Innihald fela sig
1 Juniper NETWORKS streymi API hugbúnaður
2 Upplýsingar um vöru
3 Inngangur
4 Opnun Kafka fyrir utanaðkomandi gestgjafa
5 Að setja upp aðgangsstýringarlista (ACL)
5.1 ### ACLs færslur fyrir nafnlausa notendur /usr/lib/kafka/bin/kafka-acls.sh \
5.2 ### ACLs færslur fyrir utanaðkomandi notendur /usr/lib/kafka/bin/kafka-acls.sh \
6 Staðfesta tengingu við ytri viðskiptavini
7 Viðauki
8 Notkun streymis API
9 Skjöl / auðlindir
9.1 Heimildir

Juniper-merki

Juniper NETWORKS streymi API hugbúnaðurJuniper-NETWORKS-Streaming-API-Software-vara

Upplýsingar um vöru

Tæknilýsing

  • Vöruheiti: Paragon Active Assurance
  • Útgáfa: 4.1
  • Útgáfudagur: 2023-03-15

Inngangur:
Þessi handbók veitir leiðbeiningar um hvernig á að vinna út gögn úr Paragon Active Assurance með því að nota streymisforritaskil vörunnar. Straumbiðlarinn og API eru innifalin í Paragon Active Assurance uppsetningunni, en nokkrar stillingar eru nauðsynlegar áður en API er notað. Farið er yfir stillingarferlið í hlutanum „Stilling streymisforritaskila“.

Stilla streymi API:
Eftirfarandi skref lýsa ferlinu til að stilla streymis-API:

Yfirview
Kafka er viðburðastraumsvettvangur hannaður fyrir rauntíma handtöku og geymslu gagna frá ýmsum aðilum. Það gerir kleift að stjórna viðburðastraumum á dreifðan, stigstærðan, bilanaþolinn og öruggan hátt. Þessi handbók leggur áherslu á að stilla Kafka til að nota Streaming API eiginleikann í Paragon Active Assurance Control Center.

Hugtök
Streaming API gerir ytri viðskiptavinum kleift að sækja mælikvarðaupplýsingar frá Kafka. Mælingar sem prófunaraðilar safna við prófun eða eftirlitsverkefni eru sendar til Stream þjónustunnar. Eftir vinnslu birtir Stream þjónustan þessar mælingar á Kafka ásamt viðbótarlýsigögnum.

Kafka efni
Streaming API notar Kafka efni til að skipuleggja og geyma mælikvarða og lýsigögn. Kafka efni er hægt að búa til og stjórna í samræmi við sérstakar kröfur.

Virkja streymi API
Til að virkja streymi API skaltu fylgja þessum skrefum:

  1. Keyrðu eftirfarandi skipanir á Control Center þjóninum með sudo:
KAFKA_METRICS_ENABLED = True sudo ncc þjónustur virkja tímamældar b mælingar sudo ncc þjónustur hefja tímaskalaða mælikvarða sudo ncc þjónustu endurræsa

Staðfesta að streymi API virki í stjórnstöð:
Til að staðfesta að þú sért að fá mælikvarða um rétt Kafka efni:

  1. Settu upp kafkacat tólið með eftirfarandi skipunum:
    sudo apt-get uppfærsla
    sudo apt-get install kafkacat
  1. Skiptu út "myaccount" með stuttu nafni reikningsins þíns í
    Stjórnstöð URL:
    flytja METRICS_TOPIC=paa.public.accounts.myaccount.metrics
    flytja út METADATA_TOPIC=paa.public.accounts.myaccount.lýsigögn
  1. Keyra eftirfarandi skipun til að view mæligildi:
    kafkacat -b ${KAFKA_FQDN}:9092 -t ${METRICS_TOPIC} -C -e
    Athugið: Skipunin hér að ofan mun sýna mælingarnar.
  2. Til view lýsigögn, keyrðu eftirfarandi skipun:
    kafkacat -b ${KAFKA_FQDN}:9092 -t ${METADATA_TOPIC} -C -e

Athugið: Skipunin hér að ofan mun birta lýsigögn, en hún mun ekki uppfæra eins oft.

Viðskiptavinur Examples
Fyrir viðskiptavin fyrrvamples og frekari upplýsingar, sjá síðu 14 í notendahandbókinni.

Algengar spurningar (algengar spurningar)

  • Sp.: Hvað er Paragon Active Assurance?
    A: Paragon Active Assurance er vara sem veitir eftirlits- og prófunargetu.
  • Sp.: Hvað er streymi API?
    A: Streaming API er eiginleiki í Paragon Active Assurance sem gerir ytri viðskiptavinum kleift að sækja mælikvarðaupplýsingar frá Kafka.
  • Sp.: Hvernig kveiki ég á streymisforritaskilum?
    A: Til að virkja streymisforritaskilið skaltu fylgja skrefunum sem lýst er í hlutanum „Virkja streymisforritaskil“ í notendahandbókinni.
  • Sp.: Hvernig get ég staðfest að streymi API virki?
    Svar: Sjá hlutann „Staðfesta að streymi-forritaskilið virki í stjórnstöðinni“ til að fá leiðbeiningar um hvernig á að sannreyna virkni streymis-API.

