Juniper NETWORKS Streaming API програм хангамж

Бүтээгдэхүүний мэдээлэл

Үзүүлэлтүүд

• Бүтээгдэхүүний нэр: Paragon Active Assurance
• Хувилбар: 4.1
• Нийтэлсэн огноо: 2023-03-15

Танилцуулга:
Энэхүү гарын авлага нь бүтээгдэхүүний урсгалын API-г ашиглан Paragon Active Assurance-аас өгөгдлийг хэрхэн гаргаж авах талаар зааварчилгааг өгдөг. Дамжуулах клиент болон API нь Paragon Active Assurance суулгацанд багтсан боловч API-г ашиглахын өмнө зарим тохиргоо хийх шаардлагатай. Тохиргооны процессыг "Streaming API-г тохируулах" хэсэгт тусгасан болно.

Streaming API-г тохируулах:
Дараах алхмууд нь урсгал API-г тохируулах үйл явцыг тоймлон харуулав.

Дууслааview
Кафка бол янз бүрийн эх сурвалжаас өгөгдлийг бодит цаг хугацаанд авч, хадгалахад зориулагдсан үйл явдлыг дамжуулах платформ юм. Энэ нь үйл явдлын урсгалыг тархсан, өргөтгөх боломжтой, алдаатай, аюулгүй байдлаар удирдах боломжийг олгодог. Энэхүү гарын авлага нь Paragon Active Assurance Control Center дахь Streaming API функцийг ашиглахын тулд Кафкаг тохируулахад чиглэгддэг.

Нэр томьёо
Streaming API нь гадны үйлчлүүлэгчдэд Кафкагаас хэмжүүрийн мэдээллийг авах боломжийг олгодог. Туршилт эсвэл хяналтын ажлын явцад Туршилтын агентуудын цуглуулсан хэмжигдэхүүнийг Stream үйлчилгээ рүү илгээдэг. Боловсруулсны дараа Stream үйлчилгээ эдгээр хэмжигдэхүүнийг нэмэлт мета өгөгдлийн хамт Кафка дээр нийтэлдэг.

Streaming API-г идэвхжүүлж байна
Streaming API-г идэвхжүүлэхийн тулд дараах алхмуудыг дагана уу:

1. Sudo ашиглан Control Center сервер дээр дараах тушаалуудыг ажиллуулна уу:

KAFKA_METRICS_ENABLED = Жинхэнэ sudo ncc үйлчилгээнүүд нь timescaledb хэмжүүрүүдийг идэвхжүүлдэг sudo ncc үйлчилгээнүүд нь эхлэх цагийг идэвхжүүлдэг. sudo ncc үйлчилгээг дахин эхлүүлдэг.

Streaming API нь хяналтын төвд ажиллаж байгаа эсэхийг шалгах:
Та Кафкагийн зөв сэдвээр хэмжүүр хүлээн авч байгаа эсэхийг шалгахын тулд:

1. Дараах тушаалаар kafkacat хэрэгслийг суулгана уу.
   sudo apt-get шинэчлэлт
   sudo apt-get суулгах kafkacat

2. "myaccount" гэснийг өөрийн дансны богино нэрээр солино уу
   Хяналтын төв URL:
   METRICS_TOPIC=paa.public.accounts.myaccount.meterics экспортлох
   METADATA_TOPIC=paa.public.accounts.myaccount.metadata экспортлох

3. Дараах командыг ажиллуулна уу view хэмжигдэхүүн:
   kafkacat -b ${KAFKA_FQDN}:9092 -t ${METRICS_TOPIC} -C -e
   Анхаарна уу: Дээрх тушаал нь хэмжүүрүүдийг харуулах болно.
4. руу view метадата бол дараах тушаалыг ажиллуулна:
   kafkacat -b ${KAFKA_FQDN}:9092 -t ${METADATA_TOPIC} -C -e

Анхаарна уу: Дээрх тушаал нь мета өгөгдлийг харуулах боловч байнга шинэчлэгдэхгүй.

Үйлчлүүлэгч Examples
Үйлчлүүлэгчийн хувьд өмнөхamples болон нэмэлт мэдээллийг хэрэглэгчийн гарын авлагын 14-р хуудаснаас үзнэ үү.

Түгээмэл асуултууд (Байнга асуудаг асуултууд)

• А: Paragon Active Assurance гэж юу вэ?
  Х: Paragon Active Assurance нь хяналт, туршилт хийх боломжийг олгодог бүтээгдэхүүн юм.
• Асуулт: Streaming API гэж юу вэ?
  Х: Streaming API нь Paragon Active Assurance-ийн онцлог бөгөөд гадны үйлчлүүлэгчдэд Кафкагаас хэмжүүрийн мэдээллийг авах боломжийг олгодог.
• Асуулт: Би Streaming API-г хэрхэн идэвхжүүлэх вэ?
  Х: Streaming API-г идэвхжүүлэхийн тулд хэрэглэгчийн гарын авлагын "Streaming API-г идэвхжүүлэх" хэсэгт заасан алхмуудыг дагана уу.
• Асуулт: Streaming API ажиллаж байгаа эсэхийг би хэрхэн шалгах вэ?
  Х: Урсгал API-ийн ажиллагааг хэрхэн шалгах тухай зааврыг "Удирдлагын төвд Streaming API ажиллаж байгаа эсэхийг шалгах" хэсгээс үзнэ үү.

Танилцуулга

Энэхүү гарын авлага нь Paragon Active Assurance-аас бүтээгдэхүүний стриминг API-ээр дамжуулан өгөгдлийг хэрхэн гаргаж авахыг тайлбарласан болно.
API болон стриминг клиент нь Paragon Active Assurance суулгацанд багтсан болно. Гэхдээ API ашиглахын өмнө бага зэрэг тохиргоо хийх шаардлагатай. Үүнийг 1-р хуудасны "Streaming API-г тохируулах" хэсэгт тусгасан болно.

Дууслааview
Энэ бүлэгт Кафкагаар дамжуулан хэмжүүрийн мессежийг захиалахыг зөвшөөрөхийн тулд Streaming API-г хэрхэн тохируулах талаар тайлбарласан болно.
pr
Доор бид дараахь зүйлийг хийх болно.

