Cynnwys cuddio
1 Juniper NETWORKS Ffrydio API Meddalwedd
2 Gwybodaeth Cynnyrch
3 Rhagymadrodd
4 Agor Kafka ar gyfer Gwesteiwyr Allanol
5 Sefydlu Rhestrau Rheoli Mynediad (ACLs)
5.1 ### Cofnodion ACLs ar gyfer defnyddwyr dienw /usr/lib/kafka/bin/kafka-acls.sh \
5.2 ### Cofnodion ACLs ar gyfer defnyddwyr allanol /usr/lib/kafka/bin/kafka-acls.sh \
6 Dilysu Cysylltedd Cleient Allanol
7 Atodiad
8 Gan ddefnyddio'r API Ffrydio
9 Dogfennau / Adnoddau
9.1 Cyfeiriadau

Juniper-logo

Juniper NETWORKS Ffrydio API MeddalweddJuniper-RhWYDWEITHIAU-Ffrydio-API-Meddalwedd-cynnyrch

Gwybodaeth Cynnyrch

Manylebau

  • Enw'r Cynnyrch: Sicrwydd Gweithredol Paragon
  • Fersiwn: 4.1
  • Dyddiad cyhoeddi: 2023-03-15

Cyflwyniad:
Mae'r canllaw hwn yn rhoi cyfarwyddiadau ar sut i dynnu data o Paragon Active Assurance gan ddefnyddio API ffrydio'r cynnyrch. Mae'r cleient ffrydio a'r API wedi'u cynnwys yn y gosodiad Paragon Active Assurance, ond mae angen rhywfaint o gyfluniad cyn defnyddio'r API. Ymdrinnir â'r broses ffurfweddu yn yr adran “Ffurfweddu'r API Ffrydio”.

Ffurfweddu'r API Ffrydio:
Mae'r camau canlynol yn amlinellu'r broses i ffurfweddu'r API ffrydio:

Drosoddview
Mae Kafka yn blatfform ffrydio digwyddiadau sydd wedi'i gynllunio ar gyfer dal a storio data amser real o amrywiol ffynonellau. Mae'n galluogi rheoli ffrydiau digwyddiadau mewn modd gwasgaredig, graddadwy, goddefgar a diogel. Mae'r canllaw hwn yn canolbwyntio ar ffurfweddu Kafka i ddefnyddio'r nodwedd Ffrydio API yng Nghanolfan Rheoli Sicrwydd Gweithredol Paragon.

Terminoleg
Mae'r API Ffrydio yn caniatáu i gleientiaid allanol adalw gwybodaeth metrigau o Kafka. Anfonir metrigau a gesglir gan yr Asiantau Prawf yn ystod prawf neu dasg fonitro i wasanaeth Stream. Ar ôl prosesu, mae gwasanaeth Stream yn cyhoeddi'r metrigau hyn ar Kafka ynghyd â metadata ychwanegol.

Pynciau Kafka
Mae'r API Ffrydio yn defnyddio pynciau Kafka i drefnu a storio metrigau a metadata. Gellir creu a rheoli pynciau Kafka yn unol â gofynion penodol.

Galluogi'r API Ffrydio
I alluogi'r API Ffrydio, dilynwch y camau hyn:

  1. Rhedeg y gorchmynion canlynol ar weinydd y Ganolfan Reoli gan ddefnyddio sudo:
KAFKA_METRICS_ENABLED = Mae gwasanaethau ncc gwir sudo yn galluogi metrics amserlennu gwasanaethau sudo ncc dechrau amserlen amser metrics sudo ncc gwasanaethau ailgychwyn

Gwirio Bod yr API Ffrydio'n Gweithio yn y Ganolfan Reoli:
I wirio eich bod yn derbyn metrigau ar y pynciau Kafka cywir:

  1. Gosodwch y cyfleustodau kafkacat gyda'r gorchmynion canlynol:
    sudo apt-get update
    sudo apt-get install kafkacat
  1. Amnewid “fy nghyfrif” gydag enw byr eich cyfrif yn y
    Canolfan Reoli URL:
    allforio METRICS_TOPIC=paa.public.accounts.myaccount.metrics
    allforio METADATA_TOPIC=paa.public.accounts.myaccount.metadata
  1. Rhedeg y gorchymyn canlynol i view metrigau:
    kafkacat -b ${KAFKA_FQDN}:9092 -t ${METRICS_TOPIC} -C -e
    Nodyn: Bydd y gorchymyn uchod yn dangos y metrigau.
  2. I view metadata, rhedeg y gorchymyn canlynol:
    kafkacat -b ${KAFKA_FQDN}:9092 -t ${METADATA_TOPIC} -C -e

Nodyn: Bydd y gorchymyn uchod yn dangos metadata, ond ni fydd yn diweddaru mor aml.

Cleient Cynamples
Ar gyfer cleient exampa gwybodaeth bellach, cyfeiriwch at dudalen 14 y llawlyfr defnyddiwr.

FAQ (Cwestiynau Cyffredin)

  • C: Beth yw Sicrwydd Gweithredol Paragon?
    A: Mae Paragon Active Assurance yn gynnyrch sy'n darparu galluoedd monitro a phrofi.
  • C: Beth yw'r API Ffrydio?
    A: Mae'r API Ffrydio yn nodwedd yn Paragon Active Assurance sy'n caniatáu i gleientiaid allanol adfer gwybodaeth metrigau o Kafka.
  • C: Sut ydw i'n galluogi'r API Ffrydio?
    A: Er mwyn galluogi'r API Ffrydio, dilynwch y camau a amlinellir yn yr adran “Galluogi'r API Ffrydio” yn y llawlyfr defnyddiwr.
  • C: Sut alla i wirio bod yr API Ffrydio yn gweithio?
    A: Cyfeiriwch at yr adran “Gwirio Bod yr API Ffrydio yn Gweithio yn y Ganolfan Reoli” am gyfarwyddiadau ar sut i wirio ymarferoldeb yr API Ffrydio.

