Confluent コンポーネントにアクセスするための OpenShift ルートの構成¶
Confluent for Kubernetes (CFK)では、OpenShift プラットフォーム以外に Confluent Platform コンポーネントサービスを公開するために、OpenShift ルート をサポートしています。
ルートを使用して Confluent コンポーネントを構成した場合、Confluent コンポーネントサービスのルートリソースが CFK によって作成され、外部のクライアントは HTTPS ポート 443 でサービスにアクセスすることになります。
ルートを使用するときは、Confluent コンポーネントを TLS で構成する必要があります。
注: このセクションの例では、CFK の名前空間の作成 で設定したデフォルトの名前空間を想定しています。
ルートを使用した Kafka への外部アクセスの構成¶
ルートを使用するように構成すると、CFK により、ブートストラップサーバー用のサービスに加えて、各ブローカー用のサービスが作成されます。Kafka ブローカーが N 個であれば、CFK によってルートサービスが N+1 個作成されます。
- 1 個は、初期接続と Kafka クラスターに関するメタデータの受信に使用するブートストラップサービスとして作成されます。
- 残りの N 個のサービスは、各ブローカーにつき 1 個で、ブローカーに直接対応します。
クライアントによる Kafka クラスターへのアクセスでは、まずブートストラップサーバールートへの接続が行われ、クラスターに属するすべてのブローカーのメタデータリストが取得されます。次に、クライアントにより、関心の対象であるブローカーのアドレスが検出され、データを生成または消費するためにブローカーへの直接接続が行われます。
その他、Metadata Service (MDS) への外部アクセスを実現するために必要な構成手順については、「RBAC のためのネットワークの構成」を参照してください。
Kafka への外部アクセス用のルートを使用するには、次の手順に従います。
Kafka カスタムリソース(CR)で
route
プロパティを設定します。Kafka の CR のスニペットを次に示します。
listeners: external: tls: enabled: true --- [1] externalAccess: type: route route: domain: --- [2] wildcardPolicy: --- [3] bootstrapPrefix: --- [4] brokerPrefix: --- [5] annotations: --- [6]
[1](必須)
[2](必須)
domain
を OpenShift ドメインに設定します。実行中のクラスターでこの値を変更する場合、クラスターをローリングする必要があります。
[3](省略可)未構成の場合、デフォルトで
None
に設定されます。使用できる値はSubdomain
とNone
です。[4](省略可)``bootstrapPrefix`` は、ブートストラップのアドバタイズされたエンドポイントのプレフィックスを定義します。この値は、ブートストラップのホストを
bootstrapPrefix.domain
として取得するために使用されます。設定しなかった場合は、コンポーネントのクラスター名になります(この例ではkafka
)。実行中のクラスターでこの値を変更する場合、クラスターをローリングする必要があります。
[5](省略可)``brokerPrefix`` は、ブローカーのアドバタイズされたエンドポイントのプレフィックスを定義し、ブローカーのホストを
brokerPrefix.domain
として取得するために使用されます。未構成の場合、プレフィックスとしてb
が追加されます(例:b1.domain
、b2.domain
)。実行中のクラスターでこの値を変更する場合、クラスターをローリングする必要があります。
[6](省略可)
構成を適用します。
oc apply -f <Kafka CR>
Kafka のブートストラップサーバーとブローカー用に DNS エントリを追加します。
ルートが作成されたら、Kafka ブローカーと Kafka ブートストラップサービスの DNS エントリを DNS テーブル(または、プロバイダー環境によって認識された DNS エントリの取得に使用する手段)に追加します。
Kafka ブローカーの DNS エントリを取得するには以下が必要です。
- OpenShift クラスターのドメイン名(ステップ 1 の
domain
) - OpenShift ルーターのロードバランサーの外部 IP
- Kafka のブートストラッププレフィックスとブローカープレフィックス
Kafka 用に DNS エントリを追加する
OpenShift ルーターのロードバランサーの IP アドレスを取得します。
HAProxy ロードバランサーサービスはルートサービスのルーターとして機能し、HAProxy は一般に
openshift-ingress
名前空間内で動作します。oc get svc --namespace openshift-ingress
出力例:
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE router-default LoadBalancer 172.30.84.52 20.189.181.8 80:31294/TCP,443:32145/TCP 42h router-internal-default ClusterIP 172.30.184.233 <none> 80/TCP,443/TCP,1936/TCP 42h