• Streaming API-г хэрхэн идэвхжүүлэх вэ
• Кафкаг гадны үйлчлүүлэгчдийг сонсохоор хэрхэн тохируулах вэ
• Кафкаг ACL ашиглахаар хэрхэн тохируулах, дээрх үйлчлүүлэгчдэд SSL шифрлэлтийг тохируулах

Кафка гэж юу вэ?
Кафка бол үйл явдлын урсгалын янз бүрийн эх сурвалжаас (мэдрэгч, мэдээллийн сан, хөдөлгөөнт төхөөрөмж) илгээсэн өгөгдлийг бодит цагийн агшинд үйл явдлын урсгал хэлбэрээр авах, мөн эдгээр үйл явдлын урсгалыг дараа нь олж авах, удирдах зорилгоор удаан хугацаагаар хадгалах боломжийг олгодог үйл явдлын дамжуулалтын платформ юм.
Кафкагийн тусламжтайгаар үйл явдлыг эцэс төгсгөлд нь түгээх, өргөтгөх боломжтой, уян хатан, гэмтэлд тэсвэртэй, аюулгүй байдлаар удирдах боломжтой.

ЖИЧ: Кафкаг олон янзаар тохируулж болох бөгөөд өргөтгөх чадвар болон илүүдэл системд зориулагдсан. Энэ баримт бичиг нь зөвхөн Paragon Active Assurance Control Center-ээс олдсон Streaming API функцийг ашиглахын тулд үүнийг хэрхэн тохируулахад чиглэгддэг. Илүү дэвшилтэт тохиргоог хийхийн тулд бид албан ёсны Кафка баримт бичгийг үзнэ үү: kafka.apache.org/26/documentation.html.

Нэр томьёо

• Кафка: Үйл явдал дамжуулах платформ.
• Кафкагийн сэдэв: Үйл явдлын цуглуулга.
• Кафка захиалагч/хэрэглэгч: Кафкагийн сэдэвт хадгалагдсан үйл явдлыг сэргээх үүрэгтэй бүрэлдэхүүн хэсэг.
• Кафка брокер: Кафка кластерын хадгалах давхаргын сервер.
• SSL/TLS: SSL нь мэдээллийг интернетээр найдвартай илгээхэд зориулагдсан аюулгүй протокол юм. TLS нь 1999 онд танилцуулагдсан SSL-ийн залгамжлагч юм.
• SASL: Хэрэглэгчийн баталгаажуулалт, өгөгдлийн бүрэн бүтэн байдлыг шалгах, шифрлэх механизмуудыг хангадаг хүрээ.
• Streaming API захиалагч: Paragon Active Assurance-д тодорхойлсон сэдвүүдэд хадгалагдсан үйл явдлуудыг сэргээх үүрэгтэй, гадны хандалтад зориулагдсан бүрэлдэхүүн хэсэг.
• Certificate Authority: Нийтийн түлхүүрийн гэрчилгээ олгож, хүчингүй болгодог итгэмжлэгдсэн байгууллага.
• Certificate Authority root гэрчилгээ: Гэрчилгээний эрх бүхий байгууллагыг тодорхойлсон нийтийн түлхүүрийн гэрчилгээ.

Streaming API хэрхэн ажилладаг вэ
Өмнө дурьдсанчлан Streaming API нь гадны үйлчлүүлэгчдэд Кафкагаас хэмжүүрийн талаарх мэдээллийг авах боломжийг олгодог.

Туршилт эсвэл хяналтын ажлын явцад Туршилтын агентуудын цуглуулсан бүх хэмжигдэхүүнийг Stream үйлчилгээ рүү илгээдэг. Боловсруулалтын үе шат дууссаны дараа Stream үйлчилгээ эдгээр хэмжүүрүүдийг нэмэлт мета өгөгдлийн хамт Кафка дээр нийтэлдэг.

Кафкагийн сэдвүүд
Кафка бүх мэдээлэл нийтлэгдсэн сэдвүүдийн тухай ойлголттой. Paragon Active Assurance-д ийм олон Кафка сэдвүүд байдаг; гэхдээ эдгээрийн зөвхөн нэг хэсэг нь гадаад хандалтад зориулагдсан.
Хяналтын төвийн Paragon Active Assurance данс бүр хоёр тусгай сэдэвтэй. Доор, ACCOUNT нь дансны богино нэр юм:

• paa.public.accounts.{ACCOUNT}. хэмжигдэхүүн
  • Өгөгдсөн бүртгэлийн бүх хэмжүүрийн мессежийг энэ сэдэвт нийтэлсэн
  • Их хэмжээний өгөгдөл
  • Шинэчлэлийн өндөр давтамж
• paa.public.accounts.{ACCOUNT}.метадта
  • Энэ нь хэмжигдэхүүнтэй холбоотой мета өгөгдлийг агуулдаг, жишээ ньampхэмжигдэхүүнтэй холбоотой тест, монитор эсвэл Туршилтын агент
  • Бага хэмжээний өгөгдөл
  • Бага шинэчлэх давтамж

Streaming API-г идэвхжүүлж байна

ЖИЧ: Эдгээр зааврыг sudo ашиглан Control Center сервер дээр ажиллуулна.

Streaming API нь Хяналтын төвд зарим нэмэлт зардал нэмдэг тул үүнийг анхдагчаар идэвхжүүлдэггүй. API-г идэвхжүүлэхийн тулд бид эхлээд үндсэн тохиргоонд хэмжүүрүүдийг Кафка руу нийтлэхийг идэвхжүүлэх ёстой file:

• /etc/netrounds/netrounds.conf

KAFKA_METRICS_ENABLED = Үнэн

АНХААРУУЛГА: Энэ функцийг идэвхжүүлснээр Хяналтын төвийн гүйцэтгэлд нөлөөлж болзошгүй. Та инстанцаа зохих хэмжээгээр хэмжсэн эсэхээ шалгаарай.

