IBM Fusion CAS サービスが展開する Kafka ブローカーに接続するために、Scale 上で認証コンフィグファイルを手動で設定する。 この設定は、 IBM Fusion クラスタ毎に、全てのデータソースに対して一度行う必要があります。 また、この手順では、Scaleの管理者がコマンドを実行し、 CASが配備する Kafka にアクセスするために必要なすべての鍵と証明書を抽出する必要がある。 これらの手順は、CA証明書にアクセスするために行われるため、証明書をローテーションするたびに繰り返す必要がある。
手順
- 以下のコマンドを実行して、 CAS プロジェクトまたはネームスペースに変更します:
- 以下の extract 。
oc extract secret/kafka-cluster-ca-cert --keys=ca.crt --to=-> cluster_ca.crt
oc extract secret/cas-user --keys=user.crt --to=-> user.crt
oc extract secret/cas-user --keys=user.key --to=-> user.key
- OpenSSL ツールを使用して、 X.509 証明書ファイル (
user.crt) を Privacy Enhanced Mail (PEM) フォーマットに変換し、結果を新しいファイルに保存します。
openssl x509 -in user.crt -out user.pem -outform PEM
- 以下のコマンドを実行して、CLIENT_KEY_FILE_PASSWORDフィールドのパスワードを取得する。
oc extract secret/cas-user --keys=user.password --to=-
- 以下のフィールドを持つ設定ファイルを作成し、鍵と証明書を保存する Scale ディレクトリを指定する。
この例では、
/var/cas/ ディレクトリ内に
cas.watch.config ファイルを作成する。
vi cas.watch.config
SINK_AUTH_TYPE:CERT
CA_CERT_LOCATION:/var/cas/cluster_ca.crt
CLIENT_KEY_FILE_LOCATION:/var/cas/user.key
CLIENT_PEM_CERT_LOCATION:/var/cas/user.pem
CLIENT_KEY_FILE_PASSWORD:imr2GAkcOvC3MKvKptYLLxsmKqo9PpZj
- Scaleクラスタの各ノードで、以下のファイルをローカルのScaleディレクトリにコピーします。 この例では、
/var/cas/。
cluster_ca.crtuser.crtuser.keyuser.pemcas.watch.config
- Scale管理者として、
ibm-cas 名前空間の ConfigMap operator-config を更新し、この認証設定ファイルを指定します:
apiVersion: v1
kind: ConfigMap
metadata:
name: operator-config
namespace: ibm-cas
data:
KAFKA_AUTHEN: /var/cas/cas.watch.config
コンソールからコンフィグマップを作成する場合 OpenShift® Container Platform コンソールからコンフィグマップを作成する場合は、[ ] の順に選択します。
-
ibm-isf-cas-operator-controller-manager-XXX ポッドを再起動する。