Ssl
如何使用公共介面實現安全的 kafka 環境?
場景:使用 SSL 加密和 SASL/PLAIN 身份驗證保護的 Kafka 集群位於專用 VPC 內的 AWS 私有子網中。在私有子網內,一切都很好。我使用自行生成的 CA 和密鑰來保護通信,主機身份基於 AWS 內部 DNS。
我想要實現的目標:有可能從外部訪問生產者 API(而不是REST API)。
我正在為密鑰、DNS、kafka 偵聽器的組合以及從生產者到代理的永久連接可能不是我用來啟動連接的那個事實而苦苦掙扎。
多次嘗試使用反向代理失敗 - 由於無法解析密鑰,即使 ssh 隧道也無法工作。
對於這種情況,有人有一種參考架構嗎?我在這裡省略了配置細節,因為它在不同的配置、鍵等中分佈得太多,但如果需要,我可以提供我的設置。
好的,我找到了一個解決方案 - 可能不是最有效的,但對我來說很好。我在三個代理前面實現了三個 4 級負載均衡器,並使用負載均衡器之一配置了每個代理的 advanced_listener 地址。就像一個魅力 - 即使它相對昂貴並且在一定程度上限制了流量。