Дараа нь эдгээр хэмжигдэхүүнийг Кафкагийн зөв сэдэв рүү дамжуулахыг идэвхжүүлэхийн тулд:

• /etc/netrounds/metrics.yaml

streaming-api: үнэн

Streaming API үйлчилгээг идэвхжүүлж, эхлүүлэхийн тулд дараахыг ажиллуулна уу:

• sudo ncc үйлчилгээ нь timescaledb хэмжигдэхүүнийг идэвхжүүлдэг
• sudo ncc үйлчилгээ эхлэх timescaledb хэмжигдэхүүн

Эцэст нь үйлчилгээг дахин эхлүүлнэ үү:

• sudo ncc үйлчилгээг дахин эхлүүлнэ

Streaming API нь хяналтын төвд ажиллаж байгаа эсэхийг шалгаж байна

ЖИЧ: Эдгээр зааврыг Control Center сервер дээр ажиллуулах ёстой.

Та одоо Кафкагийн зөв сэдвээр хэмжүүр хүлээн авч байгаа эсэхээ шалгах боломжтой. Үүнийг хийхийн тулд kafkacat хэрэгслийг суулгана уу:

• sudo apt-get шинэчлэлт
• sudo apt-get суулгах kafkacat

Хэрэв танд хяналтын төв дээр ажиллаж байгаа тест эсвэл монитор байгаа бол эдгээр сэдвээр хэмжигдэхүүн болон мета өгөгдлийг хүлээн авахын тулд kafkacat ашиглах боломжтой байх ёстой.
Myaccount-ыг өөрийн акаунтын богино нэрээр солино уу (үүнийг Хяналтын төвөөс харж болно URL):

• METRICS_TOPIC=paa.public.accounts.myaccount.meterics экспортлох
• METADATA_TOPIC=paa.public.accounts.myaccount.metadata экспортлох

Та одоо энэ тушаалыг ажиллуулснаар хэмжүүрүүдийг харах ёстой:

• kafkacat -b ${KAFKA_FQDN}:9092 -t ${METRICS_TOPIC} -C -e

руу view мета өгөгдөлд дараах тушаалыг ажиллуулна уу (энэ нь тийм ч олон удаа шинэчлэгдэхгүй гэдгийг анхаарна уу):

• kafkacat -b ${KAFKA_FQDN}:9092 -t ${METADATA_TOPIC} -C -e

ЖИЧ:
kafkacat”Үйлчлүүлэгч Examples” 14-р хуудсанд

Энэ нь бидэнд Хяналтын төв дотроос ажиллаж байгаа Streaming API байгааг баталгаажуулж байна. Гэсэн хэдий ч, та оронд нь гадны үйлчлүүлэгчийн өгөгдөлд хандах сонирхолтой байх магадлалтай. Дараагийн хэсэгт Кафкаг гадаад хандалтад хэрхэн нээх талаар тайлбарлана.

Гадаад хостуудад Кафкаг нээж байна

ЖИЧ: Эдгээр зааврыг Control Center сервер дээр ажиллуулах ёстой.

Удирдлагын төв дээр ажилладаг Кафка нь анхдагч байдлаар дотоод хэрэглээнд зориулж зөвхөн localhost дээр сонсохоор тохируулагдсан байдаг. Кафкагийн тохиргоог өөрчилснөөр гадны үйлчлүүлэгчдэд зориулж Кафкаг нээх боломжтой.

Кафкатай холбогдох: Анхааруулга

АНХААРУУЛГА: Хэрэв та эдгээр ойлголтыг ойлгоогүй бол Кафкатай холбогдох асуудал амархан тулгардаг тул үүнийг анхааралтай уншина уу.

Энэхүү баримт бичигт тайлбарласан хяналтын төвийн тохиргоонд зөвхөн ганц Кафка брокер байдаг.
Гэсэн хэдий ч Кафка брокер нь олон Кафка брокеруудаас бүрдэх Кафка кластерын нэг хэсэг болж ажиллах зорилготой гэдгийг анхаарна уу.
Кафка брокерт холбогдох үед анхны холболтыг Кафка үйлчлүүлэгч тохируулдаг. Үүнтэй холбогдуулан Кафка брокер нь эргээд нэг буюу хэд хэдэн Кафка брокерын жагсаалт болох "сурталчилсан сонсогчдын" жагсаалтыг буцаана.
Энэ жагсаалтыг хүлээн авмагц Кафка үйлчлүүлэгч нь эдгээр сурталчилсан сонсогчдын аль нэгтэй нь холбогдож, дахин холбогдох болно. Сурталчилж буй сонсогчид нь Кафка клиентэд хандах боломжтой хостын нэр эсвэл IP хаяг агуулсан байх ёстой, эс тэгвээс үйлчлүүлэгч холбогдож чадахгүй.
Хэрэв SSL шифрлэлтийг тодорхой хостын нэртэй холбосон SSL сертификат ашиглаж байгаа бол Кафка үйлчлүүлэгч холбогдох зөв хаягийг хүлээн авах нь бүр ч чухал, эс тэгвээс холболтоос татгалзаж болзошгүй.
Кафка сонсогчдын талаар эндээс уншина уу: www.confluent.io/blog/kafka-listeners-explained

SSL/TLS шифрлэлт
Зөвхөн итгэмжлэгдсэн үйлчлүүлэгчид Кафка болон Streaming API-д хандах эрхтэй эсэхийг шалгахын тулд бид дараах тохиргоог хийх ёстой.

• Баталгаажуулалт: Үйлчлүүлэгч нь үйлчлүүлэгч болон Кафка хоёрын хооронд SSL/TLS аюулгүй холболтоор хэрэглэгчийн нэр, нууц үг оруулах ёстой.
• Зөвшөөрөл: Баталгаажсан үйлчлүүлэгчид ACL-ээр зохицуулагдсан ажлыг гүйцэтгэх боломжтой.

Энд нэг төгсгөл байнаview:

*) Хэрэглэгчийн нэр/нууц үгийн баталгаажуулалтыг SSL шифрлэгдсэн суваг дээр хийсэн

SSL/TLS шифрлэлт Кафкагийн хувьд хэрхэн ажилладагийг бүрэн ойлгохын тулд албан ёсны баримт бичгийг үзнэ үү: docs.confluent.io/platform/current/kafka/encryption.html

SSL/TLS гэрчилгээ дууссанview

ЖИЧ: Энэ дэд хэсэгт бид дараах нэр томъёог ашиглана.

