Confluent Cloud の Cluster Linking ドキュメントをお探しですか? このページは Confluent Platform における Cluster Linking の説明です。Confluent Cloud のドキュメントをお探しの場合は、Confluent Cloud の「Cluster Linking」 をご覧ください。
Cluster Linking のセキュリティ¶
重要
この機能はプレビュー機能として利用できます。プレビュー機能とは、開発者から早い段階でフィードバックを受けるために提供している Confluent Platform のコンポーネントのことです。この機能は、評価用、本稼働環境以外でのテスト用、あるいは Confluent にフィードバックを提供するために使用できます。
送信元クラスターへの接続に使用されるすべてのセキュリティ構成は、クラスターリンクの作成時にそのクラスターリンクで構成することができます。各リンクは "厳密に 1 つ" のリンク認証情報に関連付けられます。この認証情報は、そのリンクを使用した送信元クラスターへの接続の認証に使用されます。同じクラスターで、さまざまなクラスターリンクが異なるセキュリティ認証情報を使用する場合があります。リンク認証情報には、送信元クラスターでの適切なアクセス許可が付与される必要があります。
認証¶
以下の例に、送信元クラスターと通信するために、クラスターリンク用の SASL メカニズムとして GSSAPI を使用する SASL_SSL の構成方法を示します。
security.protocol=SASL_SSL
ssl.truststore.location=/path/to/truststore.p12
ssl.truststore.password=truststore-password
ssl.truststore.type=PKCS12
sasl.mechanism=GSSAPI
sasl.kerberos.service.name=kafka sasl.jaas.config=com.sun.security.auth.module.Krb5LoginModule required \
useKeyTab=true
storeKey=true \
keyTab="/path/to/link.keytab" \
principal="clusterlink1@EXAMPLE.COM";
このシナリオでは、Cluster Linking 構成には、送信元クラスターに接続するためのクライアント側の SSL および SASL/GSSAPI 構成オプションが含まれている必要があります。
SSL キーとトラストストアの作成の詳細については、「SSL での暗号化と認証」を参照してください。SASL/GSSAPI の詳細については、「GSSAPI の構成」を参照してください。セキュリティが有効の場合、重要なリンク構成を暗号化するために password.encoder.secret
を使用してブローカーを構成する必要があります。
他の SASL メカニズムを使用するようにクラスターリンクを構成するには、そのメカニズム用のクライアント側セキュリティ構成を組み込みます。サポートされている他のメカニズムについては、「JAAS を使用した SASL による認証」を参照してください。セキュリティプロトコルとして SSL を使用する双方向 SSL 認証を使用するには、リンク用のキーストアも構成する必要があります。詳細については、「SSL での暗号化と認証」を参照してください。
注釈
クラスターリンクは、リンクで構成された送信元認証情報を使用して送信元クラスターと通信します。リンクを機能させるには、これらの認証情報が有効である必要があります。
認可(ACL)¶
ACL が有効であるデプロイでは、送信元クラスターと送信先クラスターの両方に別の ACL を追加する必要があります。ACL の作成の詳細については、「 ACL を使用した認可」を参照してください。関連する操作、リソース、および API の完全なリストについては、サブトピックの「操作」を参照してください。
注意
ACL migration, previously available in Confluent Platform 6.0.0 through 6.2.x, was removed due to a
security vulnerability. If you are using ACL migration (ACL sync) in your deployments,
please disable it by setting acl.sync.enable=false
on your cluster links. This feature
will be re-introduced in an upcoming Confluent Platform release with the security issue resolved.
ユーザーが発行するクラスターリンクおよびミラーコマンドに対する ACL¶
ユーザーが利用するクラスターリンクまたはミラーコマンドに対しては、以下の送信先クラスター ACL を使用できます。
操作 | リソース | API |
---|---|---|
ALTER | クラスター | CreateClusterLinks |
ALTER | クラスター | DeleteClusterLinks |
DESCRIBE | クラスター | ListClusterLinks |
ALTER | クラスター | CreateTopics(ミラートピックの作成用) |
CREATE | トピック | CreateTopics(ミラートピックの作成用) |
ALTER | トピック | AlterTopicMirrors |
ミラートピックの一覧表示と詳細表示に必要な ACL¶
list mirrors
は、クラスターまたはクラスターリンクのミラートピックを一覧表示するコマンドです。このコマンドは、API から `REST`: `GET /kafka/v3/clusters/<cluster-id>/links/<link-name>/mirrors`
を、または Confluent Platform CLI から kafka-mirrors --list
を使用して呼び出すことができます。
describe mirror
は、特定のミラートピックに関する情報を取得するコマンドです。このコマンドは、API から `REST`: `GET /kafka/v3/clusters/<cluster-id>/links/<link-name>/mirrors/<mirror-topic>`
を、または Confluent Platform CLI から kafka-mirrors --describe --topics <mirror-topic>
を使用して呼び出すことができます。
ミラートピックの一覧表示と詳細表示には、次のいずれかの ACL が必要です。
- クラスターリソースの DESCRIBE ACL。クラスター上のすべてのトピックに対し、一覧表示と詳細表示の両方を実行できます。
- 特定のトピックの DESCRIBE ACL。特定のトピックについてのみ、一覧表示と詳細表示の両方を実行できます。
送信先クラスターのブローカーに対する ACL¶
オフセット移行が有効にされていない場合、ブローカーには追加のアクセス許可は必要ありません。
オフセット移行が有効にされている場合、送信先クラスター内のブローカーには追加の ACL が必要です。
操作 | リソース | API |
---|---|---|
READ | トピック | コンシューマーオフセット移行に使用する API |
READ | グループ | コンシューマーオフセット移行に使用する API |
ALTER | トピック(ミラー) | AlterTopicMirrors |
送信元クラスターのリンクに対する ACL¶
リンク認証情報に対しては、以下の送信元クラスター ACL が必要です。
タスク | 操作 | リソース | API |
---|---|---|---|
ミラーリング | READ | トピック | フェッチ |
DESCRIBE_CONFIGS | トピック | DescribeConfigs | |
コンシューマーオフセット移行 | DESCRIBE | トピック | ListOffsets |
DESCRIBE | グループ | ListGroups |