Inngangur

Þessi handbók lýsir því hvernig á að vinna út gögn úr Paragon Active Assurance í gegnum streymis API vörunnar.
API sem og streymisbiðlarinn eru innifalin í Paragon Active Assurance uppsetningunni. Hins vegar þarf smá stillingar áður en þú getur notað API. Um þetta er fjallað í „Stilling streymisforritaskila“ á blaðsíðu 1 kafla.

Yfirview
Þessi kafli lýsir því hvernig á að stilla Streaming API til að leyfa áskrift að mæliskilaboðum í gegnum Kafka.
pr
Hér að neðan munum við fara í gegnum:

  • Hvernig á að virkja streymi API
  • Hvernig á að stilla Kafka til að hlusta á ytri viðskiptavini
  • Hvernig á að stilla Kafka til að nota ACL og setja upp SSL dulkóðun fyrir umrædda viðskiptavini

Hvað er Kafka?
Kafka er atburðarstraumsvettvangur sem gerir kleift að ná í rauntíma gögnum sem send eru frá ýmsum atburðagjöfum (skynjara, gagnagrunnum, fartækjum) í formi atburðarstrauma, auk varanlegrar geymslu á þessum atburðarstraumum til síðari endurheimtar og meðhöndlunar.
Með Kafka er hægt að stjórna straumspilun viðburða frá lokum til enda á dreifðan, mjög stigstærðan, teygjanlegan, bilanaþolinn og öruggan hátt.

ATH: Kafka er hægt að stilla á marga mismunandi vegu og var hannað fyrir sveigjanleika og óþarfa kerfi. Þetta skjal fjallar aðeins um hvernig á að stilla það til að nýta streymi API eiginleikann sem er að finna í Paragon Active Assurance Control Center. Fyrir ítarlegri uppsetningar vísum við í opinberu Kafka skjölin: kafka.apache.org/26/documentation.html.

Hugtök

  • Kafka: viðburðastraumsvettvangur.
  • Kafka efni: Safn atburða.
  • Kafka áskrifandi/neytandi: Hluti sem ber ábyrgð á að sækja atburði sem eru geymdir í Kafka efni.
  • Kafka miðlari: Geymslulagsþjónn Kafka klasa.
  • SSL/TLS: SSL er örugg samskiptaregla þróuð til að senda upplýsingar á öruggan hátt yfir internetið. TLS er arftaki SSL, kynnt árið 1999.
  • SASL: Framework sem veitir kerfi fyrir notendavottun, gagnaheilleikaathugun og dulkóðun.
  • Streaming API áskrifandi: Hluti sem ber ábyrgð á endurheimt atburða sem geymdir eru í efni sem eru skilgreind í Paragon Active Assurance og ætlað fyrir ytri aðgang.
  • Vottunarvald: Traust aðili sem gefur út og afturkallar opinber lykilskírteini.
  • Rótvottorð vottorðastofnunar: Vottorð almenningslykils sem auðkennir vottunaraðila.

Hvernig streymi API virkar
Eins og áður hefur komið fram gerir Streaming API ytri viðskiptavinum kleift að sækja upplýsingar um mælikvarða frá Kafka.

Allar mælingar sem prófunaraðilar safna við prófunar- eða vöktunarverkefni eru sendar til Stream þjónustunnar. Eftir vinnslufasa birtir Stream þjónustan þessar mælingar á Kafka ásamt viðbótarlýsigögnum.

Juniper-NETWORKS-Streaming-API-hugbúnaður- (1)

Kafka efni
Kafka hefur hugmyndina um efni sem öll gögn eru birt um. Í Paragon Active Assurance eru mörg slík Kafka efni í boði; Hins vegar er aðeins hlutmengi þeirra ætlað fyrir utanaðkomandi aðgang.
Hver Paragon Active Assurance reikningur í Control Center hefur tvö sérstök efni. Hér fyrir neðan er ACCOUNT stuttnafn reikningsins:

  • paa.public.accounts.{ACCOUNT}.mælingar
    • Öll mæliskilaboð fyrir tiltekinn reikning eru birt í þessu efni
    • Mikið magn gagna
    • Há uppfærslutíðni
  • paa.public.accounts.{ACCOUNT}.lýsigögn
    • Inniheldur lýsigögn sem tengjast mæligögnunum, tdampLátið prófið, eftirlitið eða prófunaraðilann sem tengist mæligildunum
    • Lítið magn af gögnum
    • Lág uppfærslutíðni

Virkja streymi API

ATH: Þessar leiðbeiningar á að keyra á Control Center þjóninum með sudo.

Þar sem streymisforritaskilið bætir nokkrum kostnaði við stjórnstöðina er það ekki sjálfgefið virkt. Til að virkja API verðum við fyrst að virkja birtingu mæligilda til Kafka í aðalstillingunni file:

KAFKA_METRICS_ENABLED = Rétt

VIÐVÖRUN: Að virkja þennan eiginleika gæti haft áhrif á frammistöðu stjórnstöðvarinnar. Gakktu úr skugga um að þú hafir stærð tilviksins í samræmi við það.