Сертификат: Гэрчилгээний газар (CA) гарын үсэг зурсан SSL сертификат. Кафка брокер бүр нэгтэй.
Түлхүүрийн дэлгүүр: Түлхүүрийн дэлгүүр file Энэ нь гэрчилгээг хадгалдаг. Түлхүүрийн дэлгүүр file гэрчилгээний хувийн түлхүүрийг агуулсан; тиймээс үүнийг аюулгүй байлгах хэрэгтэй.
Truststore: А file итгэмжлэгдсэн CA сертификатуудыг агуулсан.

Хяналтын төвд ажиллаж байгаа гадаад үйлчлүүлэгч болон Кафка хоёрын хооронд нэвтрэлт танилтыг тохируулахын тулд хоёр тал нь CA эх гэрчилгээний хамт Гэрчилгээний газраас (CA) гарын үсэг зурсан холбогдох гэрчилгээгээр тодорхойлсон түлхүүр хадгалах газартай байх ёстой.
Үүнээс гадна үйлчлүүлэгч нь CA эх гэрчилгээтэй итгэмжлэгдсэн дэлгүүртэй байх ёстой.
CA эх гэрчилгээ нь Кафка брокер болон Кафка үйлчлүүлэгчийн хувьд нийтлэг байдаг.

Шаардлагатай гэрчилгээг бий болгох
Үүнийг 17-р хуудасны "Хавсралт"-т тусгасан болно.

Кафка Брокерын SSL/TLS тохиргоо нь хяналтын төвд байдаг

ЖИЧ: Эдгээр зааврыг Control Center сервер дээр ажиллуулах ёстой.

ЖИЧ: Үргэлжлүүлэхийн өмнө та 17-р хуудасны "Хавсралт"-ын зааврыг дагаж SSL сертификат агуулсан түлхүүрийн агуулахыг үүсгэх ёстой. Доор дурдсан замууд нь эдгээр заавраас ирдэг.
SSL түлхүүрийн дэлгүүр нь a file -тэй дискэн дээр хадгалагдана file өргөтгөл .jks.

Кафка брокер болон Кафка үйлчлүүлэгчийн аль алинд нь шаардлагатай гэрчилгээг бий болгосныхоо дараа та Control Center дээр ажиллаж байгаа Кафка брокерын тохиргоог үргэлжлүүлж болно. Та дараах зүйлсийг мэдэх хэрэгтэй.

• : Хяналтын төвийн нийтийн хостын нэр; Үүнийг шийдвэрлэх боломжтой бөгөөд Кафкагийн үйлчлүүлэгчид хүртээмжтэй байх ёстой.
• : SSL сертификат үүсгэх үед түлхүүр хадгалах нууц үг.
• болон : Эдгээр нь админ болон үйлчлүүлэгч хэрэглэгчдэд тус тус тохируулахыг хүсэж буй нууц үг юм. Өмнө нь заасны дагуу та илүү олон хэрэглэгч нэмж болно гэдгийг анхаарна ууample.

/etc/kafka/server.properties доторх доорх шинж чанаруудыг засварлах буюу хавсаргах (sudo хандалттай) дээрх хувьсагчдыг харуулсан шиг оруулна уу:

АНХААРУУЛГА: PLAINTEXT://localhost:9092; Дотоод үйлчилгээнүүд холбогдох боломжгүй тул энэ нь Удирдлагын төвийн үйл ажиллагааг эвдэх болно.

• …
• # Кафка брокерын сонсдог хаягууд.
• сонсогчид=PLAINTEXT://localhost:9092,SASL_SSL://0.0.0.0:9093
• # Эдгээр нь холбогдож буй аливаа үйлчлүүлэгч рүү буцаж сурталчилсан хостууд юм.
• advertised.listeners=PLAINTEXT://localhost:9092,SASL_SSL:// :9093 …
• ####### ЗАХИАЛТЫН ТОХИРУУЛГА
• # SSL ТОХИРУУЛГА
• ssl.төгсгөл.тодорхойлох.алгоритм=
  ssl.keystore.location=/var/ssl/private/kafka.server.keystore.jks
• ssl.keystore.password=
• ssl.key.password=
• ssl.client.auth=none
• ssl.protocol=TLSv1.2
• # SASL тохиргоо
• sasl.enabled.mechanisms=ЭНГИЙН
• хэрэглэгчийн нэр = "админ" \
• нууц үг=" ” \
• user_admin =" ” \
• user_client=” ”;
• # ТАЙЛБАР: хэрэглэгч_-тэй хамт олон хэрэглэгч нэмж болно =
• # Зөвшөөрөл, ACL-ийг асаана уу
• authorizer.class.name=kafka.security.authorizer.AclAuthorizer super.users=Хэрэглэгч:админ

Хандалтын хяналтын жагсаалтыг (ACL) тохируулах

Localhost дээр ACL-г асааж байна

АНХААРУУЛГА: Бид эхлээд localhost-д зориулж ACL-уудыг тохируулах ёстой, ингэснээр Хяналтын төв өөрөө Кафка руу хандах боломжтой хэвээр байна. Үүнийг хийхгүй бол бүх зүйл эвдэрнэ.

• –authorizer kafka.security.authorizer.AclAuthorizer \
• –authorizer-properties zookeeper.connect=localhost:2181 \
• –нэмэх –зөвшөөрөх-үндсэн хэрэглэгч: НЭРЭЭГҮЙ –зөвшөөрөх-хост 127.0.0.1 –кластер
• /usr/lib/kafka/bin/kafka-acls.sh \
• –authorizer kafka.security.authorizer.AclAuthorizer \
• –authorizer-properties zookeeper.connect=localhost:2181 \
• –нэмэх –зөвшөөрөх-үндсэн хэрэглэгч: НЭРЭЭГҮЙ –зөвшөөрөх-хост 127.0.0.1 – сэдэв '*'
• /usr/lib/kafka/bin/kafka-acls.sh \
• –authorizer kafka.security.authorizer.AclAuthorizer \
• –authorizer-properties zookeeper.connect=localhost:2181 \
• –нэмэх –зөвшөөрөх-үндсэн хэрэглэгч: НЭРЭЭГҮЙ –зөвшөөрөх-хост 127.0.0.1 – групп '*'

Дараа нь бид гадны хэрэглэгчдэд paa.public.* сэдвүүдийг уншихыг зөвшөөрөхийн тулд зөвхөн унших боломжтой гадаад хандалтын ACL-г идэвхжүүлэх хэрэгтэй.

