認証を行うブローカを利用する設定ファイルを登録する
認証を行うブローカにSINETStreamで接続する設定を登録する手順を示します。
ここでは認証を行うブローカに接続するSINETStream設定ファイルとして、以下の内容のものをコンフィグサーバに登録する手順を示します。
service-kafka-sasl-scram:
brokers: broker.example.org:9094
type: kafka
topic: topic-004
security_protocol: SASL_SSL
sasl_mechanism: SCRAM-SHA-256
sasl_plain_username: kafka-user01
sasl_plain_password: !sinetstream/encrypted |-
AAEBAUvgLhciKwlt9AcHNhmpzpxRX8MnNhgDO9nmomMGPamkH4L9LgTYdbTvhIfd2UmrqF2SJG
(以下略)
上記の設定ファイルではKafkaブローカにユーザ名、パスワードを指定してSASL/SCRAM認証を行い接続することを想定しています。認証ユーザ名、パスワードの値をsasl_plain_username, sasl_plain_passwordで指定しています。
ブローカに接続するためのユーザ名、パスワードは利用者毎に異なるため、設定ファイルの記述内容も利用者毎に異なるものを配布する必要があります。そのためコンフィグサーバではsasl_plain_usernameなどの情報を設定ファイルから分離してユーザに紐づいた情報として別に管理しています。このようなユーザに紐づいた情報のことをコンフィグサーバでは「ユーザパラメータ」と呼びます。
コンフィグ情報の登録
SINETStream設定ファイルをコンフィグサーバに登録します。設定ファイルのうちユーザに紐づく情報についてはユーザパラメータとして別に登録を行うので、ここではそれ以外の部分を登録します。はじめに示した設定ファイルのうち sasl_plain_username, sasl_plain_password の部分を省いた以下の内容を設定ファイルとして登録します。
service-kafka-sasl-scram:
brokers: broker.example.org:9094
type: kafka
topic: topic-004
security_protocol: SASL_SSL
sasl_mechanism: SCRAM-SHA-256
コンフィグ情報一覧画面、またはホーム画面からコンフィグ情報登録ダイアログを表示してください。ダイアログの表示手順については「データ暗号化行う設定ファイルを登録する」、「設定ファイルを登録する」を確認してください。
「SINETStream設定ファイル」の欄に、この節のはじめに示した内容を入力してください。また「名前」「コメント」欄に入力を行ったうえで「登録」ボタンを選択してください。
ユーザパラメータの登録
前節で登録したコンフィグ情報にブローカ接続のためのユーザ名とパスワードをユーザパラメータとして登録します。ここでは以下の情報をユーザパラメータとして登録します。
| キー | 値 | 秘匿情報 |
|---|---|---|
| sasl_plain_username | kafka-user05 | × |
| sasl_plain_password | kafka-Pass05 | 〇 |
まずはブローカのユーザ名をユーザパラメータとして登録します。コンフィグ情報の詳細画面を表示してください。
コンフィグ情報詳細画面の下部に「ユーザパラメータ」と表示されている部分(上図赤丸部分)があります。デフォルトでは折りたたまれて表示されますが一度クリックすることで下図のように展開されて表示されます。
展開された「ユーザパラメータ」のパネルにある登録ボタン(上図赤丸部分)をクリックすることで登録ダイアログが表示されます。
「ユーザ名」欄は共同利用者として登録されているユーザを選択するようになっています。自分自身のユーザ名が共同利用者として登録されているので、その値を選択してください。
「設定値」欄にはブローカのユーザ名として kafka-user05を入力してください。この値は秘匿情報として扱う必要がないので「秘匿情報」の欄のチェックを外してください。
「埋め込み先」には *.sasl_plain_usernameを入力してください。この値はSINETStream設定ファイルにKafkaブローカのユーザ名を指定するsasl_plain_usernameを全てのサービスに埋め込む指定となります。
他にコメントなどを入力した後に「登録」ボタンをクリックとユーザパラメータの登録が行われます。
登録が成功するとコンフィグ情報詳細画面の「ユーザパラメータ」パネルに登録内容が追加されます。また「設定ファイル」欄の表示内容が更新されsasl_plain_usernameの値が埋め込まれます(上図赤枠部分)。
次にブローカのパスワードをユーザパラメータとして登録します。先ほどと同様の手順で登録ダイアログを表示させてください。
ブローカのユーザ名を登録した場合と同様の入力を登録ダイアログで行ってください。ただしブローカのパスワードは秘匿情報として扱うので「秘匿情報」のチェックは有効のままにしてください。また「埋め込み先」欄にはKafkaブローカのパスワードを指定するため*.sasl_plain_passwordを入力してください。
ユーザパラメータの登録が成功するとコンフィグ情報詳細画面の「ユーザパラメータ」のパネルにブローカのパスワードにかんする情報が追加されます(上図緑枠部分)。ブローカのパスワードは秘匿情報として登録したので「秘匿情報」の列に鍵マークのアイコンが表示され「設定値」がマスクされて表示されます。また「設定ファイル」の欄の表示内容も更新されsasl_plain_passwordが追加されたことが確認出来ます(上図赤枠部分)。
sasl_plain_passwordは秘匿情報として登録されるので、設定ファイルに埋め込むためには事前にユーザ公開鍵が登録されている必要があります。ユーザ公開鍵を登録する手順については「データ暗号化行う設定ファイルを登録する」を参照してください。