Mengonfigurasi autentikasi mTLS

Anda dapat mengonfigurasi cluster Managed Service for Apache Kafka untuk mengautentikasi klien Kafka menggunakan TLS dua arah (mTLS). Metode ini menggunakan sertifikat klien dari Certificate Authority Service (CA Service) sebagai dasar autentikasi. Opsi ini menyediakan alternatif untuk mekanisme SASL default yang menggunakan akun utama Identity and Access Management (IAM).

Saat Anda menggunakan mTLS, otorisasi harus dikonfigurasi menggunakan ACL Kafka. Untuk konsep dasar, lihat dokumen berikut:

Sebelum memulai

Sebelum mengonfigurasi autentikasi mTLS, selesaikan langkah-langkah berikut:

  • Konfirmasi kelayakan cluster. Pastikan Anda memiliki cluster Managed Service for Apache Kafka yang sudah ada dan dibuat setelah 24 Juni 2025. Hanya cluster ini yang mendukung autentikasi mTLS. Untuk memverifikasi tanggal pembuatan cluster, gunakan perintah gcloud managed-kafka clusters describe atau lihat halaman detail cluster di konsol.

  • Konfigurasi Layanan CA. Siapkan layanan CA dan kumpulan CA yang akan Anda gunakan untuk menerbitkan sertifikat klien. Anda harus membuat sertifikat root dan subordinat di dalam kumpulan CA.

    1. Buat CA pool. Catat ID kumpulan CA.

      Untuk mengetahui informasi selengkapnya tentang cara membuat kumpulan CA, lihat Membuat kumpulan CA.

    2. Buat dan aktifkan CA root untuk kumpulan.

      Untuk mengetahui informasi selengkapnya tentang cara mengaktifkan CA root untuk kumpulan, lihat Membuat CA root.

    3. Buat dan aktifkan satu atau beberapa CA subordinat. Sebaiknya gunakan CA subordinat untuk menerbitkan sertifikat klien, bukan menggunakan CA root secara langsung.

      Untuk mengetahui informasi selengkapnya tentang cara membuat CA subordinat, lihat Membuat otoritas sertifikat subordinat.

Peran dan izin yang diperlukan

Untuk mengonfigurasi mTLS, Anda harus memastikan bahwa Anda (pengguna) dan agen layanan Managed Service for Apache Kafka memiliki izin IAM yang diperlukan. Hal ini berlaku baik saat Anda membuat cluster baru atau mengupdate cluster yang ada untuk mengonfigurasi mTLS.

Izin pengguna

Untuk membuat atau mengonfigurasi cluster Managed Service for Apache Kafka untuk mTLS, Anda memerlukan izin untuk membuat atau memperbarui resource cluster. Untuk melakukannya, minta administrator Anda untuk memberi Anda peran Managed Kafka Cluster Editor (roles/managedkafka.clusterEditor) di project yang berisi cluster Anda.

Peran bawaan ini berisi izin managedkafka.clusters.create dan managedkafka.clusters.update. Izin ini memungkinkan Anda membuat cluster baru atau mengubah cluster yang ada untuk menambahkan konfigurasi kumpulan CA Service (CA) yang diperlukan untuk mTLS.

Anda tidak memerlukan izin terpisah pada resource CA Service untuk mengonfigurasi mTLS di cluster Kafka, selama Anda memiliki jalur resource lengkap dari kumpulan CA. Namun, untuk melihat, membuat, atau mengelola kumpulan CA di konsolGoogle Cloud , Anda memerlukan peran tambahan khusus untuk CA Service, seperti CA Service Admin (roles/privateca.admin) atau CA Service Operator (roles/privateca.operator).

Izin agen layanan

Agar integrasi mTLS berfungsi, agen layanan Managed Service for Apache Kafka memerlukan izin untuk mengakses kumpulan CA yang ditentukan. Agen layanan adalah akun layanan yang dikelola Google untuk project Anda.

  • Jika cluster Managed Service for Apache Kafka dan kumpulan CA Anda berada dalam project yang sama, agen layanan memiliki izin yang diperlukan secara default. Peran managedkafka.serviceAgent, yang otomatis diberikan kepada agen layanan di project Anda, mencakup izin privateca.caPools.get yang diperlukan.

