Kadaka logoTehniline lihtsus
Voogesituse API juhend

Sisu peita
1 Sissejuhatus
2 Läbiview
3 Mis on Kafka?
4 Terminoloogia
5 Kuidas voogesituse API töötab
6 Kafka teemad
7 Voogesituse API lubamine
8 Kontrollige, kas voogesituse API töötab juhtimiskeskuses
9 Kafka avamine välistele hostidele
10 Välise kliendi ühenduvuse kinnitamine
11 Sõnumi vorming
12 Klient Examples
13 Lisa
14 Kindral
15 Dokumendid / Ressursid
15.1 Viited
16 Seotud postitused

Sissejuhatus

Selles juhendis kirjeldatakse, kuidas toote voogesituse API kaudu Paragon Active Assurance'ist andmeid eraldada.
API ja voogedastusklient on kaasatud Paragon Active Assurance'i installimisse.
Enne API kasutamist on siiski vaja veidi konfigureerimist. Seda käsitletakse peatükis "Straaming API konfigureerimine" lk 1.

Läbiview

Selles peatükis kirjeldatakse, kuidas konfigureerida voogesituse API-d, et võimaldada Kafka kaudu mõõdikute sõnumite tellimist.
Allpool käsitleme:

  • Streaming API lubamine
  • Kuidas konfigureerida Kafka väliskliente kuulama
  • Kuidas konfigureerida Kafkat kasutama ACL-e ja seadistama nimetatud klientide jaoks SSL-krüptimist

Mis on Kafka?

Kafka on sündmuste voogesituse platvorm, mis võimaldab reaalajas jäädvustada erinevatest sündmuste allikatest (sensorid, andmebaasid, mobiilseadmed) saadetud andmeid sündmuste voogude kujul, samuti nende sündmuste voogude püsivat salvestamist hilisemaks otsimiseks ja manipuleerimiseks.
Kafka abil on võimalik hallata sündmuste voogedastust otsast lõpuni hajutatud, väga skaleeritaval, elastsel, tõrketaluval ja turvalisel viisil.
MÄRKUS. Kafkat saab konfigureerida mitmel erineval viisil ja see oli mõeldud skaleeritavuse ja üleliigsete süsteemide jaoks. See dokument keskendub ainult sellele, kuidas seda konfigureerida, et kasutada Paragon Active Assurance Control Centeris leiduvat Streaming API funktsiooni. Täpsemate seadistuste jaoks vaadake ametlikku Kafka dokumentatsiooni: kafka.apache.org/26/documentation.html.

Terminoloogia

  • Kafka: sündmuste voogesituse platvorm.
  • Kafka teema: Sündmuste kogumik.
  • Kafka tellija/tarbija: komponent, mis vastutab Kafka teemasse salvestatud sündmuste otsimise eest.
  • Kafka maakler: Kafka klastri salvestuskihi server.
  • SSL/TLS: SSL on turvaline protokoll, mis on välja töötatud teabe turvaliseks saatmiseks Interneti kaudu. TLS on SSL-i järglane, mis võeti kasutusele 1999. aastal.
  • SASL: raamistik, mis pakub mehhanisme kasutaja autentimiseks, andmete terviklikkuse kontrollimiseks ja krüptimiseks.
  • Streaming API tellija: komponent, mis vastutab Paragon Active Assurance'is määratletud teemadesse salvestatud sündmuste otsimise eest ja mõeldud väliseks juurdepääsuks.
  • Sertifikaat: usaldusväärne üksus, mis väljastab ja tühistab avaliku võtme sertifikaate.
  • Sertifikaadi juursertifikaat: avaliku võtme sertifikaat, mis identifitseerib sertifitseerimisasutuse.

Kuidas voogesituse API töötab

Nagu varem mainitud, võimaldab voogesituse API välisklientidel hankida Kafkast teavet mõõdikute kohta.
Kõik mõõdikud, mille testagendid testi või jälgimistoimingu käigus koguvad, saadetakse teenusesse Stream.
Pärast töötlemisfaasi avaldab teenus Stream need mõõdikud Kafkas koos täiendavate metaandmetega.

