반응형
Q. 브로커/토픽에 누구나 접근 가능한 상태라면 어떻게 통제해야하나?
1. 접속 통제 : 내부/외부 리스너 분리, mTLS 또는 SASL 필수, ACL 최소 권한, TLS 전체 구간, 방화벽/VPC/VPN
2. 메시지 자체 보호 : 메시지 value 전체 암호화 (AES-GCM 등) + 서명 + 일련번호 + 타임스탬프
- 연속 번호 아니면 버림
- 서명 불일치 버림
3. 전용 통로 : 금융권에서는 사설망/PrivateLink/VPN으로 별도 라인
Q. OIDC로 토큰 인증 쏠 때 갱신/만료/재연결은?
동시 폭주만 막으면 된다.
- 조기 갱신(만료 5 ~ 10분 전), 지수 백오프 + 지터, 프로세스 내 토큰 공유 캐시
- 롤링 배포 시 소수씩 재시작
- 모니터링: 토큰 발급 실패율/지연, 재연결 성공률 알람
Q. ZooKeeper -> KRaft 전환 시 보안 이행은?
덤프 -> 재적용 -> 리허설 순
1. ZK 현행 ACL/주체/SCRAM 덤프
2. KRaft 클러스터에 동일 리스너/보안 구성
3. 자격/ACL 재적용, 인증서/키 배포
4. Mirror/리허설로 인증/인가/지연 점검, 롤백 플랜 준비
5. 점진 전환(읽기 -> 쓰기), 안정 후 ZK 정리
반응형
'독서' 카테고리의 다른 글
| [카프카 핵심 가이드] Ch 13, Ch 14 (0) | 2025.09.07 |
|---|---|
| [카프카 핵심 가이드] Ch 09, Ch 10 (1) | 2025.08.24 |
| [카프카 핵심 가이드] Ch 05, Ch 06 (3) | 2025.08.10 |
| [카프카 핵심 가이드] Ch 04 (3) | 2025.08.03 |
| [카프카 핵심 가이드] Ch 03 (2) | 2025.07.27 |