### Нэргүй хэрэглэгчдэд зориулсан ACL-н оруулгууд /usr/lib/kafka/bin/kafka-acls.sh \

ЖИЧ: Илүү нарийн хяналтыг авахыг хүсвэл Кафкагийн албан ёсны баримт бичгийг үзнэ үү.

• –authorizer kafka.security.authorizer.AclAuthorizer \
• –authorizer-properties zookeeper.connect=localhost:2181 \
• –нэмэх –зөвшөөрөх-үндсэн Хэрэглэгч:* –үйлдэл унших –үйл ажиллагааны тайлбар \ –‘NCC’ бүлэг
• /usr/lib/kafka/bin/kafka-acls.sh \
• –authorizer kafka.security.authorizer.AclAuthorizer \
• –authorizer-properties zookeeper.connect=localhost:2181 \
• –add –allow-principal User:* –operation read –operation describe \ –topic paa.public. –resource-pattern-type угтвар

Үүнийг хийсний дараа та үйлчилгээг дахин эхлүүлэх хэрэгтэй:

### Гадаад хэрэглэгчдэд зориулсан ACL оруулгууд /usr/lib/kafka/bin/kafka-acls.sh \

• sudo ncc үйлчилгээг дахин эхлүүлнэ

Үйлчлүүлэгч аюулгүй холболт үүсгэж чадах эсэхийг шалгахын тулд дараах тушаалыг гадны төхөөрөмж дээр ажиллуулна уу
үйлчлүүлэгч компьютер (Хяналтын төвийн сервер дээр биш). Доорх PUBLIC_HOSTNAME нь Хяналтын төвийн хостын нэр юм:

• openssl s_client -debug -холбох ${PUBLIC_HOSTNAME}:9093 -tls1_2 | grep "Аюулгүй дахин хэлэлцээрийг дэмждэг"

Тушаалын гаралт дээр та серверийн гэрчилгээ болон дараахь зүйлийг харах ёстой.

• Аюулгүй дахин хэлэлцээрийг дэмждэг

Дотоод үйлчилгээнд Кафка серверт хандах эрх олгосон эсэхийг шалгахын тулд дараах бүртгэлийг шалгана ууfiles:

• /var/log/kafka/server.log
• /var/log/kafka/kafka-authorizer.log

Гадаад үйлчлүүлэгчийн холболтыг баталгаажуулж байна

кафкакат

ЖИЧ: Эдгээр зааврыг үйлчлүүлэгч компьютер дээр (Хяналтын төвийн сервер дээр биш) ажиллуулах ёстой.
ЖИЧ: Хэмжилтийн мэдээллийг харуулахын тулд Хяналтын төвд дор хаяж нэг монитор ажиллаж байгаа эсэхийг шалгаарай.

Гадны үйлчлүүлэгчийн холболтыг баталгаажуулах, баталгаажуулахын тулд 4-р хуудасны "Удирдлагын API нь хяналтын төвд ажиллаж байгаа эсэхийг шалгах" хэсэгт суулгасан kafkacat хэрэгслийг ашиглах боломжтой.
Дараах алхмуудыг гүйцэтгэнэ.

ЖИЧ: Доорх нь CLIENT_USER нь өмнө нь заасан хэрэглэгч юм file Хяналтын төвд байгаа /etc/kafka/server.properties: тухайлбал user_client болон тэнд тохируулсан нууц үг.
Сервер талын SSL гэрчилгээнд гарын үсэг зурахад ашигласан CA эх сертификат нь үйлчлүүлэгч дээр байх ёстой.

үүсгэх a file client.properties нь дараах агуулгатай:

• security.protocol=SASL_SSL
• ssl.ca.location={PATH_TO_CA_CERT}
• sasl.mechanisms=ЭНГИЙН
• sasl.username={CLIENT_USER}
• sasl.password={CLIENT_PASSWORD}

хаана

• {PATH_TO_CA_CERT} нь Кафка брокерын ашигладаг CA эх сертификатын байршил юм
• {CLIENT_USER} болон {CLIENT_PASSWORD} нь үйлчлүүлэгчийн хэрэглэгчийн итгэмжлэл юм.

Kafkacat-ын хэрэглэж буй мессежийг харахын тулд дараах тушаалыг ажиллуулна уу:

• KAFKA_FQDN= экспортлох
• METRICS_TOPIC=paa.public.акаунтуудыг экспортлох. . хэмжүүр
• kafkacat -b ${KAFKA_FQDN}:9093 -F client.properties -t ${METRICS_TOPIC} -C -e

Энд {METRICS_TOPIC} нь “paa.public.” угтвартай Кафка сэдвийн нэр юм.

ЖИЧ: Kafkacat-ийн хуучин хувилбарууд нь a-аас үйлчлүүлэгчийн тохиргоог уншихад зориулсан -F сонголтыг өгдөггүй file. Хэрэв та ийм хувилбарыг ашиглаж байгаа бол доор үзүүлсэнтэй ижил тохиргоог тушаалын мөрөөс оруулах ёстой.

kafkacat -b ${KAFKA_FQDN}:9093 \

• X security.protocol=SASL_SSL \
• X ssl.ca.location={PATH_TO_CA_CERT} \
• X sasl.mechanisms=ЭНГИЙН \
• X sasl.username={CLIENT_USER} \
• X sasl.password={CLIENT_PASSWORD} \
• t ${METRICS_TOPIC} -C -e

Холболтыг дибаг хийхийн тулд та -d сонголтыг ашиглаж болно:

Хэрэглэгчийн харилцаа холбоог дибаг хийх
kafkacat -d хэрэглэгч -b ${KAFKA_FQDN}:9093 -F client.properties -t ${METRICS_TOPIC} -C -e
# Брокерын харилцааг дибаг хийх
kafkacat -d брокер -b ${KAFKA_FQDN}:9093 -F client.properties -t ${METRICS_TOPIC} -C -e

Пропертиуд нь client.properties доторхоос өөр байж болох тул ашиглагдаж буй Кафкагийн үйлчлүүлэгчийн номын сангийн баримт бичгүүдийг лавлахаа мартуузай.