Juniper Streaming API

Kafka teemad

Kafkal on teemade kontseptsioon, mille kohta kõik andmed avaldatakse. Paragon Active Assurance'is on saadaval palju selliseid Kafka teemasid; kuid ainult osa neist on mõeldud väliseks juurdepääsuks.
Igal Paragon Active Assurance'i kontol juhtimiskeskuses on kaks spetsiaalset teemat. Allpool on ACCOUNT konto lühinimi:

  • paa.public.accounts.{ACCOUNT}.metrics
  • Selle teema kohta avaldatakse kõik antud konto mõõdikute sõnumid
  • Suured andmemahud
  • Kõrge värskendussagedus
  • paa.public.accounts.{ACCOUNT}.metadata
  • Sisaldab mõõdikute andmetega seotud metaandmeid, ntample mõõdikutega seotud test, monitor või testimisagent
  • Väikesed andmemahud
  • Madal värskendussagedus

Voogesituse API lubamine

MÄRKUS. Need juhised tuleb käivitada juhtimiskeskuse serveris sudo abil.
Kuna voogesituse API lisab juhtimiskeskusele lisakulusid, pole see vaikimisi lubatud. API lubamiseks peame esmalt lubama põhikonfiguratsioonis mõõdikute avaldamise Kafkale file:

  • /etc/netrounds/netrounds.conf
    KAFKA_METRICS_ENABLED = Tõene
    HOIATUS: Selle funktsiooni lubamine võib mõjutada juhtimiskeskuse jõudlust. Veenduge, et oleksite oma eksemplari vastavalt dimensiooninud.
    Järgmiseks, et võimaldada nende mõõdikute edastamine õigetele Kafka teemadele:
  • /etc/netrounds/metrics.yaml
    streaming-api: tõsi

Streaming API teenuste lubamiseks ja käivitamiseks käivitage:
sudo ncc teenused lubavad timescaledb mõõdikuid sudo ncc teenused käivitavad timescaledb mõõdikud
Lõpuks taaskäivitage teenused:
sudo ncc teenused taaskäivituvad

Kontrollige, kas voogesituse API töötab juhtimiskeskuses

MÄRKUS. Neid juhiseid tuleb käivitada juhtimiskeskuse serveris.
Nüüd saate kontrollida, kas saate õigete Kafka teemade mõõdikuid. Selleks installige utiliit kafkacat:
sudo apt-get värskendus sudo apt-get install kafkacat
Kui teie juhtimiskeskuses töötab test või monitor, peaksite saama kafkacati kasutada nende teemade mõõdikute ja metaandmete vastuvõtmiseks.
Asendage minu konto oma konto lühinimega (seda näete oma juhtimiskeskuses URL):
eksportida METRICS_TOPIC=paa.public.accounts.myaccount.metrics
eksportida METADATA_TOPIC=paa.public.accounts.myaccount.metadata
Nüüd peaksite nägema mõõdikuid, käivitades selle käsu:
kafkacat -b ${KAFKA_FQDN}:9092 -t ${METRICS_TOPIC} -C -e
To view metaandmed, käivitage järgmine käsk (pange tähele, et seda ei värskendata nii sageli):
kafkacat -b ${KAFKA_FQDN}:9092 -t ${METADATA_TOPIC} -C -e
MÄRKUS.
kafkacat”Klient Examples ”lk 14
See kinnitab, et meil on juhtimiskeskuses töötav voogesituse API. Tõenäoliselt olete siiski huvitatud välise kliendi andmetele juurdepääsust. Järgmises jaotises kirjeldatakse, kuidas avada Kafka välise juurdepääsu jaoks.