Rhagymadrodd

Mae'r canllaw hwn yn disgrifio sut i dynnu data o Paragon Active Assurance trwy API ffrydio'r cynnyrch.
Mae'r API yn ogystal â'r cleient ffrydio wedi'u cynnwys yn y gosodiad Paragon Active Assurance. Fodd bynnag, mae angen ychydig o gyfluniad cyn y gallwch ddefnyddio'r API. Ymdrinnir â hyn yn y bennod “Ffurfweddu'r API Ffrydio” ar dudalen 1.

Drosoddview
Mae'r bennod hon yn disgrifio sut i ffurfweddu'r API Ffrydio i ganiatáu tanysgrifio i negeseuon metrig trwy Kafka.
pr
Isod byddwn yn mynd trwy:

  • Sut i alluogi'r API Ffrydio
  • Sut i ffurfweddu Kafka i wrando ar gleientiaid allanol
  • Sut i ffurfweddu Kafka i ddefnyddio ACLs a sefydlu amgryptio SSL ar gyfer y cleientiaid hynny

Beth Yw Kafka?
Mae Kafka yn blatfform ffrydio digwyddiadau sy'n caniatáu cipio data amser real a anfonwyd o wahanol ffynonellau digwyddiadau (synwyryddion, cronfeydd data, dyfeisiau symudol) ar ffurf ffrydiau digwyddiadau, yn ogystal â storio'r ffrydiau digwyddiadau hyn yn barhaol i'w hadalw a'u trin yn ddiweddarach.
Gyda Kafka mae'n bosibl rheoli ffrydio'r digwyddiad o un pen i'r llall mewn modd gwasgaredig, graddadwy iawn, elastig, goddefgar a diogel.

NODYN: Gellir ffurfweddu Kafka mewn llawer o wahanol ffyrdd ac fe'i cynlluniwyd ar gyfer systemau scalability a segur. Mae'r ddogfen hon yn canolbwyntio'n unig ar sut i'w ffurfweddu i wneud defnydd o'r nodwedd Ffrydio API a geir yng Nghanolfan Rheoli Sicrwydd Gweithredol Paragon. Am setiau mwy datblygedig rydym yn cyfeirio at ddogfennaeth swyddogol Kafka: kafka.apache.org/26/documentation.html.

Terminoleg

  • Kafka: Llwyfan ffrydio digwyddiadau.
  • Kafka pwnc: Casgliad o ddigwyddiadau.
  • Tanysgrifiwr/defnyddiwr Kafka: Cydran sy'n gyfrifol am adalw digwyddiadau sydd wedi'u storio mewn pwnc Kafka.
  • Brocer Kafka: Gweinydd haen storio clwstwr Kafka.
  • SSL/TLS: Mae SSL yn brotocol diogel a ddatblygwyd ar gyfer anfon gwybodaeth yn ddiogel dros y Rhyngrwyd. TLS yw olynydd SSL, a gyflwynwyd ym 1999.
  • SASL: Fframwaith sy'n darparu mecanweithiau ar gyfer dilysu defnyddwyr, gwirio cywirdeb data, ac amgryptio.
  • Tanysgrifiwr API ffrydio: Cydran sy'n gyfrifol am adalw digwyddiadau sydd wedi'u storio mewn pynciau a ddiffinnir yn Paragon Active Assurance ac a olygir ar gyfer mynediad allanol.
  • Awdurdod Tystysgrif: endid y gellir ymddiried ynddo sy'n cyhoeddi ac yn dirymu tystysgrifau allwedd cyhoeddus.
  • Tystysgrif gwraidd Awdurdod Tystysgrif: Tystysgrif allwedd gyhoeddus sy'n dynodi Awdurdod Tystysgrif.

Sut mae'r API Ffrydio yn Gweithio
Fel y crybwyllwyd yn flaenorol, mae'r API Ffrydio yn caniatáu i gleientiaid allanol adfer gwybodaeth am fetrigau o Kafka.

Anfonir yr holl fetrigau a gesglir gan yr Asiantau Prawf yn ystod prawf neu dasg fonitro i'r gwasanaeth Stream. Ar ôl cyfnod prosesu, mae gwasanaeth Stream yn cyhoeddi'r metrigau hynny ar Kafka ynghyd â metadata ychwanegol.

Juniper-NETWORKS-Ffrydio-API-Meddalwedd- (1)

Pynciau Kafka
Mae gan Kafka y cysyniad o bynciau y cyhoeddir yr holl ddata iddynt. Yn Paragon Active Assurance mae llawer o bynciau Kafka o'r fath ar gael; fodd bynnag, dim ond is-set o'r rhain a fwriedir ar gyfer mynediad allanol.
Mae gan bob cyfrif Paragon Active Assurance yn y Ganolfan Reoli ddau bwnc penodol. Isod, CYFRIF yw enw byr y cyfrif:

  • cyfrifon.cyhoeddus.{ACCOUNT}.metreg
    • Mae'r holl negeseuon metrig ar gyfer y cyfrif a roddwyd yn cael eu cyhoeddi i'r pwnc hwn
    • Swm mawr o ddata
    • Amledd diweddaru uchel
  • paa.public.cyfrifon.{ACCOUNT}.metadata
    • Yn cynnwys metadata sy'n gysylltiedig â'r data metrigau, ar gyfer exampgyda'r prawf, monitor neu Asiant Prawf sy'n gysylltiedig â'r metrigau
    • Swm bach o ddata
    • Amlder diweddaru isel

Galluogi'r API Ffrydio

NODYN: Mae'r cyfarwyddiadau hyn i'w rhedeg ar weinydd y Ganolfan Reoli gan ddefnyddio sudo.