Мессежийн формат
Хэмжилт болон мета өгөгдлийн сэдвүүдэд ашигласан мессежүүдийг Протоколын буфер (протобуф) форматаар цуваа болгосон (харна уу). developers.google.com/protocol-buffers). Эдгээр мессежийн схемүүд дараах форматтай байна.

Metrics Protobuf схем

• синтакс = "proto3";
• импортлох "google/protobuf/timestamp.proto”;
• paa.streamgapi багц;
• сонголт go_package = “.;paa_streamgapi”;
• мессежийн хэмжүүр {
• google.protobuf.Timestamp цаг хугацааamp = 1;
• газрын зураг утгууд = 2;
• int32 stream_id = 3;
• }
• /**
• * Метрийн утга нь бүхэл тоо эсвэл хөвөгч байж болно.
• */
• MetricValue { мессеж
• нэг төрлийн {
• int64 int_val = 1;
• float float_val = 2;
• }
• }

Мета өгөгдлийн протобуф схем

• синтакс = "proto3";
• paa.streamgapi багц;
• сонголт go_package = “.;paa_streamgapi”;
• Мета өгөгдөл {
• int32 stream_id = 1;
• мөрийн урсгалын нэр = 2;
• газрын зураг tags = 13;
• }

Үйлчлүүлэгч Examples

ЖИЧ: Эдгээр тушаалууд нь гадаад клиент дээр ажиллахад зориулагдсан болно, жишээ ньampУдирдлагын төвд биш зөөврийн компьютер эсвэл үүнтэй төстэй төхөөрөмжөө суулгаарай.
ЖИЧ: Хэмжилтийн мэдээллийг харуулахын тулд хяналтын төвд дор хаяж нэг монитор ажиллаж байгаа эсэхийг шалгаарай.

Control Center tarball нь paa-streaming-api-client-ex архивыг агуулдагamples.tar.gz (үйлчлүүлэгч-examples), энэ нь ex агуулсанampStreaming API-г хэрхэн ашиглахыг харуулсан Python скрипт.

Үйлчлүүлэгчийг суулгах, тохируулах Examples
Та хуучин үйлчлүүлэгчийг олдогampParagon Active Assurance Control Center хавтсанд байгаа les:

• экспортлох CC_VERSION=4.1.0
• cd ./paa-control-center_${CC_VERSION}
• ls paa-streaming-api-client-exampЛес*

Client-ex-г суулгахын тулдamples-г гадаад клиент компьютер дээрээ суулгасан бол дараах байдлаар ажиллана уу:

• # Үйлчлүүлэгчийн агуулгыг задлах лавлах үүсгэхamples tarball
• mkdir paa-streaming-api-client-examples
• # Үйлчлүүлэгчийн агуулгыг задлах examples tarball
• tar xzf paa-streaming-api-client-examples.tar.gz -C paa-streaming-api-client-examples
• # Шинээр үүсгэсэн лавлах руу очно уу
• cd paa-streaming-api-client-examples

үйлчлүүлэгч-examples нь Docker-г ажиллуулахыг шаарддаг. Docker-ийн татаж авах болон суулгах зааврыг эндээс авах боломжтой https://docs.docker.com/engine/install.

Үйлчлүүлэгч Ex ашиглахamples
Хуучин үйлчлүүлэгчamples хэрэгслүүд нь үндсэн эсвэл нэмэлт горимд ажиллаж болноampянз бүрийн нарийн төвөгтэй байдал. Аль ч тохиолдолд эксийг ажиллуулах боломжтойampтохиргоотой les file Үйлчлүүлэгчийн талыг цаашид тохируулах нэмэлт шинж чанаруудыг агуулсан.

Үндсэн горим
Үндсэн горимд хэмжүүрүүд болон тэдгээрийн мета өгөгдлийг тусад нь дамжуулдаг. Үүний тулд үйлчлүүлэгч гадны хандалт хийх боломжтой Кафкагийн сэдэв бүрийг сонсож, хүлээн авсан мессежийг консол дээр хэвлэдэг.
Үндсэн экс гүйцэтгэлийг эхлүүлэхийн тулдamples, ажиллуулах:

• build.sh run-basic –kafka-brokers localhost:9092 – ACCOUNT_SHORTNAME данс

ACCOUNT_SHORTNAME нь таны хэмжүүр авахыг хүсэж буй бүртгэлийн товч нэр юм.
Эксийн гүйцэтгэлийг зогсоохample, Ctrl + C товчийг дарна уу. (Үйлчлүүлэгч хугацаа дуусах үйл явдлыг хүлээж байгаа тул гүйцэтгэл зогсохоос өмнө бага зэрэг саатал гарч болзошгүй.)

Нарийвчилсан горим

ЖИЧ: Хэмжигдэхүүнийг зөвхөн Control Center дээр ажиллаж байгаа HTTP мониторуудад харуулдаг.

Нарийвчилсан горимд гүйцэтгэл нь хэмжигдэхүүн болон мета өгөгдлийн мессежүүдийн хоорондын хамаарлыг харуулдаг. Энэ бол
хэмжүүрийн мессеж бүрт харгалзах мета өгөгдлийн зурваст хамаарах урсгалын id талбар байгаа тул боломжтой.
Дэвшилтэт экс гүйцэтгэхийн тулдamples, ажиллуулах:

• build.sh run-advanced –kafka-brokers localhost:9092 – ACCOUNT_SHORTNAME бүртгэл

ACCOUNT_SHORTNAME нь таны хэмжүүр авахыг хүсэж буй бүртгэлийн товч нэр юм.
Эксийн гүйцэтгэлийг зогсоохample, Ctrl + C товчийг дарна уу. (Үйлчлүүлэгч хугацаа дуусах үйл явдлыг хүлээж байгаа тул гүйцэтгэл зогсохоос өмнө бага зэрэг саатал гарч болзошгүй.)

Нэмэлт тохиргоо
Эксийг ажиллуулах боломжтойamp-config- ашиглан үйлчлүүлэгчийн нэмэлт тохиргоотой lesfile сонголтын араас a file түлхүүр=утга хэлбэрээр шинж чанаруудыг агуулсан нэр.