Kafka avamine välistele hostidele

MÄRKUS. Neid juhiseid tuleb käivitada juhtimiskeskuse serveris.
Vaikimisi on juhtimiskeskuses töötav Kafka konfigureeritud kuulama sisekasutuseks ainult kohalikku hosti.
Kafka seadeid muutes on võimalik avada Kafka välistele klientidele.
Kafkaga ühendamine: hoiatused
THE OUTDOOR PLUS TOP seeria Fire Pit ühenduskomplektid ja lisad – ikoon 1 ETTEVAATUST. Lugege see hoolikalt läbi, sest kui te pole nendest mõistetest aru saanud, on Kafkaga lihtne probleeme tekitada.
Selles dokumendis kirjeldatud juhtimiskeskuse seadistuses on ainult üks Kafka maakler.
Kuid pange tähele, et Kafka maakler on mõeldud tegutsema Kafka klastri osana, mis võib koosneda paljudest Kafka maakleritest.
Kafka maakleriga ühenduse loomisel loob esialgse ühenduse Kafka klient. Sellega seoses tagastab Kafka maakler omakorda "reklaamitud kuulajate" loendi, mis on ühe või mitme Kafka maakleri loend.
Selle loendi saamisel katkestab Kafka klient ühenduse ja ühendab seejärel uuesti ühe neist reklaamitud kuulajatest. Reklaamitud kuulajad peavad sisaldama hostinimesid või IP-aadresse, mis on Kafka kliendile juurdepääsetavad, vastasel juhul ei õnnestu kliendil ühendust luua.
Kui kasutatakse SSL-krüptimist, mis hõlmab SSL-sertifikaati, mis on seotud konkreetse hostinimega, on veelgi olulisem, et Kafka klient saaks ühenduse loomiseks õige aadressi, kuna vastasel juhul võidakse ühendus tagasi lükata.
Loe Kafka kuulajate kohta lähemalt siit: www.confluent.io/blog/kafka-listeners-explained
SSL/TLS krüptimine
Veendumaks, et ainult usaldusväärsetel klientidel on juurdepääs Kafkale ja voogesituse API-le, peame konfigureerima järgmise:

  • Autentimine: kliendid peavad andma kasutajanime ja parooli kliendi ja Kafka vahelise SSL/TLS turvalise ühenduse kaudu.
  • Autoriseerimine: Autentitud kliendid saavad täita ACL-idega reguleeritud ülesandeid.
    Siin on lõppview:

Juniper Streaming API – joon

*) Kasutajanime/parooli autentimine teostati SSL-krüptitud kanalil
Et täielikult mõista, kuidas SSL/TLS-krüptimine Kafka jaoks töötab, vaadake ametlikku dokumentatsiooni: docs.confluent.io/platform/current/kafka/encryption.html
SSL/TLS sertifikaat on läbiview
MÄRKUS. Selles alajaotises kasutame järgmist terminoloogiat:
Sertifikaat: SSL-sertifikaat, mille on allkirjastanud sertifitseerimiskeskus (CA). Igal Kafka maakleril on üks.
Võtmehoidla: Võtmehoidla file mis salvestab sertifikaadi. Võtmehoidla file sisaldab sertifikaadi privaatvõtit; seetõttu tuleb seda ohutult hoida.
Usalduspood: A file mis sisaldab usaldusväärseid CA-sertifikaate.
Välise kliendi ja juhtimiskeskuses töötava Kafka vahelise autentimise seadistamiseks peab mõlemal poolel olema võtmehoidla, mis on määratletud sertifitseerimisasutuse (CA) allkirjastatud seotud sertifikaadiga koos CA juursertifikaadiga.
Lisaks sellele peab kliendil olema ka CA juursertifikaadiga usaldussalve.
CA juursertifikaat on Kafka maakleri ja Kafka kliendi jaoks ühine.
Nõutavate sertifikaatide loomine
Seda käsitletakse "Lisa" leheküljel 17.
Kafka Broker SSL/TLS konfiguratsioon juhtimiskeskuses
MÄRKUS. Neid juhiseid tuleb käivitada juhtimiskeskuse serveris.
MÄRKUS. Enne jätkamist peate looma võtmehoidla, mis sisaldab SSL-sertifikaati, järgides juhiseid jaotises „Lisa” lk 17. Allpool mainitud teed pärinevad nendest juhistest.
SSL-võtmehoidla on a file salvestatakse kettale koos file laiend .jks.
Kui olete nii Kafka maakleri kui ka Kafka kliendi jaoks loodud vajalikud sertifikaadid saadaval, saate jätkata juhtimiskeskuses töötava Kafka maakleri konfigureerimisega. Peate teadma järgmist.

  • : Juhtimiskeskuse avalik hostinimi; see peab olema lahendatav ja Kafka klientidele juurdepääsetav.
  • : SSL-sertifikaadi loomisel antud võtmehoidla parool.
  • ja : need on paroolid, mille soovite määrata vastavalt administraatorile ja kliendikasutajale.
    Pange tähele, et saate lisada rohkem kasutajaid, nagu on näidatud example.
    Redigeerige või lisage (sudo juurdepääsuga) allolevaid atribuute failis /etc/kafka/server.properties, sisestades ülaltoodud muutujad nagu näidatud:

