Confluent for Kubernetes でのセキュリティの構成

Confluent for Kubernetes による Confluent デプロイのセキュリティには、厳選された機能と自動化に基づくアプローチが採用されています。

Confluent デプロイのセキュリティには、次の要素が含まれます。

  • 認証
  • 認可
  • ネットワーク暗号化
  • 構成シークレット

本稼働環境の自動化されたセキュアなデプロイを実現するために、Confluent は次のセキュリティ構成を推奨しています。

  • 認証

    Kafka クライアント認証には、次のいずれかを選択します。

    • mTLS

    • SASL/PLAIN

    • LDAP による SASL/PLAIN

      SASL/PLAIN では、LDAP サーバーから ID を取得できます。

  • 認可

    認可には Confluent のロールベースアクセス制御(RBAC)を使用し、ユーザーとグループの ID は LDAP サーバーから取得します。

  • ネットワーク暗号化

    内部(Confluent コンポーネント間)と外部(クライアントから Confluent コンポーネント)の両方に TLS を使用します。

  • 構成シークレット

    Kubernetes シークレットまたは Vault を使用してライフサイクルを管理し、Confluent コンポーネントのカスタムリソースからそれらを参照します。

Confluent が推奨するセキュリティの構成に関する包括的なチュートリアルシナリオについては、セキュリティのチュートリアル を参照してください。

Confluent for Kubernetes を本稼働環境で実行する場合には、以上に述べた方法が推奨されますが、別のセキュリティ構成で Confluent for Kubernetes をデプロイして運用することもできます。以下に示したのは、サポートされるセキュリティ構成の概要です。詳しい概念と手順を取り上げたページへのリンクも記載しています。