• build.sh run-advanced \
• – kafka-brokers localhost: 9092 \
• – ACCOUNT_SHORTNAME данс \
• -тохиргоо-file client_config.properties

ЖИЧ: Бүгд fileДээрх командын иш татсан s нь одоогийн директорт байрлах ёстой бөгөөд зөвхөн харьцангуй замуудыг ашиглан иш татсан байх ёстой. Энэ нь –config--д хоёуланд нь хамаарна.file аргумент болон тохиргооны бүх оруулгуудад file гэж тодорхойлдог file байршил.

Гадаад үйлчлүүлэгчийн баталгаажуулалтыг баталгаажуулж байна
Client-ex ашиглан хяналтын төвөөс гадуур үйлчлүүлэгчийн баталгаажуулалтыг баталгаажуулахamples, дараах алхмуудыг гүйцэтгэнэ.

Paragon Active Assurance Control Center хавтсаас paa-streaming-api-client-ex руу сэлгээрэй.amples хавтас:

cd paa-streaming-api-client-examples

• CA эх гэрчилгээг одоогийн лавлах руу хуулна уу.
• client.properties үүсгэнэ үү file дараах агуулгатай:

security.protocol=SASL_SSL ssl.ca.location=ca-cert
sasl.mechanism=Энгийн
sasl.username={CLIENT_USER}
sasl.password={CLIENT_PASSWORD}

Энд {CLIENT_USER} болон {CLIENT_PASSWORD} нь үйлчлүүлэгчийн хэрэглэгчийн итгэмжлэл юм.

Үндсэн ex-г ажиллуулamples:

• KAFKA_FQDN= экспортлох
• build.sh run-basic –kafka-brokers ${KAFKA_FQDN}:9093 \
• – ACCOUNT_SHORTNAME данс
• -тохиргоо-file үйлчлүүлэгч.properties

ACCOUNT_SHORTNAME нь таны хэмжүүр авахыг хүсэж буй бүртгэлийн товч нэр юм.

Ахисан хувилбарыг ажиллуулamples:

• KAFKA_FQDN= экспортлох
• build.sh run-advanced –kafka-brokers ${KAFKA_FQDN}:9093 \
• – ACCOUNT_SHORTNAME данс
• -тохиргоо-file үйлчлүүлэгч.properties

Хавсралт

Энэ хавсралтад бид хэрхэн үүсгэхийг тайлбарласан болно:

• түлхүүрийн дэлгүүр file Кафка брокерын SSL сертификатыг хадгалахад зориулагдсан
• итгэмжлэгдсэн дэлгүүр file Кафка брокерын гэрчилгээнд гарын үсэг зурахад ашигласан Гэрчилгээний албаны (CA) эх гэрчилгээг хадгалахад зориулагдсан.

Кафка брокерын гэрчилгээг бий болгох
Бодит гэрчилгээний төвийг ашиглан гэрчилгээ үүсгэх (зөвлөдөг)
Итгэмжлэгдсэн CA-аас жинхэнэ SSL сертификат авахыг зөвлөж байна.
Та CA-г сонгохоор шийдсэнийхээ дараа тэдний CA-ийн эх гэрчилгээний ca-cert-ийг хуулна уу file доор үзүүлсэн шиг өөрийн замд:

• экспортлох CA_PATH=~/my-ca
• mkdir ${CA_PATH}
• cp ca-cert ${CA_PATH}

Өөрийнхөө гэрчилгээжүүлэх газрыг үүсгэ

ЖИЧ: Ер нь та гэрчилгээгээ жинхэнэ Гэрчилгээний Байгууллагын гарын үсэгтэй байх ёстой; өмнөх дэд хэсгийг үзнэ үү. Дараах зүйл бол зүгээр л эксample.

Энд бид өөрийн Гэрчилгээний албаны (CA) эх гэрчилгээг бий болгодог file 999 хоног хүчинтэй (үйлдвэрлэлд хэрэглэхийг зөвлөдөггүй):

• # CA-г хадгалах лавлах үүсгэнэ үү
• экспортлох CA_PATH=~/my-ca
• mkdir ${CA_PATH}
• # CA гэрчилгээ үүсгэх
• openssl req -new -x509 -keyout ${CA_PATH}/ca-key -out ${CA_PATH}/ca-cert -өдөр 999

Client Truststore үүсгэх
Одоо та итгэмжлэгдсэн дэлгүүр үүсгэж болно file Энэ нь дээр үүсгэсэн ca-сертификатыг агуулдаг. Энэ file Streaming API-д хандах Кафка клиентэд хэрэгтэй болно:

• keytool -keystore kafka.client.truststore.jks \
  • CARoot нэр \
  • импортын гэрчилгээ -file ${CA_PATH}/ca-сертификат

Одоо CA гэрчилгээ итгэмжлэгдсэн дэлгүүрт байгаа тул үйлчлүүлэгч түүнтэй гарын үсэг зурсан аливаа гэрчилгээнд итгэх болно.
Та хуулбарлах хэрэгтэй file kafka.client.truststore.jks файлыг өөрийн үйлчлүүлэгчийн компьютер дээрх мэдэгдэж буй байршил руу чиглүүлж, тохиргооноос түүн рүү зааж өгнө үү.

Кафка брокерт зориулсан түлхүүрийн агуулахыг бий болгож байна
Кафка брокерын SSL сертификат, дараа нь kafka.server.keystore.jks түлхүүрийн агуулах үүсгэхийн тулд дараах байдлаар ажиллана уу:

SSL сертификат үүсгэж байна
Доорх нь 999 нь түлхүүр хадгалалтын хүчинтэй байх өдрийн тоо, FQDN нь үйлчлүүлэгчийн бүрэн эрхтэй домайн нэр (зангилааны нийтийн хост нэр) юм.

ЖИЧ: FQDN нь Кафка үйлчлүүлэгчийн удирдлагын төвтэй холбогдохын тулд ашиглах хост нэртэй яг таарч байх нь чухал.