Elektrilöögi ikoon HOIATUS: Ärge eemaldage PLAINTEXT://localhost:9092 ; see rikub juhtimiskeskuse funktsionaalsust, kuna siseteenused ei saa suhelda.
…# Aadressid, mida Kafka maakler kuulab.
kuulajad=PLAINTEXT://localhost:9092,SASL_SSL://0.0.0.0:9093
# Need on hostid, mida reklaamitakse tagasi igale ühenduse loovale kliendile.
reklaamitud.listeners=PLAINTEXT://localhost:9092,SASL_SSL:// :9093…
####### KOHANDATUD KONFIG
# SSL-i SEADISTUS
ssl.endpoint.identification.algorithm=
ssl.keystore.location=/var/ssl/private/kafka.server.keystore.jks
ssl.keystore.password=
ssl.key.password=
ssl.client.auth=puudub
ssl.protocol=TLSv1.2
# SASL-i konfiguratsioon sasl.enabled.mechanisms=PLAIN
listener.name.sasl_ssl.plain.sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginMo dule on nõutav \ username=”admin” \ password=” ”\ user_admin=” ”\ user_client=” ”; # MÄRKUS: rohkem kasutajaid saab lisada kasutaja_ga =
# Autoriseerimine, lülitage ACL-id sisse authorizer.class.name=kafka.security.authorizer.AclAuthorizer super.users=User:admin
Juurdepääsuloendite (ACL) seadistamine
ACL-ide sisselülitamine kohalikus hostis
Elektrilöögi ikoon HOIATUS: Peame esmalt seadistama localhosti jaoks ACL-id, et juhtimiskeskus ise saaks endiselt Kafkale juurde pääseda. Kui seda ei tehta, lähevad asjad katki.
######### ACL-i kirjed anonüümsetele kasutajatele
/usr/lib/kafka/bin/kafka-acls.sh \
–authorizer kafka.security.authorizer.AclAuthorizer \ –authorizer-properties zookeeper.connect=localhost:2181 \ –add –allow-principal User:ANONYMOUS –allow-host 127.0.0.1 –cluster
/usr/lib/kafka/bin/kafka-acls.sh \
–authorizer kafka.security.authorizer.AclAuthorizer \ –authorizer-properties zookeeper.connect=localhost:2181 \ –add –allow-principal User:ANONYMOUS –allow-host 127.0.0.1 –teema '*'
/usr/lib/kafka/bin/kafka-acls.sh \
–authorizer kafka.security.authorizer.AclAuthorizer \ –authorizer-properties zookeeper.connect=localhost:2181 \ –add –allow-principal User:ANONYMOUS –allow-host 127.0.0.1 –grupp '*'
Seejärel peame lubama ACL-id välise kirjutuskaitstud juurdepääsu jaoks, et väliskasutajad saaksid lugeda paa.public.* teemasid.
MÄRKUS. Täpsema kontrolli saamiseks vaadake ametlikku Kafka dokumentatsiooni.
######### ACL-i kirjed välistele kasutajatele
/usr/lib/kafka/bin/kafka-acls.sh \
–authorizer kafka.security.authorizer.AclAuthorizer \–authorizer-properties zookeeper.connect=localhost:2181 \
–add –allow-principal User:* –operatsiooni lugemine –toimingu kirjeldus \–grupp 'NCC'
/usr/lib/kafka/bin/kafka-acls.sh \
–authorizer kafka.security.authorizer.AclAuthorizer \
–authorizer-properties zookeeper.connect=localhost:2181 \
–add –allow-principal User:* –operation read –operation description \
–teema paa.avalik. -ressursi mustri tüüpi eesliide
Kui see on tehtud, peate teenused taaskäivitama:
sudo ncc teenused taaskäivituvad
Kontrollimaks, kas klient saab luua turvalise ühenduse, käivitage välises klientarvutis (mitte juhtimiskeskuse serveris) järgmine käsk. Allpool on PUBLIC_HOSTNAME juhtimiskeskuse hostinimi:
openssl s_client -debug -connect ${PUBLIC_HOSTNAME}:9093 -tls1_2 | grep "Turvalist uuesti läbirääkimist toetatakse"
Käsu väljundis peaksite nägema serveri sertifikaati ja järgmist:
Turvalist uuesti läbirääkimist toetatakse
Veenduge, et siseteenustele on antud juurdepääs Kafka serverile, kontrollige järgmist logifiles:

Välise kliendi ühenduvuse kinnitamine

kafkacat
MÄRKUS. Neid juhiseid tuleb käitada klientarvutis (mitte juhtimiskeskuse serveris).
MÄRKUS. Mõõdikute teabe kuvamiseks veenduge, et juhtimiskeskuses töötaks vähemalt üks monitor.
Ühenduvuse kontrollimiseks ja kinnitamiseks välise kliendina on võimalik kasutada utiliiti kafkacat, mis installiti jaotises „Voigedastuse API töötamise kontrollimine juhtimiskeskuses” lk 4.
Tehke järgmised sammud.
MÄRKUS. Allpool on CLIENT_USER kasutaja, kes on varem määratud file /etc/kafka/server.properties sisse
Juhtimiskeskus: nimelt user_client ja seal seatud parool.
Serveripoolse SSL-sertifikaadi allkirjastamiseks kasutatav CA juursertifikaat peab kliendis olemas olema.

  • Loo a file client.properties järgmise sisuga:
    security.protocol=SASL_SSL
    ssl.ca.location={PATH_TO_CA_CERT}
    sasl.mechanisms=PLAIN
    sasl.username={CLIENT_USER}
    sasl.password={CLIENT_PASSWORD} kus
    • {PATH_TO_CA_CERT} on Kafka maakleri kasutatava CA juursertifikaadi asukoht
    • {CLIENT_USER} ja {CLIENT_PASSWORD} on kliendi mandaadid.
    • Käivitage järgmine käsk, et näha kafkacati tarbitud sõnumit:
    eksportida KAFKA_FQDN=
    eksportida METRICS_TOPIC=paa.public.accounts. .metrics
    kafkacat -b ${KAFKA_FQDN}:9093 -F client.properties -t ${METRICS_TOPIC} -C -e
    kus {METRICS_TOPIC} on Kafka teema nimi eesliitega „paa.public.”.

MÄRKUS. Kafkacati vanemad versioonid ei paku suvandit -F kliendi sätete lugemiseks alates a file. Kui kasutate sellist versiooni, peate käsurealt sisestama samad sätted, nagu allpool näidatud.
kafkacat -b ${KAFKA_FQDN}:9093 \
-X security.protocol=SASL_SSL \
-X ssl.ca.location={PATH_TO_CA_CERT} \
-X sasl.mechanisms=PLAIN \
-X sasl.username={CLIENT_USER} \
-X sasl.password={CLIENT_PASSWORD} \
-t ${METRICS_TOPIC} -C -e
Ühenduvuse silumiseks võite kasutada suvandit -d:
Tarbijasuhtluse silumine
kafkacat -d tarbija -b ${KAFKA_FQDN}:9093 -F client.properties -t ${METRICS_TOPIC} -C -e
# Siluge maakleri suhtlust
kafkacat -d maakler -b ${KAFKA_FQDN}:9093 -F client.properties -t ${METRICS_TOPIC} -C -e
Vaadake kindlasti kasutatava Kafka klienditeegi dokumentatsiooni, kuna atribuudid võivad erineda faili client.properties omadustest.

Sõnumi vorming

Mõõdikute ja metaandmete teemade jaoks kasutatavad sõnumid on järjestatud protokollipuhvrite (protobuf) vormingus (vt. developers.google.com/protocol-buffers). Nende sõnumite skeemid järgivad järgmist vormingut:
Metrics Protobuf skeem
süntaks = "proto3"; import "google/protobuf/timestamp.proto”; pakett paa.streamingapi; option go_package = ".;paa_streamingapi"; sõnum Metrics { google.protobuf.Timestamp kordaamp = 1; kaart väärtused = 2; int32 mõõtmise_id = 3; } /** * Mõõdiku väärtus võib olla kas täisarv või ujuv. */
sõnum MetricValue { oneof type { int64 int_val = 1; float float_val = 2; } }
Metaandmete protobufi skeem
süntaks = "proto3"; pakett paa.streamingapi; option go_package = ".;paa_streamingapi"; teade Metaandmed { int32 mõõtmise_id = 1; stringi mõõtmise_nimi = 2; kaart tags = 13; }

