Confluent for Kubernetes でのセキュリティの構成¶
Confluent for Kubernetes による Confluent デプロイのセキュリティには、厳選された機能と自動化に基づくアプローチが採用されています。
Confluent デプロイのセキュリティには、次の要素が含まれます。
- 認証
- 認可
- ネットワーク暗号化
- 構成シークレット
本稼働環境の自動化されたセキュアなデプロイを実現するために、Confluent は次のセキュリティ構成を推奨しています。
- 認証
Kafka クライアント認証には、次のいずれかを選択します。
mTLS
SASL/PLAIN
LDAP による SASL/PLAIN
SASL/PLAIN では、LDAP サーバーから ID を取得できます。
- 認可
認可には Confluent のロールベースアクセス制御(RBAC)を使用し、ユーザーとグループの ID は LDAP サーバーから取得します。
- ネットワーク暗号化
内部(Confluent コンポーネント間)と外部(クライアントから Confluent コンポーネント)の両方に TLS を使用します。
- 構成シークレット
Kubernetes シークレットまたは Vault を使用してライフサイクルを管理し、Confluent コンポーネントのカスタムリソースからそれらを参照します。
Confluent が推奨するセキュリティの構成に関する包括的なチュートリアルシナリオについては、セキュリティのチュートリアル を参照してください。
Confluent for Kubernetes を本稼働環境で実行する場合には、以上に述べた方法が推奨されますが、別のセキュリティ構成で Confluent for Kubernetes をデプロイして運用することもできます。以下に示したのは、サポートされるセキュリティ構成の概要です。詳しい概念と手順を取り上げたページへのリンクも記載しています。
- 認証
- Kafka での認証
- 認証なし
- SASL/PLAIN 認証 (ユーザー名とパスワード)
- LDAP による SASL/PLAIN 認証
- mTLS 認証 (証明書ベース)
- ZooKeeper での認証
- Confluent コンポーネントの認証
- Kafka での認証
- 認可
- 認可なし
- 依存関係として LDAP サーバーを使用した Confluent ロールベースアクセス制御(RBAC)による認可
- Kafka アクセス制御リスト
- ネットワーク暗号化
- 暗号化なし
- TLS 暗号化