[카프카 핵심 가이드] Ch 11, Ch 12

Q. 브로커/토픽에 누구나 접근 가능한 상태라면 어떻게 통제해야하나?

 

1. 접속 통제 : 내부/외부 리스너 분리, mTLS 또는 SASL 필수, ACL 최소 권한, TLS 전체 구간, 방화벽/VPC/VPN

2. 메시지 자체 보호 : 메시지 value 전체 암호화 (AES-GCM 등) + 서명 + 일련번호 + 타임스탬프

    - 연속 번호 아니면 버림

    - 서명 불일치 버림

3. 전용 통로 : 금융권에서는 사설망/PrivateLink/VPN으로 별도 라인

 

 

Q. OIDC로 토큰 인증 쏠 때 갱신/만료/재연결은?

 

동시 폭주만 막으면 된다.

• 조기 갱신(만료 5 ~ 10분 전), 지수 백오프 + 지터, 프로세스 내 토큰 공유 캐시
• 롤링 배포 시 소수씩 재시작
• 모니터링: 토큰 발급 실패율/지연, 재연결 성공률 알람

 

 

Q. ZooKeeper -> KRaft 전환 시 보안 이행은?

 

덤프 -> 재적용 -> 리허설 순

 

1. ZK 현행 ACL/주체/SCRAM 덤프

2. KRaft 클러스터에 동일 리스너/보안 구성

3. 자격/ACL 재적용, 인증서/키 배포

4. Mirror/리허설로 인증/인가/지연 점검, 롤백 플랜 준비

5. 점진 전환(읽기 -> 쓰기), 안정 후 ZK 정리