Gan fod yr API Ffrydio yn ychwanegu rhywfaint o orbenion i'r Ganolfan Reoli, nid yw wedi'i alluogi yn ddiofyn. Er mwyn galluogi'r API, rhaid i ni yn gyntaf alluogi cyhoeddi metrigau i Kafka yn y prif ffurfweddiad file:

KAFKA_METRICS_ENABLED = Gwir

RHYBUDD: Gallai galluogi'r nodwedd hon effeithio ar berfformiad y Ganolfan Reoli. Gwnewch yn siŵr eich bod wedi mesur eich enghraifft yn unol â hynny.

Nesaf, i alluogi anfon y metrigau hyn ymlaen i'r pynciau Kafka cywir:

ffrydio-api: gwir

I alluogi a chychwyn y gwasanaethau Ffrydio API, rhedwch:

  • Mae gwasanaethau sudo ncc yn galluogi metrigau amserlenb
  • gwasanaethau sudo ncc yn cychwyn metrigau amserlenb

Yn olaf, ailgychwynwch y gwasanaethau:

  • gwasanaethau sudo ncc yn ailgychwyn

Gwirio Bod yr API Ffrydio'n Gweithio yn y Ganolfan Reoli

NODYN: Mae'r cyfarwyddiadau hyn i'w rhedeg ar weinydd y Ganolfan Reoli.

Gallwch nawr wirio eich bod yn derbyn metrigau ar y pynciau Kafka cywir. I wneud hynny, gosodwch y cyfleustodau kafkacat:

  • sudo apt-get update
  • sudo apt-get install kafkacat

Os oes gennych brawf neu fonitor yn rhedeg yn y Ganolfan Reoli, dylech allu defnyddio kafkacat i dderbyn metrigau a metadata ar y pynciau hyn.
Amnewid fy nghyfrif gydag enw byr eich cyfrif (dyma beth welwch chi yn eich Canolfan Reoli URL):

  • allforio METRICS_TOPIC=paa.public.accounts.myaccount.metrics
  • allforio METADATA_TOPIC=paa.public.accounts.myaccount.metadata

Dylech nawr weld metrigau trwy redeg y gorchymyn hwn:

  • kafkacat -b ${KAFKA_FQDN}:9092 -t ${METRICS_TOPIC} -C -e

I view metadata, rhedeg y gorchymyn canlynol (sylwch na fydd hyn yn diweddaru mor aml):

  • kafkacat -b ${KAFKA_FQDN}:9092 -t ${METADATA_TOPIC} -C -e

NODYN:
kafkacat” Cleient Examples ”ar dudalen 14

Mae hyn yn gwirio bod gennym API Ffrydio gweithredol o'r tu mewn i'r Ganolfan Reoli. Fodd bynnag, mae'n debyg bod gennych ddiddordeb mewn cyrchu'r data gan gleient allanol yn lle hynny. Mae'r adran nesaf yn disgrifio sut i agor Kafka ar gyfer mynediad allanol.

Agor Kafka ar gyfer Gwesteiwyr Allanol

NODYN: Mae'r cyfarwyddiadau hyn i'w rhedeg ar weinydd y Ganolfan Reoli.

Yn ddiofyn, mae Kafka sy'n rhedeg ar y Ganolfan Reoli wedi'i ffurfweddu i wrando ar localhost ar gyfer defnydd mewnol yn unig. Mae'n bosibl agor Kafka ar gyfer cleientiaid allanol trwy addasu gosodiadau Kafka.

Cysylltu â Kafka: Caveats

RHYBUDD: Darllenwch hwn yn ofalus, gan ei bod yn hawdd mynd i'r afael â materion cysylltiad â Kafka os nad ydych wedi deall y cysyniadau hyn.

Yn y gosodiad Canolfan Reoli a ddisgrifir yn y ddogfen hon, dim ond un brocer Kafka sydd.
Fodd bynnag, nodwch fod brocer Kafka i fod i redeg fel rhan o glwstwr Kafka a allai gynnwys llawer o froceriaid Kafka.
Wrth gysylltu â brocer Kafka, sefydlir cysylltiad cychwynnol gan y cleient Kafka. Dros y cysylltiad hwn bydd brocer Kafka yn ei dro yn dychwelyd rhestr o “wrandäwyr a hysbysebir”, sef rhestr o un neu fwy o froceriaid Kafka.
Ar ôl derbyn y rhestr hon, bydd y cleient Kafka yn datgysylltu, yna'n ailgysylltu ag un o'r gwrandawyr hyn a hysbysebir. Rhaid i'r gwrandawyr a hysbysebir gynnwys enwau gwesteiwr neu gyfeiriadau IP sy'n hygyrch i'r cleient Kafka, neu bydd y cleient yn methu â chysylltu.
Os defnyddir amgryptio SSL, sy'n cynnwys tystysgrif SSL sydd ynghlwm wrth enw gwesteiwr penodol, mae'n bwysicach fyth bod y cleient Kafka yn derbyn y cyfeiriad cywir i gysylltu ag ef, oherwydd fel arall mae'n bosibl y bydd y cysylltiad yn cael ei wrthod.
Darllenwch fwy am wrandawyr Kafka yma: www.confluent.io/blog/kafka-listeners-explained

Amgryptio SSL/TLS
Er mwyn sicrhau mai dim ond cleientiaid dibynadwy sy'n cael mynediad i Kafka a'r API Ffrydio, rhaid i ni ffurfweddu'r canlynol:

  • Dilysu: Rhaid i gleientiaid ddarparu enw defnyddiwr a chyfrinair trwy gysylltiad diogel SSL/TLS rhwng y cleient a Kafka.
  • Awdurdodiad: Gall cleientiaid dilys gyflawni tasgau a reoleiddir gan ACLs.