上記の例では、ルーターの外部 IP は 20.189.181.8 です。
Kafka の DNS 名を取得します。
oc get routes | awk '{print $2}'
外部 IP を使用して、DNS サービスプロバイダーにすべての Kafka の DNS 名を指定します。
以下は、DNS テーブルのエントリの例です。各項目が次のように指定されています。
- ドメイン:
example.com
- デフォルトのプレフィックスを使用するブローカーレプリカ 3 個:
b
- Kafka ブートストラッププレフィックス:
kafka
- ロードバランサールーターの外部 IP:
20.189.181.8
20.189.181.8 b0.example.com b1.example.com b2.example.com kafka.example.com
- ドメイン:
- OpenShift クラスターのドメイン名(ステップ 1 の
接続の確認 を行います。
ルーターを使用した他の Confluent Platform コンポーネントへの外部アクセスの構成¶
外部クライアントは、ルーターを使用して他の Confluent Platform コンポーネントに接続することができます。
各 Confluent Platform コンポーネントのアクセスエンドポイントは <component CR name>.<Kubernetes domain>:443
となります。
たとえば、TLS が有効な example.com
ドメインでは、Confluent Platform コンポーネントへのアクセスに以下のエンドポイントを使用します。
- https://connect.example.com:443
- https://replicator.example.com:443
- https://schemaregistry.example.com:443
- https://ksqldb.example.com:443
- https://controlcenter.example.com:443
ルーターを使用して Confluent コンポーネントへの外部アクセスを実現する
Enable TLS for the component as described Confluent for Kubernetes でのネットワーク暗号化の構成.
コンポーネントのカスタムリソース(CR)で次のように設定し、構成を適用します。
spec: externalAccess: type: route route: domain: --- [1] prefix: --- [2] wildcardPolicy: --- [3] annotations: --- [4]
[1](必須)
domain
を、Kubernetes クラスターのドメイン名に設定します。実行中のクラスターでこの値を変更する場合、クラスターをローリングする必要があります。
[2](省略可)
prefix
を設定して、デフォルトのルートプレフィックスを変更します。デフォルトでは、コンポーネント名となります(例:controlcenter
、connector
、replicator
、schemaregistry
、ksql
)。この値は DNS エントリに使用されます。コンポーネントの DNS 名は
<prefix>.<domain>
となります。設定されていない場合のデフォルトの DNS 名は
<component name>.<domain>
になります(例:controlcener.example.com
)。複数の Kafka クラスターを実行しているときは、DNS の競合を避けるために、コンポーネントごとにデフォルトプレフィックスの変更が必要となる場合があります。
実行中のクラスターでこの値を変更する場合、クラスターをローリングする必要があります。
[3](省略可)未構成の場合、デフォルトで
None
に設定されます。使用できる値はSubdomain
とNone
です。[4](省略可)
構成を適用します。
oc apply -f <component CR>
ルートを追加した各 Confluent Platform コンポーネントの DNS エントリを追加します。
ルートが作成されたら、コンポーネントルートに関連付けられた DNS エントリを DNS テーブル(または、プロバイダー環境によって認識された DNS エントリの取得に使用する手段)に追加します。
Confluent Platform コンポーネントの DNS エントリを取得するには以下が必要です。
ステップ 1 で設定した OpenShift クラスターのドメイン名。
OpenShift ルーターのロードバランサーの外部 IP
コンポーネントの
prefix
(前述のステップ 1 で設定した場合)。それ以外の場合は、デフォルトのコンポーネント名。DNS 名は
prefix
とdomain
名から成ります(例:controlcenter.example.com
)。
Confluent コンポーネントの DNS エントリを追加する
OpenShift ルーターのロードバランサーの IP アドレスを取得します。
HAProxy ロードバランサーサービスはルートサービスのルーターとして機能し、HAProxy は一般に
openshift-ingress