Klient Examples

MÄRKUS. Need käsud on ette nähtud käitamiseks välisel kliendil, ntampoma sülearvuti või muu sarnase kaudu, mitte juhtimiskeskuses.
MÄRKUS. Mõõdikute teabe kuvamiseks veenduge, et juhtimiskeskuses töötaks vähemalt üks monitor.
Juhtimiskeskuse tarball sisaldab arhiivi paa-streaming-api-client-examples.tar.gz (klient-ntamples), mis sisaldab eksample Pythoni skript, mis näitab voogesituse API kasutamist.
Client Ex. installimine ja konfigureerimineamples
Leiate endise kliendiamples kaustas Paragon Active Assurance Control Center:
eksportida CC_VERSION=3.3.1
cd ./paa-control-center_${CC_VERSION} ls paa-streaming-api-client-examples*
Klient-ex installimiseksampoma välises klientarvutis, toimige järgmiselt.
# Looge kataloog kliendi nt sisu ekstraheerimiseksamples tarball mkdir paa-streaming-api-client-examples
# Väljavõte kliendi sisu ntamples tarball tar xzf paa-streaming-api-client-examples.tar.gz -C paa-streaming-api-client-examples
# Minge vastloodud kataloogi cd paa-streaming-api-client-examples klient-examples nõuab Dockeri käitamiseks. Dockeri allalaadimis- ja installijuhised leiate aadressilt https://docs.docker.com/engine/install.
Kasutades Client Examples
Klient-examples tööriistad võivad töötada nii põhi- kui ka täiustatud režiimis, et luua examperineva keerukusega. Mõlemal juhul on võimalik käivitada ka eksamples konfiguratsiooniga file sisaldab täiendavaid atribuute kliendi poole edasiseks kohandamiseks.
Põhirežiim Põhirežiimis voogedastatakse mõõdikuid ja nende metaandmeid eraldi. Selleks kuulab klient iga väliseks juurdepääsuks saadaolevat Kafka teemat ja prindib saadud sõnumid lihtsalt konsooli.
Põhilise eks. täitmise alustamiseksamples, käivita: ./build.sh run-basic –kafka-brokers localhost:9092 –konto ACCOUNT_SHORTNAME
kus ACCOUNT_SHORTNAME on selle konto lühinimi, millelt soovite mõõdikuid hankida.
Endise täitmise lõpetamiseksample, vajutage klahvikombinatsiooni Ctrl + C. (Täitmise seiskumiseni võib tekkida väike viivitus, kuna klient ootab ajalõpu sündmust.)
Täpsem režiim
MÄRKUS. Mõõdikud kuvatakse ainult juhtimiskeskuses töötavate HTTP-monitoride puhul.
Täitmine täiustatud režiimis näitab mõõdikute ja metaandmete sõnumite vahelist seost. See on võimalik tänu sellele, et igas mõõdikusõnumis on voo ID väli, mis viitab vastavale metaandmete sõnumile.
Täiustatud eksamples, käivitage: ./build.sh run-advanced –kafka-brokers localhost:9092 –konto ACCOUNT_SHORTNAME, kus ACCOUNT_SHORTNAME on selle konto lühinimi, millelt soovite mõõdikuid hankida.
Endise täitmise lõpetamiseksample, vajutage klahvikombinatsiooni Ctrl + C. (Täitmise seiskumiseni võib tekkida väike viivitus, kuna klient ootab ajalõpu sündmust.)
Lisaseaded
On võimalik käivitada endineamples kliendi täiendava konfiguratsiooniga, kasutades käsku –config-file valik, millele järgneb a file nimi, mis sisaldab omadusi kujul võti=väärtus.
./build.sh run-advanced \ –kafka-brokers localhost:9092 \ –konto ACCOUNT_SHORTNAME \ –config-file client_config.properties
MÄRKUS. Kõik files, millele ülaltoodud käsus viidatakse, peavad asuma praeguses kataloogis ja viidates ainult suhtelisi teid kasutades. See kehtib nii -config-file argumenti ja kõikidele konfiguratsiooni kirjetele file mis kirjeldavad file asukohad.
Välise kliendi autentimise kinnitamine
Kliendi autentimise kinnitamiseks väljaspool juhtimiskeskust, kasutades klient-examples, tehke järgmised toimingud:

  • Lülitage Paragon Active Assurance Control Centeri kaustast paa-streaming-api-clientexamples kaust:
    cd paa-streaming-api-client-examples
  • Kopeerige CA juursertifikaat ca-cert praegusesse kataloogi.
  • Looge klient.properties file järgmise sisuga:
    security.protocol=SASL_SSL
    ssl.ca.location=ca-cert
    sasl.mechanism=PLAIN
    sasl.username={CLIENT_USER}
    sasl.password={CLIENT_PASSWORD}
    kus {CLIENT_USER} ja {CLIENT_PASSWORD} on kliendi mandaadid.
  • Käivitage põhiline ntampvähem:
    eksportida KAFKA_FQDN= ./build.sh run-basic –kafka-brokers ${KAFKA_FQDN}:9093 \ –konto ACCOUNT_SHORTNAME
    -konfiguratsioon-file client.properties, kus ACCOUNT_SHORTNAME on selle konto lühinimi, millelt soovite mõõdikuid hankida.
  • Käivita edasijõudnutele exampvähem:
    eksportida KAFKA_FQDN= ./build.sh run-advanced –kafka-brokers ${KAFKA_FQDN}:9093 \ –konto ACCOUNT_SHORTNAME–config-file klient.omadused

Lisa

Selles lisas kirjeldame, kuidas luua:

  • võtmehoidja file Kafka maakleri SSL-sertifikaadi hoidmiseks
  • usalduskauplus file Kafka maakleri sertifikaadi allkirjastamiseks kasutatava sertifitseerimisasutuse (CA) juursertifikaadi salvestamiseks.

Kafka maakleri sertifikaadi loomine
Sertifikaadi loomine tõelise sertifitseerimisasutuse abil (soovitatav)
Soovitatav on hankida tõeline SSL-sertifikaat usaldusväärselt CA-lt.
Kui olete CA kasuks otsustanud, kopeerige selle CA juursertifikaat ca-cert file oma teele, nagu allpool näidatud:
eksport CA_PATH=~/my-ca mkdir ${CA_PATH} cp ca-cert ${CA_PATH}
Looge oma sertifitseerimisasutus
MÄRKUS. Tavaliselt peaksite sertifikaadi allkirjastama tõelise sertifitseerimisasutuse; vaata eelmist alajaotist. Järgnev on lihtsalt endineample.
Siin loome oma Certificate Authority (CA) juursertifikaadi file kehtib 999 päeva (tootmisel pole soovitatav):
# Looge CA ekspordi CA_PATH=~/my-ca mkdir ${CA_PATH} salvestamiseks kataloog
# Genereeri CA sertifikaat openssl req -uus -x509 -keyout ${CA_PATH}/ca-key -out ${CA_PATH}/ca-cert -days 999
Kliendi usalduspoe loomine
Nüüd saate luua usaldussalve file mis sisaldab ülal loodud ca-sertifikaati. See file seda vajab Kafka klient, kes pääseb juurde voogesituse API-le:
keytool -keystore kafka.client.truststore.jks \ -alias CARoot \ -importcert -file ${CA_PATH}/ca-sert
Nüüd, kui CA-sertifikaat on usaldussalves, usaldab klient kõiki sellega allkirjastatud sertifikaate.
Peaksite kopeerima file kafka.client.truststore.jks teadaolevasse asukohta oma klientarvutis ja osutage sellele seadetes.
Kafka maakleri võtmehoidja loomine
Kafka maakleri SSL-sertifikaadi ja seejärel võtmehoidla kafka.server.keystore.jks genereerimiseks toimige järgmiselt.
SSL-sertifikaadi genereerimine
Allpool on 999 võtmehoidla kehtivuspäevade arv ja FQDN on kliendi täielikult kvalifitseeritud domeeninimi (sõlme avalik hostinimi).
MÄRKUS. On oluline, et FQDN vastaks täpselt hostinimele, mida Kafka klient kasutab juhtimiskeskusega ühenduse loomiseks. sudo mkdir -p /var/ssl/private
sudo chown -R $USER: /var/ssl/private cd /var/ssl/private export FQDN=
keytool -keystore kafka.server.keystore.jks \ -alias server \ -validity 999 \ -genkey -keyalg RSA -ext SAN=dns:${FQDN}
Looge sertifikaadi allkirjastamise taotlus ja salvestage see file nimega serdiserveri taotlus:
keytool -keystore kafka.server.keystore.jks \ -alias server \ -certreq \ -file sert-serveri taotlus
Nüüd peaksite saatma file Cert-server-request oma sertifitseerimisasutusele (CA), kui kasutate tõelist sertifikaati. Seejärel tagastavad nad allkirjastatud sertifikaadi. Allpool nimetame seda sertifikaadiserveri allkirjaga. SSL-sertifikaadi allkirjastamine omaloodud CA-sertifikaadi abil
MÄRKUS. Jällegi pole oma CA kasutamine tootmissüsteemis soovitatav. Allkirjastage sertifikaat CA-d kasutades file cert-server-request, mis toodab allkirjastatud sertifikaadi cert-server-signed. Vaata allpool; ca-password on CA-sertifikaadi loomisel määratud parool.
cd /var/ssl/private openssl x509 -req \ -CA ${CA_PATH}/ca-cert \ -CAkey ${CA_PATH}/ca-key \ -in cert-server-request \ -out cert-server-signed \ -days 999 -CAcreateserial \ -passin pass:{ca-password}
Allkirjastatud sertifikaadi importimine võtmehoidlasse
Importige ca-cert juursertifikaat võtmehoidlasse:
keytool -keystore kafka.server.keystore.jks \ -alias ca-cert \ -import \ -file ${CA_PATH}/ca-sert
Importige allkirjastatud sertifikaat, mida nimetatakse serdiserveri allkirjastatud sertifikaadiks:
keytool -keystore kafka.server.keystore.jks \ -alias server \ -import \ -file sert-serveri allkirjastatud
The file kafka.server.keystore.jks tuleks kopeerida teadaolevasse asukohta juhtimiskeskuse serveris ja seejärel viidata failis /etc/kafka/server.properties.
Streaming API kasutamine

