我将从我正在努力实现的目标开始讲述。所以我的设置是:
6 台运行 Ubuntu 14.04 版本的虚拟机。 - 在其中 3 个中,我设置了 Kafka,在 3 个中,我创建了 zookeeper 实例。
我开始生产和消费,一切似乎都没有问题。
现在我想使用 kafka 0.9 版本提供的 SSL 来保护设置。我只想在客户端和 kafka 代理之间设置 SSL,以便它们可以安全地通信。我遵循以下link .
我所做的唯一更改是:我用 kafka 代理的 IP 替换了本地主机,因为我有 6 个虚拟机在同一网络上运行。
我遇到问题的地方是在我运行以下命令时生成证书之后:
openssl s_client -debug -connect localhost:9093 -tls1
我收到消息连接:
Connection refused connect:errno=111
我不知道如何处理这个问题。我尝试通过谷歌搜索文档,但什么也找不到。
还有一些建议什么是理想的安全设置,我的要求是我只需要 kafka 客户端和代理之间的安全通信,我不需要担心 kafka 到 kafka 和 kafka 到 zookeeper 的通信。
请帮忙, Vishesh。
最佳答案
经过几次尝试和一些同事的帮助,我能够让整个设置在 9093 端口上正常工作。
问题出在证书签名上。因为我有 3 个 kafka 经纪人,所以我创建了 3 个不同的 CA 来签署错误的证书。
需要做的是您需要让所有代理和客户端的证书都由同一个 CA 签名,或者如果您有不同的证书或者您计划为您需要的代理使用不同的证书签署所有其他 CA 的根 CA。
您可以在此处的信任层次结构中阅读更多相关信息:- https://msdn.microsoft.com/en-us/library/windows/desktop/aa382479(v=vs.85).aspx
因此,如果您已在一个代理用户中完成设置,则在所有其他代理和客户端中使用相同的 ca-cert 文件来签署证书,它将起作用。!!
关于security - Kafka SSL 安全设置导致问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35653128/