Dyma drosoddview:

Juniper-NETWORKS-Ffrydio-API-Meddalwedd- (2)

*) Dilysiad enw defnyddiwr / cyfrinair wedi'i berfformio ar sianel wedi'i hamgryptio SSL

I ddeall yn llawn sut mae amgryptio SSL / TLS yn gweithio i Kafka, cyfeiriwch at y ddogfennaeth swyddogol: docs.confluent.io/platform/current/kafka/encryption.html

Tystysgrif SSL/TLS drosoddview

NODYN: Yn yr isadran hon byddwn yn defnyddio’r derminoleg ganlynol:

Tystysgrif: Tystysgrif SSL wedi'i llofnodi gan Awdurdod Tystysgrif (CA). Mae gan bob brocer Kafka un.
Storfa allweddi: Y storfa allweddi file sy'n storio'r dystysgrif. Y storfa allweddi file yn cynnwys allwedd breifat y dystysgrif; felly, mae angen ei gadw'n ddiogel.
Truststore: a file yn cynnwys y tystysgrifau CA dibynadwy.

I sefydlu'r dilysiad rhwng cleient allanol a Kafka sy'n rhedeg yn y Ganolfan Reoli, rhaid i'r ddwy ochr gael storfa allweddi wedi'i diffinio gyda thystysgrif gysylltiedig wedi'i llofnodi gan Awdurdod Tystysgrif (CA) ynghyd â thystysgrif gwraidd CA.
Yn ogystal â hyn, rhaid i'r cleient hefyd gael truststore gyda thystysgrif gwraidd CA.
Mae tystysgrif gwraidd CA yn gyffredin i frocer Kafka a chleient Kafka.

Creu'r Tystysgrifau Gofynnol
Ymdrinnir â hyn yn yr “Atodiad” ar dudalen 17.

Ffurfweddiad SSL/TLS Brocer Kafka yn y Ganolfan Reoli

NODYN: Mae'r cyfarwyddiadau hyn i'w rhedeg ar weinydd y Ganolfan Reoli.

NODYN: Cyn parhau, rhaid i chi greu'r storfa bysell sy'n cynnwys y dystysgrif SSL trwy ddilyn y cyfarwyddiadau yn yr “Atodiad” ar dudalen 17. Daw'r llwybrau a grybwyllir isod o'r cyfarwyddiadau hyn.
Mae'r storfa allweddi SSL yn a file storio ar ddisg gyda'r file estyniad .jks.

Unwaith y bydd y tystysgrifau gofynnol wedi'u creu ar gyfer y brocer Kafka a'r cleient Kafka ar gael, gallwch barhau trwy ffurfweddu'r brocer Kafka sy'n rhedeg yn y Ganolfan Reoli. Mae angen i chi wybod y canlynol:

  • : Enw gwesteiwr cyhoeddus y Ganolfan Reoli; rhaid i gleientiaid Kafka allu datrys hyn a chael mynediad ato.
  • : Y cyfrinair storfa allweddi a ddarparwyd wrth greu'r dystysgrif SSL.
  • a : Dyma'r cyfrineiriau rydych chi am eu gosod ar gyfer y gweinyddwr a'r defnyddiwr cleient yn y drefn honno. Sylwch y gallwch chi ychwanegu mwy o ddefnyddwyr, fel y nodir yn yr example.

Golygu neu atodi (gyda mynediad sudo) yr eiddo isod yn /etc/kafka/server.properties, gan fewnosod y newidynnau uchod fel y dangosir:

RHYBUDD: Peidiwch â thynnu PLAINTEXT: //localhost:9092; bydd hyn yn torri swyddogaeth y Ganolfan Reoli gan na fydd gwasanaethau mewnol yn gallu cyfathrebu.

  • # Y cyfeiriadau y mae brocer Kafka yn gwrando arnynt.
  • gwrandawyr=PLAINTEXT://localhost:9092,SASL_SSL://0.0.0.0:9093
  • # Dyma'r gwesteiwyr a hysbysebir yn ôl i unrhyw gleient sy'n cysylltu.
  • advertised.listeners=PLAINTEXT://localhost:9092,SASL_SSL:// : 9093 …
  • ####### CUSTOM CONFIG
  • # CYFUNWAD SSL
  • ssl.endpoint.identification.algorithm=
    ssl.keystore.location=/var/ssl/private/kafka.server.keystore.jks
  • ssl.keystore.password=
  • ssl.key.password=
  • ssl.client.auth=dim
  • ssl.protocol=TLSv1.2
  • # cyfluniad SASL
  • sasl.enabled.mechanisms=PLAIN
  • enw defnyddiwr = "gweinyddwr" \
  • cyfrinair =” ”
  • defnyddiwr_admin=” ”
  • defnyddiwr_client=” ”;
  • # NODWCH gellir ychwanegu mwy o ddefnyddwyr gyda user_ =
  • # Awdurdodi, trowch ACLs ymlaen
  • authorizer.class.name=kafka.security.authorizer.AclAuthorizer super.users=Defnyddiwr:gweinyddol

Sefydlu Rhestrau Rheoli Mynediad (ACLs)

Troi ACLs ymlaen ar localhost

RHYBUDD: Yn gyntaf rhaid i ni sefydlu ACLs ar gyfer localhost, fel bod y Ganolfan Reoli ei hun yn dal i allu cyrchu Kafka. Os na wneir hyn, bydd pethau'n torri.

  • -authorizer kafka.security.authorizer.AclAuthorizer \
  • -authorizer-properties zookeeper.connect=localhost: 2181 \
  • –ychwanegu –caniatáu-prif Ddefnyddiwr: ANONYMOUS –allow-host 127.0.0.1 –clwstwr
  • /usr/lib/kafka/bin/kafka-acls.sh \
  • -authorizer kafka.security.authorizer.AclAuthorizer \
  • -authorizer-properties zookeeper.connect=localhost: 2181 \
  • –ychwanegu –caniatáu-prif Ddefnyddiwr: ANONYMOUS –allow-host 127.0.0.1 –pwnc '*'
  • /usr/lib/kafka/bin/kafka-acls.sh \
  • -authorizer kafka.security.authorizer.AclAuthorizer \
  • -authorizer-properties zookeeper.connect=localhost: 2181 \
  • –ychwanegu –caniatáu-prif Ddefnyddiwr: ANONYMOUS –allow-host 127.0.0.1 –group '*'

Yna mae angen i ni alluogi ACLs ar gyfer mynediad darllen-yn-unig allanol, fel bod defnyddwyr allanol yn cael darllen y pynciau paa.public.*.