Kindral

Voogesituse API tõmbab nii testi- kui ka jälgimisandmeid. Ühte neist kategooriatest ei ole võimalik välja tuua.
Voogesituse API ei too andmeid skriptipõhistest testidest (need, mida juhtimiskeskuse GUI-s kujutab pusle asemel ristkülik), nagu Etherneti teenuse aktiveerimise testid ja läbipaistvustestid.
Kafka teemade nimed
Voogesituse API Kafka teemade nimed on järgmised, kus %s on juhtelemendi lühike nimi
Keskuse konto (näidatud konto loomisel):
const (exporterName = "kafka"metadataTopicTpl = "paa.public.accounts.%s.metadata" metricsTopicTpl = "paa.public.accounts.%s.metrics")
Exampvoogesituse API kasutamisest
Endineampjärgmised les on leitud tarballist paa-streaming-api-client-examples.tar.gz, mis sisaldub juhtimiskeskuse tarballis.
Esiteks on olemas põhiline eksample demonstreerida, kuidas mõõdikuid ja nende metaandmeid eraldi voogedastatakse, ja lihtsalt vastuvõetud sõnumid konsooli printida. Saate seda käivitada järgmiselt: sudo ./build.sh run-basic –kafka-brokers localhost:9092 –konto ACCOUNT_SHORTNAME
On ka arenenum endineample, kus mõõdikud ja metaandmete sõnumid on korrelatsioonis. Selle käivitamiseks kasutage seda käsku:
sudo ./build.sh run-advanced –kafka-brokers localhost:9092 –account ACCOUNT_SHORTNAME Dockeri käskude (nt ülaltoodud) käivitamiseks peate kasutama sudot. Valikuliselt saate järgida Linuxi installijärgseid samme, et saaksite Dockeri käske ilma sudota käivitada.
Üksikasjad leiate aadressilt docs.docker.com/engine/install/linux-postinstall.
Juniper Networks, Juniper Networksi logo, Juniper ja Junos on Juniper Networks, Inc. registreeritud kaubamärgid Ameerika Ühendriikides ja teistes riikides. Kõik muud kaubamärgid, teenindusmärgid, registreeritud kaubamärgid või registreeritud teenindusmärgid on nende vastavate omanike omand. Juniper Networks ei vastuta selles dokumendis esinevate ebatäpsuste eest. Juniper Networks jätab endale õiguse seda väljaannet ette teatamata muuta, muuta, üle anda või muul viisil muuta. Autoriõigus © 2022 Juniper Networks, Inc. Kõik õigused kaitstud.

Kadaka logo

Dokumendid / Ressursid

Juniper Streaming API [pdfKasutusjuhend
Voogesituse API, API

Viited

Seotud postitused

Jäta kommentaar

Teie e-posti aadressi ei avaldata. Kohustuslikud väljad on märgitud *