Næst, til að virkja áframsendingu þessara mæligilda í rétt Kafka efni:

streymi-api: satt

Til að virkja og ræsa Streaming API þjónustuna skaltu keyra:

  • sudo ncc þjónusta gerir tímamældar b mælikvarða
  • sudo ncc þjónusta byrjar tímamælikvarðab mælikvarða

Að lokum skaltu endurræsa þjónustuna:

  • sudo ncc þjónustur endurræsa

Staðfesta að streymi API virki í stjórnstöð

ATH: Þessar leiðbeiningar eiga að keyra á stjórnstöðinni.

Þú getur nú staðfest að þú sért að fá mælikvarða um rétt Kafka efni. Til að gera það skaltu setja upp kafkacat tólið:

  • sudo apt-get uppfærsla
  • sudo apt-get install kafkacat

Ef þú ert með próf eða skjá í gangi í Control Center, ættir þú að geta notað kafkacat til að fá mælikvarða og lýsigögn um þessi efni.
Skiptu um myaccount með stuttu nafni reikningsins þíns (þetta er það sem þú sérð í stjórnstöðinni þinni URL):

  • flytja METRICS_TOPIC=paa.public.accounts.myaccount.metrics
  • flytja út METADATA_TOPIC=paa.public.accounts.myaccount.lýsigögn

Þú ættir nú að sjá mælikvarða með því að keyra þessa skipun:

  • kafkacat -b ${KAFKA_FQDN}:9092 -t ${METRICS_TOPIC} -C -e

Til view lýsigögn, keyrðu eftirfarandi skipun (athugaðu að þetta uppfærist ekki eins oft):

  • kafkacat -b ${KAFKA_FQDN}:9092 -t ${METADATA_TOPIC} -C -e

ATH:
kafkacat” Viðskiptavinur Examples “á síðu 14

Þetta staðfestir að við höfum virkt streymisforritaskil innan stjórnstöðvarinnar. Hins vegar er líklegast að þú hafir áhuga á að fá aðgang að gögnunum frá utanaðkomandi viðskiptavini í staðinn. Næsti hluti lýsir því hvernig á að opna Kafka fyrir utanaðkomandi aðgang.

Opnun Kafka fyrir utanaðkomandi gestgjafa

ATH: Þessar leiðbeiningar eiga að keyra á stjórnstöðinni.

Sjálfgefið er að Kafka sem keyrir á stjórnstöðinni er stillt til að hlusta aðeins á localhost til innri notkunar. Það er hægt að opna Kafka fyrir utanaðkomandi viðskiptavini með því að breyta Kafka stillingum.

Tengist Kafka: Caveats

VARÚÐ: Vinsamlegast lestu þetta vandlega, þar sem það er auðvelt að lenda í tengingarvandamálum við Kafka ef þú hefur ekki skilið þessi hugtök.

Í uppsetningu stjórnstöðvarinnar sem lýst er í þessu skjali er aðeins einn Kafka miðlari.
Hins vegar, athugaðu að Kafka miðlari er ætlað að keyra sem hluti af Kafka þyrpingu sem getur samanstendur af mörgum Kafka miðlarum.
Þegar þú tengist Kafka miðlara er upphafstenging sett upp af Kafka viðskiptavininum. Í þessu sambandi mun Kafka miðlarinn aftur á móti skila lista yfir "auglýsta hlustendur", sem er listi yfir einn eða fleiri Kafka miðlara.
Við móttöku á þessum lista mun Kafka viðskiptavinurinn aftengjast og tengjast síðan aftur við einn af þessum auglýstu hlustendum. Auglýstir hlustendur verða að innihalda hýsingarnöfn eða IP-tölur sem Kafka biðlarinn hefur aðgang að, annars mun viðskiptavinurinn ekki tengjast.
Ef SSL dulkóðun er notuð, sem felur í sér SSL vottorð sem er tengt tilteknu hýsingarheiti, er enn mikilvægara að Kafka viðskiptavinurinn fái rétt heimilisfang til að tengjast, því annars gæti tengingunni verið hafnað.
Lestu meira um Kafka hlustendur hér: www.confluent.io/blog/kafka-listeners-explained

SSL/TLS dulkóðun
Til að ganga úr skugga um að aðeins traustir viðskiptavinir hafi aðgang að Kafka og Streaming API, verðum við að stilla eftirfarandi:

  • Auðkenning: Viðskiptavinir verða að gefa upp notandanafn og lykilorð í gegnum SSL/TLS örugga tengingu milli viðskiptavinarins og Kafka.
  • Heimild: Staðfestir viðskiptavinir geta framkvæmt verkefni sem stjórnað er af ACL.

Hér er lokiðview:

Juniper-NETWORKS-Streaming-API-hugbúnaður- (2)

*) Auðkenning notendanafns/lykilorðs framkvæmd á SSL-dulkóðri rás

Til að skilja að fullu hvernig SSL/TLS dulkóðunin virkar fyrir Kafka, vinsamlegast skoðaðu opinberu skjölin: docs.confluent.io/platform/current/kafka/encryption.html

SSL/TLS vottorð lokiðview

ATH: Í þessum undirkafla munum við nota eftirfarandi hugtök:

Vottorð: SSL vottorð undirritað af vottunaryfirvöldum (CA). Hver Kafka miðlari hefur einn.
Lyklaverslun: Lyklabúðin file sem geymir skírteinið. Lyklabúðin file inniheldur einkalykil vottorðsins; því þarf að geyma það á öruggan hátt.
Truststore: A file sem inniheldur traust CA vottorð.