  • Jika pool CA Anda berada di project yang berbeda dengan cluster Managed Service for Apache Kafka, Anda harus memberikan izin akses ke agen layanan secara manual. Berikan peran Private CA Pool Reader (roles/privateca.poolReader) kepada agen layanan di project yang berisi kumpulan CA.

Ringkasan izin yang diperlukan

Untuk melihat izin persis yang diperlukan, luaskan bagian berikut.

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Memberi agen layanan akses ke kumpulan CA

Jika pool CA Service CA dan cluster Managed Service for Apache Kafka Anda berada di project yang berbeda, Anda harus memberikan izin agen layanan cluster untuk mengakses pool CA. Google Cloud Agen layanan Managed Service for Apache Kafka diberi nama service-CLUSTER_PROJECT_NUMBER@gcp-sa-managedkafka.iam.gserviceaccount.com.

Berikan peran CA Pool Reader (roles/privateca.poolReader) kepada agen layanan Managed Service for Apache Kafka di tingkat pool individual (direkomendasikan) yang berisi CA Anda atau di semua pool dalam project. Peran ini memberikan izin privateca.caPools.get yang diperlukan.

Kumpulan CA individual

Pemberian izin ke satu kumpulan CA adalah pendekatan yang direkomendasikan karena mengikuti prinsip hak istimewa terendah.

Jalankan perintah gcloud privateca pools add-iam-policy-binding:

gcloud privateca pools add-iam-policy-binding CA_POOL_ID \
    --location=CA_POOL_LOCATION \
    --member='serviceAccount:service-CLUSTER_PROJECT_NUMBER@gcp-sa-managedkafka.iam.gserviceaccount.com' \
    --role='roles/privateca.poolReader'

Ganti kode berikut:

  • CA_POOL_ID: ID pool CA yang aksesnya Anda berikan. Contoh, test-mtls-pool1.

  • CA_POOL_LOCATION: Region Google Cloud tempat CA pool berada. Misalnya, us-central1.

  • CLUSTER_PROJECT_NUMBER: Nomor project dari project yang berisi cluster Managed Service for Apache Kafka Anda. Contoh, 12341234123.

Semua kumpulan CA

Atau, Anda dapat memberikan izin kepada agen layanan untuk mengakses semua kumpulan CA dalam project dengan menetapkan kebijakan di level project.

Jalankan perintah gcloud projects add-iam-policy-binding:

gcloud projects add-iam-policy-binding CA_PROJECT_ID \
    --member='serviceAccount:service-CLUSTER_PROJECT_NUMBER@gcp-sa-managedkafka.iam.gserviceaccount.com' \
    --role='roles/privateca.poolReader'

Ganti kode berikut:

  • CA_PROJECT_ID: ID project yang berisi kumpulan CA yang aksesnya Anda berikan. Contoh, test-cas-project.

  • CLUSTER_PROJECT_NUMBER: Nomor project dari project yang berisi cluster Managed Service for Apache Kafka Anda. Contoh, 12341234123.

Mengaktifkan mTLS di cluster

Untuk mengaktifkan mTLS, berikan nama resource dari satu atau beberapa kumpulan CA Service CA ke cluster Anda untuk digunakan dalam autentikasi klien. Anda dapat melakukannya saat membuat cluster baru atau dengan mengupdate cluster yang ada yang dibuat setelah 24 Juni 2025.

Setelah Anda memberikan ID kumpulan CA, layanan akan otomatis mendownload sertifikat CA dari kumpulan yang ditentukan dan menginstalnya ke truststore setiap broker di cluster.

Konsol

Anda dapat mengaktifkan mTLS di cluster baru selama pembuatan atau di cluster yang sudah ada dengan mengeditnya.

Di cluster baru

  1. Di konsol Google Cloud , buka halaman Clusters.

    Buka Cluster

  2. Pilih Create.

    Halaman Create Kafka cluster akan terbuka.