### Cofnodion ACLs ar gyfer defnyddwyr dienw /usr/lib/kafka/bin/kafka-acls.sh \

NODYN: Am reolaeth fwy manwl, cyfeiriwch at ddogfennaeth swyddogol Kafka.

  • -authorizer kafka.security.authorizer.AclAuthorizer \
  • -authorizer-properties zookeeper.connect=localhost: 2181 \
  • –ychwanegu –caniatáu-prif Ddefnyddiwr:* –gweithrediad darllen – gweithrediad disgrifio \ –group 'NCC'
  • /usr/lib/kafka/bin/kafka-acls.sh \
  • -authorizer kafka.security.authorizer.AclAuthorizer \
  • -authorizer-properties zookeeper.connect=localhost: 2181 \
  • –ychwanegu –caniatáu-prif Ddefnyddiwr:* –gweithrediad darllen –gweithrediad disgrifio \ –topic paa.public. -adnodd-patrwm-math rhagosodedig

Ar ôl gwneud hyn, mae angen i chi ailgychwyn y gwasanaethau:

### Cofnodion ACLs ar gyfer defnyddwyr allanol /usr/lib/kafka/bin/kafka-acls.sh \
  • gwasanaethau sudo ncc yn ailgychwyn

I wirio y gall cleient sefydlu cysylltiad diogel, rhedeg y gorchymyn canlynol ar allanol
cyfrifiadur cleient (nid ar weinydd y Ganolfan Reoli). Isod, PUBLIC_HOSTNAME yw enw gwesteiwr y Ganolfan Reoli:

  • openssl s_client -debug -cysylltu ${PUBLIC_HOSTNAME}:9093 -tls1_2 | grep “Cefnogir Ailnegodi Diogel”

Yn yr allbwn gorchymyn dylech weld tystysgrif y gweinydd yn ogystal â'r canlynol:

  • Cefnogir Ailnegodi Diogel IS

I sicrhau bod gwasanaethau mewnol wedi cael mynediad at y gweinydd Kafka, gwiriwch y log canlynolfiles:

  • /var/log/kafka/server.log
  • /var/log/kafka/kafka-authorizer.log

Dilysu Cysylltedd Cleient Allanol

kafkacat

NODYN: Mae'r cyfarwyddiadau hyn i'w rhedeg ar gyfrifiadur cleient (nid ar weinydd y Ganolfan Reoli).
NODYN: I arddangos gwybodaeth metrigau, sicrhewch fod o leiaf un monitor yn rhedeg yn y Ganolfan Reoli.

I wirio a dilysu cysylltedd fel cleient allanol, mae'n bosibl defnyddio'r cyfleustodau kafkacat a osodwyd yn yr adran “Gwirio Bod yr API Ffrydio yn Gweithio yn y Ganolfan Reoli” ar dudalen 4.
Perfformiwch y camau canlynol:

NODYN: Isod, CLIENT_USER yw'r defnyddiwr a nodwyd yn flaenorol yn y file /etc/kafka/server.properties yn y Ganolfan Reoli: sef, user_client a'r cyfrinair a osodwyd yno.
Rhaid i'r dystysgrif gwraidd CA a ddefnyddir i lofnodi tystysgrif SSL ochr y gweinydd fod yn bresennol ar y cleient.

Creu a file client.properties gyda'r cynnwys canlynol:

  • security.protocol=SASL_SSL
  • ssl.ca.location={PATH_TO_CA_CERT}
  • sasl.mechanisms=PLAIN
  • sasl.username={CLIENT_USER}
  • sasl.password={CLIENT_PASSWORD}

lle

  • {PATH_TO_CA_CERT} yw lleoliad y dystysgrif gwraidd CA a ddefnyddir gan y brocer Kafka
  • {CLIENT_USER} a {CLIENT_PASSWORD} yw'r manylion adnabod defnyddiwr ar gyfer y cleient.

Rhedeg y gorchymyn canlynol i weld y neges a ddefnyddir gan kafkacat:

  • allforio KAFKA_FQDN=
  • allforio METRICS_TOPIC=cyfrifon.cyhoeddus. .metreg
  • kafkacat -b ${KAFKA_FQDN}:9093 -F client.properties -t ${METRICS_TOPIC} -C -e

lle mae {METRICS_TOPIC} yn enw ar y testun Kafka gyda rhagddodiad “paa.public.”.

NODYN: Nid yw fersiynau hŷn o kafkacat yn darparu'r opsiwn -F ar gyfer darllen gosodiadau'r cleient o a file. Os ydych chi'n defnyddio fersiwn o'r fath, rhaid i chi ddarparu'r un gosodiadau o'r llinell orchymyn fel y dangosir isod.

kafkacat -b ${KAFKA_FQDN}:9093 \

  • X security.protocol=SASL_SSL \
  • X ssl.ca.location={PATH_TO_CA_CERT} \
  • X sasl.mechanisms=PLAIN \
  • X sasl.username={CLIENT_USER} \
  • X sasl.password={CLIENT_PASSWORD} \
  • t ${METRICS_TOPIC} -C -e

I ddadfygio'r cysylltedd, gallwch ddefnyddio'r opsiwn -d:

Dadfygio cyfathrebiadau defnyddwyr
kafkacat -d defnyddiwr -b ${KAFKA_FQDN}:9093 -F client.properties -t ${METRICS_TOPIC} -C -e
# Cyfathrebu brocer dadfygio
kafkacat -d brocer -b ${KAFKA_FQDN}:9093 -F client.properties -t ${METRICS_TOPIC} -C -e

Gwnewch yn siŵr eich bod yn cyfeirio at y ddogfennaeth ar gyfer llyfrgell cleientiaid Kafka a ddefnyddir, oherwydd gall yr eiddo fod yn wahanol i'r rhai mewn eiddo cleient.