Til að setja upp auðkenninguna á milli ytri biðlara og Kafka sem keyrir í Control Center verða báðar hliðar að hafa lyklageymslu skilgreint með tengdu vottorði sem er undirritað af vottunaryfirvöldum (CA) ásamt CA rótarvottorði.
Í viðbót við þetta verður viðskiptavinurinn einnig að hafa traustverslun með CA rótarvottorð.
CA rótarvottorð er sameiginlegt fyrir Kafka miðlara og Kafka viðskiptavini.

Að búa til nauðsynleg skírteini
Um þetta er fjallað í „Viðauka“ á blaðsíðu 17.

Kafka Broker SSL/TLS stillingar í stjórnstöð

ATH: Þessar leiðbeiningar eiga að keyra á stjórnstöðinni.

ATH: Áður en þú heldur áfram verður þú að búa til lyklageymsluna sem inniheldur SSL vottorðið með því að fylgja leiðbeiningunum í „Viðauka“ á síðu 17. Leiðirnar sem nefndir eru hér að neðan koma frá þessum leiðbeiningum.
SSL lyklageymsluna er a file geymt á diski með file ending .jks.

Þegar búið er að búa til nauðsynleg vottorð fyrir bæði Kafka miðlarann ​​og Kafka viðskiptavininn geturðu haldið áfram með því að stilla Kafka miðlarann ​​sem keyrir í Control Center. Þú þarft að vita eftirfarandi:

  • : Opinbert hýsingarheiti Control Center; þetta verður að vera hægt að leysa og aðgengilegt fyrir viðskiptavini Kafka.
  • : Lykilorðið fyrir lyklageymsluna sem gefið var upp þegar SSL vottorðið var búið til.
  • og : Þetta eru lykilorðin sem þú vilt stilla fyrir stjórnanda og biðlara notanda í sömu röð. Athugaðu að þú getur bætt við fleiri notendum, eins og fram kemur í frvample.

Breyttu eða bættu við (með sudo aðgangi) eiginleikum hér að neðan í /etc/kafka/server.properties, settu inn ofangreindar breytur eins og sýnt er:

VIÐVÖRUN: Ekki fjarlægja PLAINTEXT://localhost:9092; þetta mun brjóta virkni Control Center þar sem innri þjónusta mun ekki geta átt samskipti.

  • # Heimilisföngin sem Kafka-miðlarinn hlustar á.
  • listeners=PLAINTEXT://localhost:9092,SASL_SSL://0.0.0.0:9093
  • # Þetta eru gestgjafarnir sem auglýstir eru til allra viðskiptavina sem tengjast.
  • advertised.listeners=PLAINTEXT://localhost:9092,SASL_SSL:// :9093 …
  • ####### COSOM CONFIG
  • # SSL UPPSETNING
  • ssl.endpoint.identification.algorithm=
    ssl.keystore.location=/var/ssl/private/kafka.server.keystore.jks
  • ssl.keystore.password=
  • ssl.key.password=
  • ssl.client.auth=enginn
  • ssl.protocol=TLSv1.2
  • # SASL stillingar
  • sasl.enabled.mechanisms=SLÁTT
  • notendanafn = "admin" \
  • lykilorð =” ” \
  • user_admin="" ” \
  • user_client =" ”;
  • # ATH hægt er að bæta við fleiri notendum með user_ =
  • # Heimild, kveiktu á ACL
  • authorizer.class.name=kafka.security.authorizer.AclAuthorizer super.users=Notandi:admin

Að setja upp aðgangsstýringarlista (ACL)

Kveikir á ACL á localhost

VIÐVÖRUN: Við verðum fyrst að setja upp ACL fyrir localhost, svo að stjórnstöðin sjálf hafi enn aðgang að Kafka. Ef það er ekki gert munu hlutirnir brotna.

  • –authorizer kafka.security.authorizer.AclAuthorizer \
  • –authorizer-properties zookeeper.connect=localhost:2181 \
  • –add –allow-principal User:ANONYMOUS –allow-host 127.0.0.1 –cluster
  • /usr/lib/kafka/bin/kafka-acls.sh \
  • –authorizer kafka.security.authorizer.AclAuthorizer \
  • –authorizer-properties zookeeper.connect=localhost:2181 \
  • –add –allow-principal User:ANONYMOUS –allow-host 127.0.0.1 –topic '*'
  • /usr/lib/kafka/bin/kafka-acls.sh \
  • –authorizer kafka.security.authorizer.AclAuthorizer \
  • –authorizer-properties zookeeper.connect=localhost:2181 \
  • –add –allow-principal User:ANONYMOUS –allow-host 127.0.0.1 –group '*'

Við þurfum þá að virkja ACL fyrir ytri skrifvarinn aðgang, þannig að ytri notendur fái að lesa paa.public.* efnin.

### ACLs færslur fyrir nafnlausa notendur /usr/lib/kafka/bin/kafka-acls.sh \

ATH: Fyrir nákvæmari eftirlit, vinsamlegast skoðaðu opinberu Kafka skjölin.