  3. Ikuti langkah-langkah di Membuat cluster.
  4. Sebelum langkah terakhir, temukan bagian Optional mTLS configuration.
  5. Masukkan nama resource lengkap pool CA dalam format projects/PROJECT_ID/LOCATION/LOCATION/caPools/POOL_ID.
  6. Untuk menambahkan lebih banyak, klik Tambahkan CA Pool. Anda dapat menambahkan hingga 10 kumpulan CA.
  7. (Opsional) Masukkan aturan pemetaan prinsipal.
  8. Klik Create untuk membuat cluster dengan mTLS diaktifkan.

Di cluster yang sudah ada

  1. Di konsol Google Cloud , buka halaman Clusters.

    Buka Cluster

  2. Klik nama cluster yang ingin Anda update.
  3. Klik Edit.
  4. Di bagian Konfigurasi mTLS, tambahkan atau ubah daftar kumpulan CA. Anda dapat menambahkan hingga 10 kumpulan CA.
  5. (Opsional) Masukkan atau edit aturan pemetaan utama.
  6. Klik Simpan.

gcloud

Di cluster baru

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Jalankan perintah gcloud managed-kafka clusters create dengan flag --mtls-ca-pools. Dalam contoh ini, dua kumpulan CA dikonfigurasi.

    gcloud managed-kafka clusters create CLUSTER_ID \
    --location=LOCATION \
    --cpu=3 \
    --memory=3GiB \
    --subnets=projects/PROJECT_ID/locations/LOCATION/subnetworks/SUBNET_ID \
    --mtls-ca-pools=projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID_1,projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID_2

Ganti kode berikut:

  • CLUSTER_ID: ID atau nama cluster.

    Untuk mengetahui informasi selengkapnya tentang cara memberi nama cluster, lihat Panduan untuk memberi nama resource Managed Service for Apache Kafka. Misalnya—test-mtls-cluster.

  • LOCATION: Lokasi cluster.

    Untuk mengetahui informasi selengkapnya tentang lokasi yang didukung, lihat Lokasi Managed Service for Apache Kafka yang didukung. Misalnya—us-central1.

  • SUBNETS: Daftar subnet yang akan dihubungkan. Gunakan koma untuk memisahkan beberapa nilai subnet.

    Format subnet adalah projects/PROJECT_ID/locations/LOCATION/subnetworks/SUBNET_ID.

    • POOL_ID_1: ID pool CA pertama. Misalnya—test-mtls-pool1.

  • POOL_ID_2: ID pool CA kedua. Misalnya—test-mtls-pool2.

Di cluster yang sudah ada

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Gunakan perintah gcloud managed-kafka clusters update. Perintah ini akan menimpa seluruh kumpulan pool yang saat ini dikonfigurasi. Berikan daftar lengkap kumpulan CA yang diperlukan. Dalam contoh ini, dua kumpulan CA dikonfigurasi.

    gcloud managed-kafka clusters update CLUSTER_ID \
    --location=LOCATION \
    --mtls-ca-pools=projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID_1,projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID_2

Ganti kode berikut:

Mengonfigurasi pemetaan nama utama

Saat klien melakukan autentikasi dengan mTLS, secara default, prinsipal Kafka berasal dari Nama Khusus (DN) Subjek sertifikat dan berbentuk User:CN=...,OU=...,O=...,L=...,ST=...,C=.... Buat aturan pemetaan untuk mengubah Subject DN sertifikat menjadi alias yang mudah digunakan dalam ACL Kafka. Untuk mengetahui informasi selengkapnya tentang formulir untuk Subject DN, lihat Menyesuaikan Nama Pengguna SSL dalam dokumentasi Apache Kafka.

Transformasi ini ditentukan oleh properti broker Kafka ssl.principal.mapping.rules, yang menggunakan ekspresi reguler untuk mengekstrak dan memformat ulang bagian subjek sertifikat.

Misalnya, Anda dapat menerapkan aturan untuk mengubah DN Subjek lengkap menjadi alias sebagai berikut:

  • DN Subjek Sertifikat: CN=order-processing-app,OU=marketing,O=company,C=US

  • Aturan pemetaan: RULE:^.*[Cc][Nn]=([a-zA-Z0-9.-]*).*$/$1/L,DEFAULT

  • Principal Kafka yang dihasilkan: order-processing-app

Contoh aturan ini mengekstrak Nama Umum (CN) dari subjek sertifikat dan menggunakannya sebagai nama utama di Kafka.

