Controllo dell'accesso ad Apache ZooKeeper

Per motivi di sicurezza, puoi limitare l'accesso ai ZooKeeper nodi Apache che fanno parte del tuo cluster Amazon MSK. Per limitare l'accesso ai nodi, puoi assegnare loro un gruppo di sicurezza separato. Puoi quindi stabilire chi ottiene l'accesso a tale gruppo di sicurezza.

Importante

Questa sezione non si applica ai cluster in esecuzione in modalità KRAFT. Per informazioni, consulta modalità KRAFT.

Per collocare i ZooKeeper nodi Apache in un gruppo di sicurezza separato

1. Ottieni la stringa di ZooKeeper connessione Apache per il tuo cluster. Per scoprire come, consulta ZooKeeper modalità. La stringa di connessione contiene i nomi DNS dei tuoi nodi ZooKeeper Apache.

2. Utilizzare uno strumento simile a host o ping per convertire i nomi DNS ottenuti nel passaggio precedente in indirizzi IP. Salvare questi indirizzi IP perché saranno necessari più avanti in questa procedura.

3. Accedi AWS Management Console e apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

4. Nel riquadro di navigazione, in NETWORK & SECURITY (Rete e sicurezza), scegliere Network Interfaces (Interfacce di rete).

5. Nel campo di ricerca sopra la tabella delle interfacce di rete, digitare il nome del cluster, quindi premere Invio. Questo limita il numero di interfacce di rete visualizzate nella tabella a quelle associate al cluster.

6. Selezionare la casella di controllo all'inizio della riga corrispondente alla prima interfaccia di rete nell'elenco.

7. Nel riquadro dei dettagli nella parte inferiore della pagina, cercare Primary private IPv4 IP (IP privato primario IPv4). Se questo indirizzo IP corrisponde a uno degli indirizzi IP ottenuti nel primo passaggio di questa procedura, significa che l'interfaccia di rete è assegnata a un ZooKeeper nodo Apache che fa parte del cluster. In caso contrario, deselezionare la casella di controllo accanto a questa interfaccia di rete e selezionare l'interfaccia di rete successiva nell'elenco. L'ordine di selezione delle interfacce di rete non ha importanza. Nei passaggi successivi, eseguirai le stesse operazioni su tutte le interfacce di rete assegnate ai ZooKeeper nodi Apache, una per una.

8. Quando selezioni un'interfaccia di rete che corrisponde a un ZooKeeper nodo Apache, scegli il menu Azioni nella parte superiore della pagina, quindi scegli Cambia gruppi di sicurezza. Assegnare un nuovo gruppo di sicurezza a questa interfaccia di rete. Per ulteriori informazioni sulla creazione dei gruppi di sicurezza, consulta la pagina Creating a Security Group nella documentazione di Amazon VPC.

9. Ripeti il passaggio precedente per assegnare lo stesso nuovo gruppo di sicurezza a tutte le interfacce di rete associate ai ZooKeeper nodi Apache del cluster.

10. È ora possibile scegliere chi dispone dell'accesso a questo nuovo gruppo di sicurezza. Per informazioni sull'impostazione delle regole dei gruppi di sicurezza, consulta la pagina Adding, Removing, and Updating Rules nella documentazione di Amazon VPC.

Utilizzo della sicurezza TLS con Apache ZooKeeper

Puoi utilizzare la sicurezza TLS per la crittografia in transito tra i tuoi client e i tuoi nodi Apache. ZooKeeper Per implementare la sicurezza TLS con i tuoi ZooKeeper nodi Apache, procedi come segue:

• I cluster devono utilizzare Apache Kafka versione 2.5.1 o successiva per utilizzare la sicurezza TLS con Apache. ZooKeeper

• Abilita la sicurezza TLS quando crei o configuri il cluster. I cluster creati con Apache Kafka versione 2.5.1 o successiva con TLS abilitato utilizzano automaticamente la sicurezza TLS con gli endpoint Apache. ZooKeeper Per informazioni sulla configurazione della sicurezza TLS, consulta la pagina Quali sono i primi passi per iniziare a utilizzare la crittografia?.

• Recupera gli endpoint TLS Apache utilizzando l'operazione. ZooKeeper DescribeCluster

• Crea un file di ZooKeeper configurazione Apache da utilizzare con kafka-acls.shgli strumenti kafka-configs.sh and o con la shell. ZooKeeper Con ogni strumento, si utilizza il --zk-tls-config-file parametro per specificare la configurazione di Apache ZooKeeper .

  L'esempio seguente mostra un tipico file di configurazione di Apache ZooKeeper :

  zookeeper.ssl.client.enable=true
  zookeeper.clientCnxnSocket=org.apache.zookeeper.ClientCnxnSocketNetty
  zookeeper.ssl.keystore.location=kafka.jks
  zookeeper.ssl.keystore.password=test1234
  zookeeper.ssl.truststore.location=truststore.jks
  zookeeper.ssl.truststore.password=test1234

• Per altri comandi (comekafka-topics), è necessario utilizzare la variabile di KAFKA_OPTS ambiente per configurare i parametri di Apache ZooKeeper. L'esempio seguente mostra come configurare la variabile di KAFKA_OPTS ambiente per passare i ZooKeeper parametri Apache ad altri comandi:

  export KAFKA_OPTS="
  -Dzookeeper.clientCnxnSocket=org.apache.zookeeper.ClientCnxnSocketNetty 
  -Dzookeeper.client.secure=true 
  -Dzookeeper.ssl.trustStore.location=/home/ec2-user/kafka.client.truststore.jks
  -Dzookeeper.ssl.trustStore.password=changeit"
  

  Dopo aver configurato la variabile di ambiente KAFKA_OPTS, è possibile utilizzare normalmente i comandi della CLI. L'esempio seguente crea un argomento di Apache Kafka utilizzando la ZooKeeper configurazione di Apache dalla variabile di ambiente: KAFKA_OPTS

  <path-to-your-kafka-installation>/bin/kafka-topics.sh --create --zookeeper ZooKeeperTLSConnectString --replication-factor 3 --partitions 1 --topic AWSKafkaTutorialTopic

Nota

I nomi dei parametri utilizzati nel file di ZooKeeper configurazione di Apache e quelli utilizzati nella variabile di KAFKA_OPTS ambiente non sono coerenti. Presta attenzione ai nomi che usi con ciascun parametri nel file di configurazione e nella variabile di ambiente KAFKA_OPTS.

Per ulteriori informazioni sull'accesso ai ZooKeeper nodi Apache con TLS, vedi KIP-515: Abilita il client ZK a usare la nuova autenticazione supportata da TLS.