Fformat Neges
Mae'r negeseuon a ddefnyddir ar gyfer y pynciau metrigau a metadata yn cael eu cyfresoli yn y fformat byfferau Protocol (protobuf) (gweler datblygwyr.google.com/protocol-buffers). Mae'r sgemâu ar gyfer y negeseuon hyn yn cadw at y fformat canlynol:

Sgema Protobuf Metrics

  • cystrawen = “proto3”;
  • mewnforio “google/protobuf/timestamp.proto”;
  • pecyn paa.streamingapi;
  • opsiwn go_package = “.;paa_streamingapi”;
  • Metrigau neges {
  • google.protobuf.Timestamp amserafamp = 1;
  • map gwerthoedd = 2;
  • int32 stream_id = 3;
  • }
  • /**
  • * Gall gwerth metrig fod naill ai'n gyfanrif neu'n fflôt.
  • */
  • neges Gwerth Metrig {
  • un o fath {
  • int64 int_val = 1;
  • arnofio float_val = 2;
  • }
  • }

Sgema Protobuf Metadata

  • cystrawen = “proto3”;
  • pecyn paa.streamingapi;
  • opsiwn go_package = “.;paa_streamingapi”;
  • Metadata neges {
  • int32 stream_id = 1;
  • string stream_name = 2;
  • map tags = 13;
  • }

Cleient Cynamples

NODYN: Bwriedir i'r gorchmynion hyn redeg ar gleient allanol, ar gyfer exampgyda'ch gliniadur neu rywbeth tebyg, ac nid yn y Ganolfan Reoli.
NODYN: Er mwyn dangos gwybodaeth metrigau, sicrhewch fod o leiaf un monitor yn rhedeg yn y Ganolfan Reoli.

Mae tarball y Ganolfan Reoli yn cynnwys yr archif paa-streaming-api-client-examples.tar.gz (cleient-examples), sy'n cynnwys example Python script yn dangos sut i ddefnyddio'r API Ffrydio.

Gosod a Ffurfweddu Cleient Examples
Rydych chi'n dod o hyd i gleient-examples yn y ffolder Paragon Active Assurance Control Center:

  • allforio CC_VERSION=4.1.0
  • cd ./paa-control-center_${CC_VERSION}
  • ls paa-ffrydio-api-cleient-examples*

I osod client-exampllai ar eich cyfrifiadur cleient allanol, ewch ymlaen fel a ganlyn:

  • # Creu cyfeiriadur ar gyfer echdynnu cynnwys y cleient examples tarball
  • mkdir paa-ffrydio-api-client-examples
  • # Tynnwch gynnwys y cleient examples tarball
  • tar xzf paa-ffrydio-api-client-examples.tar.gz -C paa-ffrydio-api-client-examples
  • # Ewch i'r cyfeiriadur newydd ei greu
  • cd paa-ffrydio-api-client-examples

cleient-examples yn ei gwneud yn ofynnol i Docker redeg. Gellir dod o hyd i gyfarwyddiadau lawrlwytho a gosod Docker yn https://docs.docker.com/engine/install.

Gan ddefnyddio Cleient Examples
Mae'r cleient-exampGall les offer redeg naill ai yn y modd sylfaenol neu uwch i adeiladu exampllai o gymhlethdod amrywiol. Yn y ddau achos, mae hefyd yn bosibl rhedeg yr examplai gyda chyfluniad file yn cynnwys eiddo ychwanegol ar gyfer addasu ochr y cleient ymhellach.

Modd Sylfaenol
Yn y modd sylfaenol, mae'r metrigau a'u metadata yn cael eu ffrydio ar wahân. I'r perwyl hwn, mae'r cleient yn gwrando ar bob pwnc Kafka sydd ar gael ar gyfer mynediad allanol ac yn syml yn argraffu'r negeseuon a dderbyniwyd i'r consol.
I ddechrau gweithredu'r cyn sylfaenolamples, rhedeg:

  • build.sh rhedeg-sylfaenol –kafka-brokers localhost:9092 –cyfrif ACCOUNT_SHORTNAME

lle ACCOUNT_SHORTNAME yw enw byr y cyfrif rydych am gael y metrigau ohono.
I derfynu dienyddiad y cynample, pwyswch Ctrl + C. (Efallai y bydd ychydig o oedi cyn i'r gweithredu ddod i ben oherwydd bod y cleient yn aros am ddigwyddiad terfyn amser.)

Modd Uwch

NODYN: Mae metrigau'n cael eu harddangos ar gyfer monitorau HTTP sy'n rhedeg yn y Ganolfan Reoli yn unig.

Mae gweithredu mewn modd uwch yn dangos y gydberthynas rhwng metrigau a negeseuon metadata. Dyma
yn bosibl diolch i bresenoldeb maes id ffrwd ym mhob neges metrig sy'n cyfeirio at y neges metadata cyfatebol.
I weithredu'r uwch gynamples, rhedeg:

  • build.sh rhedeg uwch -kafka-brokers localhost: 9092 -cyfrif ACCOUNT_SHORTNAME

lle ACCOUNT_SHORTNAME yw enw byr y cyfrif rydych am gael y metrigau ohono.
I derfynu dienyddiad y cynample, pwyswch Ctrl + C. (Efallai y bydd ychydig o oedi cyn i'r gweithredu ddod i ben oherwydd bod y cleient yn aros am ddigwyddiad terfyn amser.)

Gosodiadau Ychwanegol
Mae'n bosibl rhedeg yr exampllai gyda chyfluniad ychwanegol y cleient gan ddefnyddio'r -config-file opsiwn wedi'i ddilyn gan a file enw sy'n cynnwys priodweddau yn y ffurf allwedd = gwerth.