Untuk menetapkan aturan pemetaan di cluster menggunakan Google Cloud CLI, ikuti langkah-langkah berikut. Saat menggunakan konsol, Anda dapat menetapkan aturan pemetaan saat membuat atau memperbarui cluster.

  • Untuk memperbarui cluster, gunakan perintah gcloud managed-kafka clusters update dengan flag --ssl-principal-mapping-rules.

    gcloud managed-kafka clusters update CLUSTER_ID \
    --location=REGION \
    --ssl-principal-mapping-rules='MAPPING_RULE'

    Ganti kode berikut:

    • CLUSTER_ID: ID cluster Managed Service for Apache Kafka yang Anda buat. Misalnya—test-kafka-cluster.

    • REGION: Google Cloud region tempat cluster akan dibuat. Misalnya—us-central1.

    • MAPPING_RULE*: aturan pemetaan yang ingin Anda terapkan. Misalnya— RULE:^.*[Cc][Nn]=([a-zA-Z0-9.-]*).*$/$1/L,DEFAULT.

Untuk mengetahui informasi selengkapnya tentang cara menulis aturan pemetaan, lihat Otorisasi dan ACL dalam dokumentasi Apache Kafka.

Mengonfigurasi ACL Kafka untuk principal mTLS

Secara default, setiap klien yang berhasil diautentikasi dengan sertifikat mTLS yang valid akan diberi akses penuh ke cluster. Untuk menerapkan prinsip hak istimewa terendah, Anda harus membuat ACL Kafka untuk menentukan izin tertentu bagi pokok mTLS Anda. Principal untuk klien mTLS adalah Subject DN sertifikatnya (atau alias yang dipetakan), yang diawali dengan User:.

Untuk membuat ACL Kafka, Anda memerlukan peran IAM Managed Kafka ACL Editor (roles/managedkafka.aclEditor).

Asumsikan Anda memiliki aplikasi yang diidentifikasi oleh sertifikatnya yang menghasilkan pesan ke orders-topic dan menggunakan pesan dari analytics-topic. Akun utama aplikasi, setelah disederhanakan dengan aturan pemetaan, adalah order-processing-app. Saat membuat ACL Kafka, Anda harus menambahkan awalan User: ke prinsipal.

  1. Terapkan ACL WRITE ke cluster. Jalankan perintah gcloud managed-kafka acls add-entry untuk memberikan izin WRITE pada orders-topic.

    gcloud managed-kafka acls add-entry topic/orders-topic \
    --cluster=CLUSTER_ID \
    --location=REGION \
    --principal=User:order-processing-app \
    --operation=WRITE \
    --permission-type=ALLOW \
    --host="*"

    Ganti kode berikut:

    • CLUSTER_ID: ID cluster Managed Service for Apache Kafka yang Anda buat. Misalnya—test-kafka-cluster.

    • REGION: Google Cloud region tempat cluster akan dibuat. Misalnya—us-central1.

  2. Terapkan ACL READ ke cluster. Jalankan perintah gcloud managed-kafka acls add-entry untuk memberikan izin READ pada analytics-topic.

    gcloud managed-kafka acls add-entry topic/analytics-topic \
    --cluster=CLUSTER_ID \
    --location=REGION \
    --principal=User:order-processing-app \
    --operation=READ \
    --permission-type=ALLOW \
    --host="*"

Setelah menerapkan ACL ini, klien order-processing-app hanya memiliki izin tertentu yang Anda berikan. Untuk mengetahui informasi selengkapnya tentang cara membuat ACL, lihat Membuat ACL Kafka.

Mengonfigurasi klien Kafka

Setelah mengonfigurasi mTLS di cluster, Anda harus mengonfigurasi aplikasi klien untuk melakukan autentikasi menggunakan metode ini. Prosesnya melibatkan pembuatan sertifikat klien dan mengonfigurasi properti klien Anda untuk menggunakannya.

  1. Buat dan download sertifikat klien di mesin klien Anda. Jalankan perintah gcloud privateca certificates create untuk menerbitkan sertifikat baru dari salah satu kumpulan CA yang Anda konfigurasi untuk cluster Anda.

