点击 Enable

    • 确认服务状态显示为 Enabled

第 2 步:配置 Kafka3Connection 服务

  1. 在同一个 Controller Services 选项卡中,找到 Kafka3Connection 服务。

  2. 配置以下属性:

    属性

    安全协议

    SSL

    SSL Context Service

    选择您在第 1 步中创建的 SSL Context Service

  3. 保持所有其他 Kafka3Connection 服务 设置不变

  4. 验证 Kafka3Connection 服务:

    • 为服务点击 Verify

    • 确认服务状态显示为 Verified

配置 AWS MSK IAM 身份验证

AWS MSK IAM 身份验证允许您使用 AWS 身份和访问管理 (IAM) 对 Amazon Managed Streaming for Apache Kafka (MSK) 进行身份验证。

先决条件

  1. Kafka 集群必须是启用了 IAM 身份验证的 Amazon MSK。

  2. 您需要在 Openflow 中提供 IAM 凭据,并在云中部署 BYOC(自带云)配置。

  3. IAM 角色或用户必须具有所需的 MSK 权限。

第 1 步:创建 AmazonMSKConnectionService

  1. 从 NiFi 画布访问 Controller Services 配置:

    • 双击连接器的处理组

    • 右键点击画布并选择 Controller Services

  2. 添加新的 AmazonMSKConnectionService

    • 点击 + 以添加新的控制器服务。

    • 从列表中选择 AmazonMSKConnectionService

    • 点击 Add

  3. 配置 AmazonMSKConnectionService 属性:

    属性

    SASL 机制

    AWS_MSK_IAM

    安全协议

    #{Kafka Security Protocol}

    引导服务器

    #{Kafka Bootstrap Servers}

  4. 验证 AmazonMSKConnectionService:

    • 为服务点击 Verify

    • 确认服务状态显示为 Verified

第 2 步:配置 ConsumeKafka 处理器

  1. 在 Kafka 连接器流中,找到 ConsumeKafka 处理器

  2. 将处理器配置为使用新的连接服务:

第 3 步:删除旧的 Kafka 连接服务

  1. Controller Services 选项卡中,找到旧的 Kafka3Connection 服务。

  2. 禁用并删除旧服务:

    • 为旧服务点击 Disable

    • 禁用后,点击 Delete 以移除旧服务。

语言: 中文