  • –authorizer kafka.security.authorizer.AclAuthorizer \
  • –authorizer-properties zookeeper.connect=localhost:2181 \
  • –add –allow-principal Notandi:* –aðgerð lesa –aðgerð lýsa \ –hópur 'NCC'
  • /usr/lib/kafka/bin/kafka-acls.sh \
  • –authorizer kafka.security.authorizer.AclAuthorizer \
  • –authorizer-properties zookeeper.connect=localhost:2181 \
  • –add –allow-principal Notandi:* –aðgerð lesa –aðgerð lýsa \ –topic paa.public. –tilfangamynstur-gerð forskeytið

Þegar þessu er lokið þarftu að endurræsa þjónustuna:

### ACLs færslur fyrir utanaðkomandi notendur /usr/lib/kafka/bin/kafka-acls.sh \
  • sudo ncc þjónustur endurræsa

Til að staðfesta að viðskiptavinur geti komið á öruggri tengingu skaltu keyra eftirfarandi skipun á ytri
biðlaratölva (ekki á Control Center þjóninum). Hér að neðan er PUBLIC_HOSTNAME hýsingarheiti stjórnstöðvarinnar:

  • openssl s_client -debug -tengja ${PUBLIC_HOSTNAME}:9093 -tls1_2 | grep „Örugg endursamningagerð er studd“

Í skipunarúttakinu ættirðu að sjá netþjónsvottorðið sem og eftirfarandi:

  • Örugg endursemja er studd

Til að tryggja að innri þjónusta hafi verið veittur aðgangur að Kafka þjóninum, vinsamlegast athugaðu eftirfarandi annálfiles:

  • /var/log/kafka/server.log
  • /var/log/kafka/kafka-authorizer.log

Staðfesta tengingu við ytri viðskiptavini

kafkacat

ATH: Þessar leiðbeiningar eiga að keyra á biðlaratölvu (ekki á Control Center þjóninum).
ATH: Til að birta mælikvarðaupplýsingar skaltu ganga úr skugga um að að minnsta kosti einn skjár sé í gangi í Control Center.

Til að sannreyna og sannreyna tengingu sem utanaðkomandi biðlara er hægt að nota kafkacat tólið sem var sett upp í kaflanum „Staðfesta að streymi API virki í stjórnstöð“ á síðu 4.
Framkvæmdu eftirfarandi skref:

ATH: Hér að neðan er CLIENT_USER notandinn sem áður var tilgreindur í file /etc/kafka/server.properties í Control Center: nefnilega user_client og lykilorðið stillt þar.
CA rótarvottorð sem notað er til að undirrita SSL vottorð miðlarahliðar verður að vera til staðar á biðlara.

Búðu til a file client.properties með eftirfarandi efni:

  • security.protocol=SASL_SSL
  • ssl.ca.location={PATH_TO_CA_CERT}
  • sasl.mechanisms=LÉTT
  • sasl.username={CLIENT_USER}
  • sasl.password={CLIENT_PASSWORD}

hvar

  • {PATH_TO_CA_CERT} er staðsetning CA rótarvottorðsins sem Kafka miðlarinn notar
  • {CLIENT_USER} og {CLIENT_PASSWORD} eru notendaskilríki viðskiptavinarins.

Keyrðu eftirfarandi skipun til að sjá skilaboðin sem kafkacat notar:

  • flytja út KAFKA_FQDN=
  • flytja METRICS_TOPIC=paa.public.accounts. .mælingar
  • kafkacat -b ${KAFKA_FQDN}:9093 -F client.properties -t ${METRICS_TOPIC} -C -e

þar sem {METRICS_TOPIC} er nafn Kafka efnisins með forskeytinu „paa.public.“.

ATH: Eldri útgáfur af kafkacat bjóða ekki upp á -F valkostinn til að lesa biðlarastillingar frá a file. Ef þú ert að nota slíka útgáfu verður þú að gefa upp sömu stillingar frá skipanalínunni eins og sýnt er hér að neðan.

kafkacat -b ${KAFKA_FQDN}:9093 \

  • X security.protocol=SASL_SSL \
  • X ssl.ca.location={PATH_TO_CA_CERT} \
  • X sasl.mechanisms=PLAIN \
  • X sasl.username={CLIENT_USER} \
  • X sasl.password={CLIENT_PASSWORD} \
  • t ${METRICS_TOPIC} -C -e

Til að kemba tenginguna geturðu notað -d valkostinn:

Villuleita neytendasamskipti
kafkacat -d neytandi -b ${KAFKA_FQDN}:9093 -F client.properties -t ${METRICS_TOPIC} -C -e
# Villuleit samskipti miðlara
kafkacat -d miðlari -b ${KAFKA_FQDN}:9093 -F client.properties -t ${METRICS_TOPIC} -C -e

Vertu viss um að vísa í skjölin fyrir Kafka viðskiptavinasafnið sem er í notkun, þar sem eiginleikarnir geta verið frábrugðnir þeim sem eru í client.properties.