    Perintah ini akan mendownload sertifikat client-cert.pem dan kunci pribadinya client-key.pem ke lingkungan lokal Anda.

    gcloud privateca certificates create CERTIFICATE_ID \
    --project=PROJECT_ID \
    --issuer-location=REGION \
    --issuer-pool=POOL_ID \
    --ca=CA_NAME \
    --generate-key \
    --dns-san="client.example.com" \
    --subject="CN=test-client-app" \
    --key-output-file=client-key.pem \
    --cert-output-file=client-cert.pem

    Ganti kode berikut:

    • CERTIFICATE_ID: nama unik untuk objek sertifikat. Misalnya—order-app-cert.

    • PROJECT_ID: ID project yang berisi CA pool. Misalnya—test-project-12345.

    • REGION: region tempat kumpulan CA berada. Misalnya—us-central1.

    • POOL_ID: ID pool CA yang akan menerbitkan sertifikat. Misalnya—test-mtls-pool1.

    • CA_NAME: nama Otoritas Sertifikat dalam pool. Misalnya—test-sub-ca.

    • --dns-san="client.example.com": Nama Alternatif Subjek DNS. Anda dapat menggunakan nilai apa pun yang relevan untuk klien Anda.

    • --subject="CN=test-client-app": DN Subjek. Nama ini digunakan sebagai principal mTLS, kecuali jika Anda telah mengonfigurasi aturan pemetaan nama principal.

  2. Melihat sertifikat klien, melihat subjek sertifikat, dan memverifikasi ssl.principal.mapping.rules. Jalankan perintah gcloud privateca certificates describe:

    gcloud privateca certificates describe CERTIFICATE_ID \
   --issuer-pool=POOL_ID \
   --issuer-location=REGION

    Ganti kode berikut:

    • CERTIFICATE_ID: nama unik untuk objek sertifikat. Misalnya— order-app-cert.

    • POOL_ID: ID pool CA tempat Anda menerbitkan sertifikat. Misalnya— test-mtls-pool1.

    • REGION: region tempat kumpulan CA berada. Misalnya— us-central1.

    Outputnya mirip dengan hal berikut ini:

    certificateDescription:
  aiaIssuingCertificateUrls:
  - http://privateca-content-68e092f4-0000-288c-95cf-30fd3814648c.storage.googleapis.com/a6553d092bbedd752e34/ca.crt
  authorityKeyId:
    keyId: 9568aa9d2baa11a097addc2e24adeaebea0d6a2a
  certFingerprint:
    sha256Hash: 230e52b8411fd094048fca194fc6cf80e41b3e8561298aec3519e13cb1fd05eb
  ...
  subjectDescription:
    hexSerialNumber: 2107b74cf5a814043a38a87eeb6cd7c7891a5f
    lifetime: P30D
    notAfterTime: '2025-07-13T15:34:43Z'
    notBeforeTime: '2025-06-13T15:34:44Z'
    subject:
      commonName: test-client-app
    subjectAltName:
      dnsNames:
      - client.example.com
  ...

  3. Buat Java KeyStore. Gabungkan sertifikat dan kunci pribadi ke dalam file PKCS#12, lalu impor ke dalam file Java KeyStore (.jks).

    # Create a password for the keystore
export KEYSTORE_PASSWORD="KEYSTORE_PASSWORD"

# Combine the key and cert into a PKCS#12 file
openssl pkcs12 -export -inkey client-key.pem -in client-cert.pem \
  -name client -out client-keystore.p12 -password "pass:$KEYSTORE_PASSWORD"

# Import the PKCS#12 file into a Java KeyStore
keytool -importkeystore -srckeystore client-keystore.p12 -srcstoretype pkcs12 \
  -destkeystore client-keystore.jks -srcstorepass "$KEYSTORE_PASSWORD" -deststorepass "$KEYSTORE_PASSWORD"

    Anda dapat memverifikasi bahwa kunci telah berhasil disimpan dengan menjalankan perintah berikut:

    keytool -v -list -keystore client-keystore.jks -storepass "$KEYSTORE_PASSWORD"

    Outputnya mirip dengan hal berikut ini:

    Keystore type: JKS
Keystore provider: SUN

Your keystore contains 1 entry

Alias name: client
Creation date: Jun 13, 2024
Entry type: Private key entry
Certificate chain length: 1
Certificate[1]:
Owner: CN=test-client-app
Issuer: CN=test-sub-ca
...

