我打算部署Kafka集群 . 我有以下查询:
1)为了确保与Kafka经纪人的 生产环境 者和消费者通信,可以使用SSL . 如果我有一个包含9个代理和3个zookeeper节点的集群,并且如果我不想使用自签名证书,我是否必须为每个节点购买证书(9 3个证书,成本太高)?
正如我所读到的, 生产环境 者/消费者直接联系其中一个代理节点,而没有联系zookeeper .
谢谢,
病毒
研究“letsencrypt” . 您无需为可信证书付费 . 您还可以将许多域/主机名组合到一个证书中
是的,您需要在群集上为每个Kafka代理节点创建证书 . 因此,密钥库包含您的代理的密钥和证书,将其导入CA签署的信任库 . Similarlu如果您在信任库上使用相同的CA签署了证书,则此CA签名的所有客户端都已知道它已获得授权 .
此外,如果您启用了ssl.client.authorize,那么客户端必须拥有由CA在信任库上签名的自己的密钥库(密钥证书)
我不认为zookeeper需要证书 .
2 回答
研究“letsencrypt” . 您无需为可信证书付费 . 您还可以将许多域/主机名组合到一个证书中
是的,您需要在群集上为每个Kafka代理节点创建证书 . 因此,密钥库包含您的代理的密钥和证书,将其导入CA签署的信任库 . Similarlu如果您在信任库上使用相同的CA签署了证书,则此CA签名的所有客户端都已知道它已获得授权 .
此外,如果您启用了ssl.client.authorize,那么客户端必须拥有由CA在信任库上签名的自己的密钥库(密钥证书)
我不认为zookeeper需要证书 .