Skilaboðasnið
Skilaboðin sem notuð eru fyrir mæligildi og lýsigögn eru raðnúmeruð á sniði Protocol buffers (protobuf) (sjá developers.google.com/protocol-buffers). Skemmurnar fyrir þessi skilaboð fylgja eftirfarandi sniði:

Metrics Protobuf Schema

  • setningafræði = "proto3";
  • flytja inn „google/protobuf/timestamp.fróður“;
  • pakki paa.streamingapi;
  • option go_package = “.;paa_streamingapi”;
  • skilaboðamælingar {
  • google.protobuf.Timestamp tíminnamp = 1;
  • kort gildi = 2;
  • int32 stream_id = 3;
  • }
  • /**
  • * Mæligildi getur annað hvort verið heiltala eða fljótandi.
  • */
  • skilaboð MetricValue {
  • einn af gerðinni {
  • int64 int_val = 1;
  • fljóta flot_val = 2;
  • }
  • }

Lýsigögn Protobuf Schema

  • setningafræði = "proto3";
  • pakki paa.streamingapi;
  • option go_package = “.;paa_streamingapi”;
  • skilaboð Lýsigögn {
  • int32 stream_id = 1;
  • strengur straumsnafn = 2;
  • kort tags = 13;
  • }

Viðskiptavinur Examples

ATH: Þessum skipunum er ætlað að keyra á utanaðkomandi biðlara, tdample fartölvuna þína eða álíka, en ekki í Control Center.
ATH: Til að sýna upplýsingar um mæligildi skaltu ganga úr skugga um að að minnsta kosti einn skjár sé í gangi í stjórnstöðinni.

The Control Center tarball inniheldur skjalasafn paa-streaming-api-client-examples.tar.gz (viðskiptavinur-tdamples), sem inniheldur tdample Python forskrift sem sýnir hvernig á að nota streymi API.

Uppsetning og uppsetning viðskiptavinar Examples
Þú finnur viðskiptavin-fyrrverandiamples í Paragon Active Assurance Control Center möppunni:

  • flytja út CC_VERSION=4.1.0
  • geisladiskur ./paa-control-center_${CC_VERSION}
  • ls paa-streaming-api-client-examples*

Til að setja upp client-examples á ytri biðlaratölvunni þinni skaltu halda áfram eins og hér segir:

  • # Búðu til möppu til að draga út innihald viðskiptavinarins tdamples tarball
  • mkdir paa-streaming-api-client-examples
  • # Dragðu út innihald viðskiptavinarins tdamples tarball
  • tar xzf paa-streaming-api-client-examples.tar.gz -C paa-streaming-api-client-examples
  • # Farðu í nýstofnaða möppuna
  • cd paa-streymi-api-viðskiptavinur-examples

viðskiptavinur-fyrrverandiamples krefst Docker til að keyra. Niðurhal og uppsetningarleiðbeiningar fyrir Docker má finna á https://docs.docker.com/engine/install.

Að nota viðskiptavin Examples
Viðskiptavinurinn-fyrrverandiamples verkfæri geta keyrt í annað hvort grunn eða háþróaða ham til að byggja tdamplesefni af mismunandi flóknum hætti. Í báðum tilfellum er líka hægt að keyra fyrrverandiamples með uppsetningu file sem inniheldur viðbótareiginleika fyrir frekari aðlögun viðskiptavinarhliðar.

Grunnstilling
Í grunnham er mælingum og lýsigögnum þeirra streymt sérstaklega. Í þessu skyni hlustar viðskiptavinurinn á hvert Kafka efni sem er tiltækt fyrir utanaðkomandi aðgang og prentar einfaldlega móttekin skilaboð á stjórnborðið.
Til að hefja framkvæmd undirstöðu frvamples, keyra:

  • build.sh run-basic –kafka-miðlarar localhost:9092 –reikningur ACCOUNT_SHORTNAME

þar sem ACCOUNT_SHORTNAME er stutt heiti reikningsins sem þú vilt fá mæligildi frá.
Að slíta framkvæmd fyrrvample, ýttu á Ctrl + C. (Það gæti verið smá töf áður en keyrslan hættir vegna þess að viðskiptavinurinn bíður eftir tímamörkum.)

Háþróaður hamur

ATH: Mælingar eru aðeins birtar fyrir HTTP skjái sem keyra í Control Center.

Framkvæmd í háþróaðri stillingu sýnir fylgni milli mælikvarða og lýsigagnaskilaboða. Þetta er
mögulegt þökk sé tilvist straumauðkennisreits í hverju mæliskilaboði sem vísar til samsvarandi lýsigagnaskilaboða.
Til að framkvæma háþróaða fyrrvamples, keyra:

  • build.sh run-advanced –kafka-brokers localhost:9092 –reikningur ACCOUNT_SHORTNAME

þar sem ACCOUNT_SHORTNAME er stutt heiti reikningsins sem þú vilt fá mæligildi frá.
Að slíta framkvæmd fyrrvample, ýttu á Ctrl + C. (Það gæti verið smá töf áður en keyrslan hættir vegna þess að viðskiptavinurinn bíður eftir tímamörkum.)

Viðbótarstillingar
Það er hægt að keyra fyrrverandiamples með viðbótarstillingu biðlarans með því að nota –config-file valmöguleika og síðan a file nafn sem inniheldur eiginleika á forminu lykil=gildi.