    Perhatikan bahwa baris Owner menampilkan Subject DN sertifikat. Secara default, Kafka menetapkan prinsipal Kafka ke format yang tepat ini: CN=...,OU=...,O=...,L=...,ST=...,C=.... Untuk mengetahui informasi selengkapnya, lihat Otorisasi dan ACL dalam dokumentasi Apache Kafka.

  4. Konfigurasi properti klien Kafka dan alamat bootstrap. Di aplikasi klien Kafka, tetapkan properti berikut untuk menggunakan keystore bagi koneksi SSL. Selain itu, pastikan untuk menggunakan alamat bootstrap yang benar dengan port 9192. Untuk mengetahui informasi selengkapnya tentang cara menyiapkan klien, lihat Mulai Cepat: Membuat cluster Managed Service for Apache Kafka dan menghubungkan klien.

    security.protocol=SSL
ssl.keystore.location=KEYSTORE_LOCATION
ssl.keystore.password=KEYSTORE_PASSWORD
bootstrap.servers=CLUSTER_BOOTSTRAP_ADDRESS

    Ganti kode berikut:

    • KEYSTORE_LOCATION: jalur ke file .jks.

    • KEYSTORE_PASSWORD: sandi untuk keystore.

    • CLUSTER_BOOTSTRAP_ADDRESS: alamat bootstrap cluster Anda. Untuk menemukan alamat bootstrap, lihat bagian Melihat detail cluster. Pastikan untuk menambahkan nomor port sebagai 9192.

Mengamankan konfigurasi klien Anda

Contoh sebelumnya melibatkan penyimpanan kunci pribadi dan sandi secara lokal, jadi kami tidak merekomendasikannya untuk lingkungan produksi. Untuk produksi, tangani secret klien Anda secara aman. Opsinya meliputi:

  • Simpan keystore dan sandinya sebagai secret di Google Cloud Secret Manager dan ambil saat runtime di kode aplikasi Anda.

  • Jika Anda men-deploy aplikasi di GKE, gunakan add-on Secret Manager untuk memasang secret ke sistem file aplikasi Anda saat runtime.

Memantau mTLS

Anda dapat memantau kondisi pembaruan sertifikat mTLS menggunakan metrik dan log di Cloud Monitoring dan Cloud Logging.

Untuk memantau secara proaktif kondisi pembaruan sertifikat mTLS, gunakan metrik managedkafka.googleapis.com/mtls_truststore_update_count di Monitoring. Metrik ini menghitung upaya update truststore dan mencakup label STATUS, yang dapat berupa SUCCESS atau alasan kegagalan seperti CA_POOL_FETCH_ERROR.

Layanan Managed Service for Apache Kafka mencoba memperbarui truststore sekali per jam untuk setiap cluster. Sebaiknya buat pemberitahuan yang dipicu saat metrik ini melaporkan jumlah error yang persisten selama lebih dari tiga jam, karena hal ini dapat menunjukkan kesalahan konfigurasi yang memerlukan intervensi manual.

Pembaruan truststore menggunakan kuota Certificate Authority Service API. Penting untuk memahami hal berikut:

  • Proses update memanggil metode FetchCaCerts, yang tunduk pada kuota API requests per minute per region.

  • Penggunaan kuota ini dikaitkan dengan project Anda yang berisi kumpulan CA yang dirujuk, bukan project Managed Service for Apache Kafka.

  • Batas default adalah 400 kueri per detik (QPS) per region. Mengingat frekuensi rendah satu permintaan per cluster per jam, kemungkinan pembaruan truststore ini tidak akan menyebabkan Anda melebihi kuota ini.

Anda juga dapat melacak update truststore dengan melihat log di Logging. Cari entri log berikut untuk mengonfirmasi update yang berhasil:

  • Managed Service for Apache Kafka updated the mTLS trust store

  • Added root CA certificate to trust store

Langkah berikutnya

Apache Kafka® adalah merek dagang terdaftar milik The Apache Software Foundation atau afiliasinya di Amerika Serikat dan/atau negara lain.