• sudo mkdir -p /var/ssl/private
• sudo chown -R $USER: /var/ssl/private
• cd /var/ssl/private
• экспорт FQDN= keytool -keystore kafka.server.keystore.jks \
• – alias server \
• - хүчинтэй хугацаа 999 \
• – genkey -keyalg RSA -ext SAN=dns:${FQDN}

Сертификат гарын үсэг зурах хүсэлтийг үүсгэж, үүнийг хадгална уу file нэртэй сертификат серверийн хүсэлт:

• keytool -keystore kafka.server.keystore.jks \
  • – alias server \
  • – certreq \
  • – file cert-server-request

Та одоо илгээх хэрэгтэй file Хэрэв та жинхэнэ ашиглаж байгаа бол cert-server-request your Certificate Authority (CA) руу. Дараа нь тэд гарын үсэг зурсан гэрчилгээг буцааж өгнө. Үүнийг бид доор серверийн гарын үсэгтэй гэж нэрлэх болно.

Өөрөө үүсгэсэн CA гэрчилгээ ашиглан SSL гэрчилгээнд гарын үсэг зурах

ЖИЧ: Дахин хэлэхэд үйлдвэрлэлийн системд өөрийн CA-г ашиглахыг зөвлөдөггүй.

CA ашиглан гэрчилгээнд гарын үсэг зурна уу file cert-server-request, энэ нь гарын үсэг зурсан гэрчилгээг гаргадаг cert-server-signed. Доор үзнэ үү; ca-password нь CA сертификат үүсгэх үед тохируулсан нууц үг юм.

• cd /var/ssl/private openssl x509 -req \
  • – CA ${CA_PATH}/ca-cert \
  • – CAkey ${CA_PATH}/ca-key \
  • – cert-server-request-д \
  • – сертификат серверээр гарын үсэг зурсан \
  • – хоног 999 -CAcreateserial \
  • – нэвтрэх эрх:{ca-password}

Гарын үсэг зурсан гэрчилгээг түлхүүрийн дэлгүүрт импортлох

Ca-cert root сертификатыг түлхүүрийн дэлгүүрт импортлох:

• keytool -keystore kafka.server.keystore.jks \
  • – alias ca-cert \
  • - импорт \
  • – file ${CA_PATH}/ca-сертификат

Серверийн гарын үсэгтэй гэж нэрлэгддэг гарын үсэг зурсан гэрчилгээг импортлох:

• keytool -keystore kafka.server.keystore.jks \
  • – alias server \
  • - импорт \
  • – file Серверийн гарын үсэгтэй

The file kafka.server.keystore.jks-ийг Удирдлагын төвийн сервер дээрх мэдэгдэж байгаа байршил руу хуулж, дараа нь /etc/kafka/server.properties-д хандах хэрэгтэй.

Streaming API ашиглах

ЭНЭ ХЭСЭГТ

• Ерөнхий | 20
• Кафка Сэдвийн нэр | 21
• ExampStreaming API ашиглах тухай 21

Генерал
Урсгалын API нь тест болон хяналтын өгөгдлийг хоёуланг нь татаж авдаг. Эдгээр ангиллын аль нэгийг нь ялгах боломжгүй юм.
Урсгалын API нь Ethernet үйлчилгээг идэвхжүүлэх тест, ил тод байдлын тест гэх мэт скриптэд суурилсан тестүүдээс (Хяналтын төвийн GUI-д эвлүүлдэг хөрөөний оронд тэгш өнцөгтөөр дүрслэгдсэн) өгөгдлийг татаж авдаггүй.

Кафка сэдвийн нэрс
Дамжуулах API-д зориулсан Кафка сэдвийн нэрс дараах байдалтай байна, энд %s нь Хяналтын төвийн дансны богино нэр (бүртгэл үүсгэх үед заасан):

• const (
• экспортлогчийн нэр = "кафка"
• metadataTopicTpl = "paa.public.accounts.%s.metadata" metricsTopicTpl = "paa.public.accounts.%s.meterics" )

ExampStreaming API ашиглах тухай
эксampДараах les нь tarball paa-streaming-api-client-ex-ээс олддогamples.tar.gz нь Control Center tarball-д агуулагддаг.
Нэгдүгээрт, үндсэн экс байдагampЭнэ нь хэмжүүрүүд болон тэдгээрийн мета өгөгдлийг тусад нь хэрхэн дамжуулж, хүлээн авсан мессежийг консол дээр хэвлэхийг харуулж байна. Та үүнийг дараах байдлаар ажиллуулж болно.

• sudo ./build.sh run-basic –kafka-brokers localhost:9092 – ACCOUNT_SHORTNAME данс

Мөн илүү дэвшилтэт экс байдагample хэмжигдэхүүн болон мета өгөгдлийн мессежүүд хоорондоо уялдаатай байдаг. Үүнийг ажиллуулахын тулд энэ тушаалыг ашиглана уу:

• sudo ./build.sh run-advanced –kafka-brokers localhost:9092 – ACCOUNT_SHORTNAME данс

Та дээрх Docker командуудыг ажиллуулахын тулд sudo ашиглах хэрэгтэй. Сонголтоор та Линуксыг суулгасны дараах алхмуудыг дагаж Docker командуудыг sudoгүйгээр ажиллуулж болно. Дэлгэрэнгүй мэдээллийг эндээс авна уу docs.docker.com/engine/install/linux-postinstall.

Juniper Networks, Juniper Networks лого, Juniper, Junos нь АНУ болон бусад улс орнуудад Juniper Networks, Inc.-ийн бүртгэлтэй худалдааны тэмдэгнүүд юм. Бусад бүх барааны тэмдэг, үйлчилгээний тэмдэг, бүртгэгдсэн тэмдэг эсвэл бүртгэгдсэн үйлчилгээний тэмдэг нь тус тусын эзэмшигчийн өмч юм. Juniper Networks энэ баримт бичигт алдаа гарсан тохиолдолд хариуцлага хүлээхгүй. Juniper Networks нь энэхүү нийтлэлийг мэдэгдэлгүйгээр өөрчлөх, өөрчлөх, шилжүүлэх эсвэл өөр аргаар хянан үзэх эрхтэй. Зохиогчийн эрх © 2023 Juniper Networks, Inc. Бүх эрх хуулиар хамгаалагдсан.

Баримт бичиг / нөөц

Juniper NETWORKS Streaming API програм хангамж [pdf] Хэрэглэгчийн гарын авлага Streaming API програм хангамж, API програм хангамж, програм хангамж

Лавлагаа

• Хэрэглэгчийн гарын авлага