  • build.sh run-advanced \
  • –kafka-brokers localhost:9092 \
  • –reikningur ACCOUNT_SHORTNAME \
  • –stilling-file client_config.properties

ATH: Allt files sem vísað er til í skipuninni hér að ofan verður að vera staðsett í núverandi möppu og vísað með því að nota aðeins afstæðar slóðir. Þetta á bæði við um –config-file rök og allar færslur í uppsetningunni file sem lýsa file staðsetningar.

Staðfestir ytri auðkenningu viðskiptavinar
Til að staðfesta auðkenningu viðskiptavinar utan stjórnstöðvarinnar með því að nota client-examples, framkvæma eftirfarandi skref:

Frá Paragon Active Assurance Control Center möppunni skaltu skipta yfir í paa-streaming-api-client-examples mappa:

cd paa-streymi-api-viðskiptavinur-examples

  • Afritaðu CA rótarvottorðið ca-cert inn í núverandi möppu.
  • Búðu til client.properties file með eftirfarandi innihaldi:

security.protocol=SASL_SSL ssl.ca.location=ca-cert
sasl.mechanism=LÉTT
sasl.username={CLIENT_USER}
sasl.password={CLIENT_PASSWORD}

þar sem {CLIENT_USER} og {CLIENT_PASSWORD} eru notendaskilríki viðskiptavinarins.

Keyra basic examples:

  • flytja út KAFKA_FQDN=
  • build.sh run-basic –kafka-miðlari ${KAFKA_FQDN}:9093 \
  • –reikningur ACCOUNT_SHORTNAME
  • –stilling-file viðskiptavinar.eignir

þar sem ACCOUNT_SHORTNAME er stutt heiti reikningsins sem þú vilt fá mæligildi frá.

Keyra háþróaða fyrrvamples:

  • flytja út KAFKA_FQDN=
  • build.sh run-advanced –kafka-miðlari ${KAFKA_FQDN}:9093 \
  • –reikningur ACCOUNT_SHORTNAME
  • –stilling-file viðskiptavinar.eignir

Viðauki

Í þessum viðauka lýsum við hvernig á að búa til:

  • lyklageymslu file til að geyma Kafka miðlara SSL vottorðið
  • traustabúð file til að geyma rótarvottorð vottunaryfirvalda (CA) sem notað er til að undirrita Kafka miðlaravottorð.

Að búa til Kafka miðlaraskírteini
Að búa til skírteini með því að nota alvöru vottorðastofnun (mælt með)
Mælt er með því að þú fáir alvöru SSL vottorð frá traustum CA.
Þegar þú hefur ákveðið CA, afritaðu CA rótarvottorð þeirra ca-cert file á þína eigin leið eins og sýnt er hér að neðan:

  • flytja út CA_PATH=~/my-ca
  • mkdir ${CA_PATH}
  • cp ca-cert ${CA_PATH}

Búðu til þína eigin vottorðastofnun

ATH: Venjulega ættir þú að hafa skírteinið þitt undirritað af alvöru vottunaryfirvöldum; sjá fyrri undirkafla. Það sem á eftir kemur er bara fyrrverandiample.

Hér búum við til okkar eigið rótarvottorð fyrir vottunaryfirvöld (CA). file gildir í 999 daga (ekki mælt með í framleiðslu):

  • # Búðu til möppu til að geyma CA
  • flytja út CA_PATH=~/my-ca
  • mkdir ${CA_PATH}
  • # Búðu til CA vottorðið
  • openssl req -new -x509 -keyout ${CA_PATH}/ca-key -out ${CA_PATH}/ca-cert -days 999

Að búa til Truststore viðskiptavinar
Nú geturðu búið til traustverslun file sem inniheldur ca-certið sem er búið til hér að ofan. Þetta file Kafka biðlarinn sem mun fá aðgang að streymi API þarfnast:

  • keytool -keystore kafka.client.truststore.jks \
    • öðru nafni CARoot \
    • innflutningsskírteini -file ${CA_PATH}/ca-cert

Nú þegar CA vottorðið er í truststore mun viðskiptavinurinn treysta hvaða vottorði sem er undirritað með því.
Þú ættir að afrita file kafka.client.truststore.jks á þekktan stað á biðlaratölvunni þinni og bentu á hana í stillingunum.

Að búa til Keystore fyrir Kafka miðlarann
Til að búa til Kafka miðlara SSL vottorðið og síðan lyklageymsluna kafka.server.keystore.jks skaltu halda áfram eins og hér segir:

Að búa til SSL vottorðið
Hér fyrir neðan er 999 gildisdaga lyklageymslunnar og FQDN er fullgilt lén viðskiptavinarins (opinbert hýsingarnafn hnútsins).

ATH: Það er mikilvægt að FQDN samsvari nákvæmlega hýsingarheitinu sem Kafka viðskiptavinurinn mun nota til að tengjast stjórnstöðinni.

