Моя цель - запустить распределенный кластер NIFI внутри док-контейнеров на Docker Swarm.Конфигурации, которые я сделал для официального образа докера NIFI, работают так, что я могу запустить кластер.
Для кластера я использую одну службу, и каждая реплика является отдельным экземпляром NIFI.Поскольку это работает, я хочу продолжить с безопасностью сейчас.Я начал с применения публично подписанного сертификата с подстановочными знаками к Java-приложению, используя секрет (передача хранилища доверия и ключей).На мой взгляд, это может быть осуществимым подходом для большинства распределенных Java-приложений.Но с NIFI у меня теперь возникла проблема, что сам NIFI не поддерживает групповые сертификаты.
В настоящее время я думаю о подходе к запуску кластера таким образом, чтобы каждый контейнер имел свой собственный сертификат.Моя текущая идея состоит в том, чтобы запускать самозаверяющие сертификаты внутри контейнера с помощью внутреннего внутреннего СА, которому доверяют JVM NIFI.Поскольку я не на 100% уверен, что это правильный подход к этой проблеме, я благодарен за подсказки и идеи.
NIFI использует некоторые порты для связи, а запросы отправляются с использованием протокола HTTP / S.Сам NIFI работает как Java-приложение на узлах / контейнерах.