名前空間内で動作します。oc get svc --namespace openshift-ingress
出力例:
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE router-default LoadBalancer 172.30.84.52 20.189.181.8 80:31294/TCP,443:32145/TCP 42h router-internal-default ClusterIP 172.30.184.233 <none> 80/TCP,443/TCP,1936/TCP 42h
コンポーネントの DNS 名を取得します。
oc get routes | awk '{print $2}'
外部 IP を使用して、DNS サービスプロバイダーにすべての Confluent コンポーネントの DNS 名を指定します。
以下は、DNS テーブルのエントリの例です。各項目が次のように指定されています。
- ドメイン:
example.com
- デフォルトのコンポーネントプレフィックス
- ロードバランサールーターの外部 IP:
20.189.181.8
20.189.181.8 connect.example.com controlcenter.example.com ksqldb.example.com schemaregistry.example.com
- ドメイン:
接続の確認 を行います。
接続の確認¶
example.com
ドメインとデフォルトのコンポーネントプレフィックスを使用して、Confluent Platform コンポーネントへの外部アクセスを確認する手順の例を以下に示します。
- Control Center の UI
- ブラウザーで、https://controlcenter.example.com:443 に移動します。
- Kafka
Kafka の外部エンドポイントを取得します。
ブローカーのエンドポイントを取得するには、次のコマンドを使用します。
oc get kafka kafka -ojsonpath='{.status.listeners.external.advertisedExternalEndpoints}'
Kafka ブートストラップサーバーのエンドポイントを取得するには、次のコマンドを使用します。
oc get kafka kafka -ojsonpath='{.status.listeners.external.externalEndpoint}'
トピックを作成します。
この手順では、ローカルシステムで
kafka-topics
ツールが使用できる必要があります。ローカルシステムで Confluent Platform のインストール を行い、ツールにアクセスします。以下に例を示します。
kafka-topics --create --topic mytest --partitions 3 --replication-factor 2 --bootstrap-server kafka.example.com:443
Control Center で、
mytest
トピックが作成されていることを確認します。
- Connect
コンポーネントの外部エンドポイントを取得します。
oc get connect connect -ojsonpath='{.status.restConfig.externalEndpoint}'
コンポーネントのエンドポイントにアクセスできることを確認します。以下に例を示します。
curl https://connect.example.com:443 -ik -s -H "Content-Type: application/json"
- ksqlDB
コンポーネントの外部エンドポイントを取得します。
oc get ksqldb ksqldb -ojsonpath='{.status.restConfig.externalEndpoint}'
コンポーネントのエンドポイントにアクセスできることを確認します。以下に例を示します。
curl https://ksqldb.example.com:443/ksql -ik -s -H "Content-Type: application/vnd.ksql.v1+json; charset=utf-8" -X POST --data '{"ksql": "LIST ALL TOPICS;", "streamsProperties": {}}'
- Schema Registry
コンポーネントの外部エンドポイントを取得します。
oc get schemaregistry schemaregistry -ojsonpath='{.status.restConfig.externalEndpoint}'
コンポーネントのエンドポイントにアクセスできることを確認します。以下に例を示します。
curl -ik https://schemaregistry.example.com:443/subjects
- Control Center
コンポーネントの外部エンドポイントを取得します。
oc get controlcenter controlcenter -ojsonpath='{.status.restConfig.externalEndpoint}'
コンポーネントのエンドポイントにアクセスできることを確認します。以下に例を示します。
curl https://controlcenter.example.com:443/2.0/health/status -ik -s -H "Content-Type: application/json"