MongoDB工具 >MongoDB Kafka连接器 > 配置SSL / TLS
在本页面
本指南向您展示如何配置MongoDB Kafka Source或Sink Connector工作器以使用SSL / TLS证书连接到MongoDB集群。受SSL / TLS保护的连接会加密您的Kafka连接器和MongoDB集群之间的网络通信。要启用安全连接,请创建证书,将其存储在工作主机上,并提供凭据以将证书访问连接器。
注意
如果您的MongoDB集群是由MongoDB Atlas托管的,或者不需要SSL / TLS证书来显式连接,则您已经可以安全地进行连接,不需要遵循本指南中的步骤。
您在其上运行Kafka Connector实例的每个服务器都需要一个 密钥存储区和信任存储区,以保护SSL / TLS凭据。
密钥存储区是一个受密码保护的数据库,其中包含一个私钥和一个证书颁发机构(CA)签名的证书,该证书用于向外部主机验证客户端的身份。
信任库是受密码保护的数据库,其中包含用于标识客户端信任的各方的证书,例如CA根证书或中间证书以及您的MongoDB集群的最终实体证书。
如果您的SSL / TLS配置需要连接客户端证书,请生成安全私钥并提供与中间权限证书捆绑在一起的客户端证书。您可以使用以下命令openssl
生成pkcs12文件,以将该信息存储在密钥存储区中:
使用 J2SE安装中打包的keytool应用程序,使用以下命令将您信任的参与方证书导入信任库:
如果您的SSL / TLS配置要求MongoDB集群的最终实体证书,则可以使用以下命令将其导入到信任存储中:
有关如何设置客户端密钥存储和信任存储以进行测试的更多信息,请参阅《 OpenSSL客户端测试证书》。
MongoDB Kafka Connector工作进程从环境变量读取JVM选项KAFKA_OPTS
。
KAFKA_OPTS
在启动工作程序实例之前,在变量中导出以下JVM选项,并用占位符替换值。
配置KAFKA_OPTS
变量后,连接器应在运行时尝试使用SSL / TLS协议和密钥库和信任库中的证书进行连接。