  • build.sh rhedeg-uwch \
  • -kafka-broceriaid localhost:9092
  • –cyfrif ACCOUNT_SHORTNAME \
  • -ffurfwedd-file client_config.properties

NODYN: i gyd filerhaid lleoli s y cyfeirir ato yn y gorchymyn uchod yn y cyfeiriadur cyfredol a'i gyfeirio gan ddefnyddio llwybrau cymharol yn unig. Mae hyn yn berthnasol i'r ddau i'r -config-file dadl ac i bob cofnod yn y cyfluniad file sy'n disgrifio file lleoliadau.

Dilysu Dilysiad Cleient Allanol
I ddilysu dilysiad cleient o'r tu allan i'r Ganolfan Reoli gan ddefnyddio client-example, perfformiwch y camau canlynol:

O ffolder Canolfan Rheoli Sicrwydd Gweithredol Paragon, newidiwch i'r paa-streaming-api-client-examples ffolder:

cd paa-ffrydio-api-client-examples

  • Copïwch ca-cert tystysgrif gwraidd CA i'r cyfeiriadur cyfredol.
  • Creu client.properties file gyda'r cynnwys canlynol:

security.protocol=SASL_SSL ssl.ca.location=ca-cert
sasl.mechanism=PLAIN
sasl.username={CLIENT_USER}
sasl.password={CLIENT_PASSWORD}

lle mae {CLIENT_USER} a {CLIENT_PASSWORD} yn fanylion defnyddiwr ar gyfer y cleient.

Rhedeg sylfaenol cynamples:

  • allforio KAFKA_FQDN=
  • build.sh rhedeg-sylfaenol –kafka-broceriaid ${KAFKA_FQDN}:9093 \
  • –cyfrif ACCOUNT_SHORTNAME
  • -ffurfwedd-file eiddo. cleient

lle ACCOUNT_SHORTNAME yw enw byr y cyfrif rydych am gael y metrigau ohono.

Rhedeg uwch examples:

  • allforio KAFKA_FQDN=
  • build.sh rhedeg uwch -kafka-broceriaid ${KAFKA_FQDN}:9093 \
  • –cyfrif ACCOUNT_SHORTNAME
  • -ffurfwedd-file eiddo. cleient

Atodiad

Yn yr atodiad hwn rydym yn disgrifio sut i greu:

  • storfa allweddi file am storio tystysgrif SSL brocer Kafka
  • siop ymddiriedolaeth file ar gyfer storio tystysgrif gwraidd yr Awdurdod Tystysgrif (CA) a ddefnyddir i lofnodi tystysgrif brocer Kafka.

Creu Tystysgrif Brocer Kafka
Creu Tystysgrif Gan Ddefnyddio Awdurdod Tystysgrif Go Iawn (Argymhellir)
Argymhellir eich bod yn cael tystysgrif SSL go iawn gan CA dibynadwy.
Unwaith y byddwch wedi penderfynu ar CA, copïwch eu ca-cert tystysgrif gwraidd CA file i'ch llwybr eich hun fel y dangosir isod:

  • allforio CA_PATH=~/my-ca
  • mkdir ${CA_PATH}
  • cp ca-cert ${CA_PATH}

Creu Eich Awdurdod Tystysgrif Eich Hun

NODYN: Fel arfer dylai eich tystysgrif gael ei llofnodi gan Awdurdod Tystysgrif go iawn; gweler yr isadran flaenorol. Yr hyn sy'n dilyn yw cynample.

Yma rydyn ni'n creu ein tystysgrif wreiddiau Awdurdod Tystysgrif (CA) ein hunain file yn ddilys am 999 diwrnod (heb ei argymell wrth gynhyrchu):

  • # Creu cyfeiriadur ar gyfer storio'r CA
  • allforio CA_PATH=~/my-ca
  • mkdir ${CA_PATH}
  • # Cynhyrchu'r dystysgrif CA
  • openssl req -new -x509 -keyout ${CA_PATH}/ca-key -out ${CA_PATH}/ca-cert -days 999

Creu'r Siop Ymddiriedolaeth Cleient
Nawr gallwch chi greu storfa ymddiriedolaeth file sy'n cynnwys y ca-cert a gynhyrchwyd uchod. hwn file bydd ei angen ar y cleient Kafka a fydd yn cyrchu'r API Ffrydio:

  • keytool -keystore kafka.client.truststore.jks \
    • alias CARroot \
    • tystysgrif mewnforio -file ${CA_PATH}/ca-cert

Nawr bod y dystysgrif CA yn y truststore, bydd y cleient yn ymddiried mewn unrhyw dystysgrif sydd wedi'i llofnodi ag ef.
Dylech gopïo'r file kafka.client.truststore.jks i leoliad hysbys ar eich cyfrifiadur cleient a phwyntio ato yn y gosodiadau.

Creu'r Siop Allweddi ar gyfer Brocer Kafka
I gynhyrchu tystysgrif SSL brocer Kafka ac yna'r keystore kafka.server.keystore.jks, ewch ymlaen fel a ganlyn:

Cynhyrchu Tystysgrif SSL
Isod, 999 yw nifer y dyddiau o ddilysrwydd y storfa allweddi, a FQDN yw enw parth cwbl gymwys y cleient (enw gwesteiwr cyhoeddus y nod).

NODYN: Mae'n bwysig bod y FQDN yn cyfateb i'r union enw gwesteiwr y bydd y cleient Kafka yn ei ddefnyddio i gysylltu â'r Ganolfan Reoli.

