我打算部署Kafka集群。我有以下查询:
1)为了确保与Kafka经纪人的生产者和消费者沟通,可以使用SSL。如果我有一个由9个代理和3个zookeeper节点组成的集群,并且如果我不想使用自签名证书,我是否必须为每个节点购买证书(9 + 3证书,但成本太高)?
正如我所读到的那样,生产者/消费者直接联系其中一个代理节点,而没有联系zookeeper。
谢谢,
病毒
答案 0 :(得分:0)
研究" letsencrypt"。您不必为可信证书付费。您还可以将许多域/主机名组合成一个证书
答案 1 :(得分:0)
是的,您需要为集群上的每个Kafka代理节点创建证书。 因此,密钥库包含您的代理的密钥和证书,并将其导入到CA签名的信任库中。 相似的如果您在信任库上使用同一CA签署了证书,则由该CA签署的所有客户端都已经知道该证书已被授权。
此外,如果启用了ssl.client.authorize,则客户端必须具有由CA在信任库上签名的自己的密钥库(密钥+证书)
我认为动物园管理员不需要证书。