  • sudo mkdir -p /var/ssl/private
  • sudo chown -R $USER: /var/ssl/private
  • cd /var/ssl/private
  • flytja út FQDN= keytool -keystore kafka.server.keystore.jks \
  • – alias server \
  • – gildistími 999 \
  • – genkey -keyalg RSA -ext SAN=dns:${FQDN}

Búðu til beiðni um undirritun vottorðs og geymdu hana í file nefndur cert-server-request:

  • keytool -keystore kafka.server.keystore.jks \
    • – alias server \
    • – vottun \
    • – file vottorðsþjónn-beiðni

Þú ættir nú að senda file cert-server-beiðni til vottunaryfirvalda (CA) ef þú ert að nota alvöru. Þeir munu síðan skila undirrituðu skírteini. Við munum vísa til þessa sem cert-server-undirritaðs hér að neðan.

Undirritun á SSL vottorðinu með því að nota sjálfbúið CA vottorð

ATH: Aftur, ekki er mælt með því að nota eigin CA í framleiðslukerfi.

Skrifaðu undir vottorðið með því að nota CA með því að nota file cert-server-request, sem framleiðir undirritaða vottorðið cert-server-signed. Sjá fyrir neðan; ca-lykilorð er lykilorðið sem er stillt þegar CA vottorðið er búið til.

  • cd /var/ssl/private openssl x509 -req \
    • – CA ${CA_PATH}/ca-cert \
    • – CAkey ${CA_PATH}/ca-key \
    • – í cert-server-request \
    • – út vottunarþjónn-undirritaður \
    • – dagar 999 -CAcreateserial \
    • – passin pass:{ca-password}

Flytur undirritaða skírteinið inn í lyklageymsluna

Flyttu inn ca-cert rótarvottorðið í lyklageymsluna:

  • keytool -keystore kafka.server.keystore.jks \
    • – öðru nafni ca-cert \
    • – flytja inn \
    • – file ${CA_PATH}/ca-cert

Flyttu inn undirritaða vottorðið sem vísað er til sem cert-server-signed:

  • keytool -keystore kafka.server.keystore.jks \
    • – alias server \
    • – flytja inn \
    • – file cert-server-undirritaður

The file kafka.server.keystore.jks ætti að afrita á þekktan stað á Control Center þjóninum og síðan vísað til í /etc/kafka/server.properties.

Notkun streymis API

Í ÞESSUM KAFLI

  • Almennt | 20
  • Kafka efnisnöfn | 21
  • Examples af því að nota streymisforritaskilið | 21

Almennt
Straumspilunarforritið sækir bæði prófunar- og eftirlitsgögn. Ekki er hægt að taka einn af þessum flokkum sérstaklega fram.
Straumspilunarforritið sækir ekki gögn úr prófunum sem byggjast á handriti (þau sem eru táknuð með rétthyrningi í stað púsluspils í GUI Control Center), svo sem virkjunarprófanir á Ethernet þjónustu og gagnsæisprófum.

Kafka efnisnöfn
Kafka efnisnöfnin fyrir streymisforritaskilin eru sem hér segir, þar sem %s er stutt heiti stjórnstöðvarreikningsins (gefið fram þegar reikningurinn er stofnaður):

  • const (
  • exporterName = “kafka”
  • metadataTopicTpl = „paa.public.accounts.%s.metadata“ metricsTopicTpl = „paa.public.accounts.%s.metrics“)

Examples af því að nota streymisforritaskilið
Fyrrverandiamplesin sem fylgja eru að finna í tarball paa-streaming-api-client-examples.tar.gz sem er í Tarball Control Center.
Í fyrsta lagi er undirstöðu tdampLeið sem sýnir hvernig mælingum og lýsigögnum þeirra er streymt sérstaklega og einfaldlega prenta mótteknu skilaboðin á stjórnborðið. Þú getur keyrt það sem hér segir:

  • sudo ./build.sh run-basic –kafka-miðlarar localhost:9092 –reikningur ACCOUNT_SHORTNAME

Það er líka fullkomnari fyrrverandiample þar sem mæligildi og lýsigagnaskilaboð eru tengd. Notaðu þessa skipun til að keyra hana:

  • sudo ./build.sh run-advanced –kafka-brokers localhost:9092 –reikningur ACCOUNT_SHORTNAME

Þú þarft að nota sudo til að keyra Docker skipanir eins og þær hér að ofan. Valfrjálst geturðu fylgt Linux skrefunum eftir uppsetningu til að geta keyrt Docker skipanir án sudo. Fyrir frekari upplýsingar, farðu á docs.docker.com/engine/install/linux-postinstall.

Juniper Networks, Juniper Networks lógóið, Juniper og Junos eru skráð vörumerki Juniper Networks, Inc. í Bandaríkjunum og öðrum löndum. Öll önnur vörumerki, þjónustumerki, skráð merki eða skráð þjónustumerki eru eign viðkomandi eigenda. Juniper Networks tekur enga ábyrgð á ónákvæmni í þessu skjali. Juniper Networks áskilur sér rétt til að breyta, breyta, flytja eða á annan hátt endurskoða þessa útgáfu án fyrirvara. Höfundarréttur © 2023 Juniper Networks, Inc. Allur réttur áskilinn.

Skjöl / auðlindir

Juniper NETWORKS streymi API hugbúnaður [pdfNotendahandbók
Streaming API hugbúnaður, API hugbúnaður, hugbúnaður

Heimildir

Skildu eftir athugasemd

Netfangið þitt verður ekki birt. Nauðsynlegir reitir eru merktir *