  • sudo mkdir -p /var/ssl/private
  • sudo chown -R $ USER: /var/ssl/private
  • cd /var/ssl/preifat
  • allforio FQDN= keytool -keystore kafka.server.keystore.jks \
  • – alias gweinydd \
  • – dilysrwydd 999
  • – genkey -keyalg RSA -ext SAN=dns:${FQDN}

Creu cais llofnodi tystysgrif a'i storio yn y file cert-server-cais a enwir:

  • keytool -keystore kafka.server.keystore.jks \
    • – alias gweinydd \
    • – tystysgrif \
    • – file cert-server-cais

Dylech nawr anfon y file cert-server-cais i'ch Awdurdod Tystysgrif (CA) os ydych yn defnyddio un go iawn. Yna byddant yn dychwelyd y dystysgrif wedi'i llofnodi. Byddwn yn cyfeirio at hyn fel tystysgrif wedi'i lofnodi gan weinyddwr isod.

Llofnodi'r Dystysgrif SSL Gan Ddefnyddio Tystysgrif CA Hunan-greu

NODYN: Eto, ni argymhellir defnyddio eich CA eich hun mewn system gynhyrchu.

Llofnodwch y dystysgrif gan ddefnyddio'r CA trwy gyfrwng y file cert-server-request, sy'n cynhyrchu'r dystysgrif wedi'i llofnodi cert-server-signed. Gweler isod; ca-password yw'r cyfrinair a osodwyd wrth greu'r dystysgrif CA.

  • cd /var/ssl/private openssl x509 -req \
    • – CA ${CA_PATH}/ca-cert \
    • – CAkey ${CA_PATH}/ca-key \
    • – mewn cert-server-cais \
    • – cert-server-wedi'i lofnodi \
    • – diwrnodau 999 -CAcreaterial
    • - tocyn pas: {ca-password}

Mewnforio'r Dystysgrif Wedi'i Llofnodi i'r Siop Allweddi

Mewnforio'r dystysgrif gwraidd ca-cert i'r storfa allweddi:

  • keytool -keystore kafka.server.keystore.jks \
    • – alias ca-cert \
    • – mewnforio \
    • – file ${CA_PATH}/ca-cert

Mewnforio'r dystysgrif wedi'i llofnodi y cyfeirir ati fel tystysgrif wedi'i llofnodi gan weinyddwr:

  • keytool -keystore kafka.server.keystore.jks \
    • – alias gweinydd \
    • – mewnforio \
    • – file cert-server-lofnodi

Mae'r file Dylid copïo kafka.server.keystore.jks i leoliad hysbys ar weinydd y Ganolfan Reoli, ac yna cyfeirio ato yn /etc/kafka/server.properties.

Gan ddefnyddio'r API Ffrydio

YN YR ADRAN HON

  • Cyffredinol | 20
  • Enwau Testun Kafka | 21
  • Exampllai o Defnyddio'r API Ffrydio | 21

Cyffredinol
Mae'r API ffrydio yn nôl data profi a monitro. Nid yw'n bosibl nodi un o'r categorïau hyn.
Nid yw'r API ffrydio yn nôl data o brofion seiliedig ar sgript (y rhai a gynrychiolir gan betryal yn lle darn jig-so yn GUI y Ganolfan Reoli), megis profion actifadu gwasanaeth Ethernet a phrofion tryloywder.

Enwau Testun Kafka
Mae'r enwau pwnc Kafka ar gyfer yr API ffrydio fel a ganlyn, lle mae %s yn enw byr cyfrif y Ganolfan Reoli (a nodir wrth greu'r cyfrif):

  • const (
  • allforiwrName = "kafka"
  • metadataTopicTpl = “paa.public.accounts.%s.metadata” metricsTopicTpl = “paa.public.accounts.%s.metrics”)

Exampllai o Defnyddio'r API Ffrydio
Mae'r cynampceir les sy'n dilyn yn y tarball paa-streaming-api-client-examples.tar.gz wedi'i gynnwys o fewn tarball y Ganolfan Reoli.
Yn gyntaf, mae yna gyn sylfaenolample yn dangos sut mae'r metrigau a'u metadata yn cael eu ffrydio ar wahân ac yn syml argraffu'r negeseuon a dderbyniwyd i'r consol. Gallwch ei redeg fel a ganlyn:

  • sudo ./build.sh rhedeg-sylfaenol –kafka-brokers localhost:9092 –cyfrif ACCOUNT_SHORTNAME

Mae yna hefyd gyn-fyfyriwr uwchample lle mae metrigau a negeseuon metadata yn cydberthyn. Defnyddiwch y gorchymyn hwn i'w redeg:

  • sudo ./build.sh run-advanced –kafka-brokers localhost:9092 –cyfrif ACCOUNT_SHORTNAME

Mae angen i chi ddefnyddio sudo i redeg gorchmynion Docker fel y rhai uchod. Yn ddewisol, gallwch ddilyn y camau ôl-osod Linux i allu rhedeg gorchmynion Docker heb sudo. Am fanylion, ewch i docs.docker.com/engine/install/linux-postinstall.

Mae Juniper Networks, logo Juniper Networks, Juniper, a Junos yn nodau masnach cofrestredig Juniper Networks, Inc. yn yr Unol Daleithiau a gwledydd eraill. Mae'r holl nodau masnach, nodau gwasanaeth, nodau cofrestredig, neu nodau gwasanaeth cofrestredig eraill yn eiddo i'w perchnogion priodol. Nid yw Juniper Networks yn cymryd unrhyw gyfrifoldeb am unrhyw wallau yn y ddogfen hon. Mae Juniper Networks yn cadw'r hawl i newid, addasu, trosglwyddo, neu fel arall ddiwygio'r cyhoeddiad hwn heb rybudd. Hawlfraint © 2023 Juniper Networks, Inc Cedwir pob hawl.

Dogfennau / Adnoddau

Juniper NETWORKS Ffrydio API Meddalwedd [pdfCanllaw Defnyddiwr
Ffrydio Meddalwedd API, Meddalwedd API, Meddalwedd

Cyfeiriadau

Gadael sylw

Ni fydd eich cyfeiriad e-bost yn cael ei gyhoeddi. Mae meysydd gofynnol wedi'u marcio *