Overview
En esta guía, puedes aprender cómo asegurar las comunicaciones entre tu trabajador MongoDB Kafka Connector y tu clúster de MongoDB.
Para proteger su conexión, debe realizar las siguientes tareas:
Nota
Si aloja su clúster MongoDB en MongoDB Atlas o su clúster no requiere certificados explícitamente, ya puede comunicarse de forma segura y no necesita seguir los pasos de esta guía.
Requisitos previos
Esta guía requiere conocimientos previos de los siguientes conceptos:
Almacene los certificados en el Trabajador
Almacena tus certificados en una keystore y una truststore para proteger las credenciales de tu certificado en cada servidor donde ejecutes tu instancia de trabajador de conectores.
Almacén de claves
Puedes utilizar un keystore para almacenar claves privadas y certificados de identidad. El almacén de claves utiliza la clave y el certificado para verificar la identidad del cliente ante los hosts externos.
Si tu configuración SSL/TLS requiere un certificado de cliente para conectarse a tu instancia de trabajador, genera una clave privada segura e incluye el certificado de cliente junto con la CA intermedia. Luego, almacene esta información en su almacén de claves mediante el siguiente procedimiento. openssl Comando para generar un archivo PKCS 12:
openssl pkcs12 -export -inkey <your private key> \ -in <your bundled certificate> \ -out <your output pkcs12 file>
Truststore
Puedes utilizar un almacén de confianza para almacenar certificados de una Autoridad de Certificación. El truststore utiliza los certificados para identificar a las partes en las que el cliente confía. Algunos ejemplos de estos certificados son un CA raíz, una CA intermedia y el certificado de entidad final del clúster de MongoDB.
Importe los certificados de las partes en las que confía a su almacén de confianza mediante el siguiente comando keytool:
keytool -import -trustcacerts -import -file <your root or intermediate CA>
Si tu configuración de SSL/TLS requiere el certificado de la entidad final para tu clúster de MongoDB, impórtalo en tu truststore con el siguiente comando:
keytool -import -file <your server bundled certificate> -keystore <your keystore name>
Para obtener más información sobre cómo configurar un almacén de claves y un almacén de confianza de cliente para fines de prueba,consulte Certificados de cliente OpenSSL para pruebas.
Agregar credenciales al Connector
El trabajador del conector procesa las opciones de JVM a partir de la variable de entorno KAFKA_OPTS. La variable de entorno contiene la ruta y la contraseña de tu almacén de claves y almacén de confianza.
Exporta las siguientes opciones de JVM en tu variable KAFKA_OPTS:
export KAFKA_OPTS="\ -Djavax.net.ssl.trustStore=<your path to truststore> \ -Djavax.net.ssl.trustStorePassword=<your truststore password> \ -Djavax.net.ssl.keyStore=<your path to keystore> \ -Djavax.net.ssl.keyStorePassword=<your keystore password>"
Cuando el proceso worker analiza las opciones de la JVM, el conector intenta conectarse usando el protocolo SSL/TLS y los certificados almacenados en tu keystore y truststore.