Zum Inhalt springen

Änderungen von Dokument NATS - Technisches Setup

Zuletzt geändert von Daniel Herrmann am 2025/12/14 16:20
Von Version Icon 14.1 Icon
bearbeitet von Daniel Herrmann
am 2025/10/02 18:48
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version Icon 19.1 Icon
bearbeitet von Daniel Herrmann
am 2025/12/14 16:00
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Icon Seiteneigenschaften
Übergeordnete Seite
... ... @@ -1,0 +1,1 @@
1 +PROJ.Digitale Mitgliederverwaltung.Technische Dokumentation.WebHome
Inhalt
... ... @@ -44,7 +44,7 @@
44 44  
45 45  == Authentifizierung ==
46 46  
47 -Die Kommunikation ist TLS verschlüsselt, es kommen die TLS Zertifikate aus [[HashiCorp KeyVault>>doc:xwiki:IN.IT Infrastruktur.Kubernetes Cluster.Hashicorp Vault.WebHome]] zum Einsatz. Diese werden dann einzelnen Accounts zugewiesen. Der NATS Server validiert das Zertifikat an Hand der Zertifikatskette und mapt dann die Zertifikatsinformationen zu einem User. Üblicherweise wird dabei ein SAN (Subject Alternative Name) in Form einer Mail-Adresse verwendet. Diese gibt es in unserem Fall nicht, sodass das Subject verwendet wird. Wichtig ist, dass das Subject in RFC2253 Form verwendet werden muss.
47 +Die Kommunikation ist TLS verschlüsselt, es kommen die TLS Zertifikate aus [[HashiCorp KeyVault>>doc:xwiki:IN.IT Infrastruktur.Services.Hashicorp Vault.WebHome]] zum Einsatz. Diese werden dann einzelnen Accounts zugewiesen. Der NATS Server validiert das Zertifikat an Hand der Zertifikatskette und mapt dann die Zertifikatsinformationen zu einem User. Üblicherweise wird dabei ein SAN (Subject Alternative Name) in Form einer Mail-Adresse verwendet. Diese gibt es in unserem Fall nicht, sodass das Subject verwendet wird. Wichtig ist, dass das Subject in RFC2253 Form verwendet werden muss.
48 48  
49 49  {{code language="shell"}}
50 50  $ openssl x509 -noout -text -nameopt RFC2253 -in backend.mksp-da.de.crt
... ... @@ -112,9 +112,9 @@
112 112  Zur Administration bietet sich die Verwendung der [[NATS CLI >>url:https://github.com/nats-io/natscli||shape="rect"]]an. Diese muss einmalig eingerichtet werden, dafür sind die entsprechenden Zertifikatsdateien notwendig. Wir legen zwei Kontexte an, einen für den Cluster Admin, einen für den JetStream Admin:
113 113  
114 114  {{code language="shell"}}
115 -nats context add mksp-sysadmin --server ds-hetzner.mksp-da.de:4222 --description "MKSP NATS SYS Admin" --tlscert /path/to/admin.mksp-da.de.crt --tlskey /path/to/admin.mksp-da.de.key --tlsca /path/to/mksp_root_x1_ca.crt
115 +nats context add mksp-sysadmin --server nats.mksp-da.de:4222 --description "MKSP NATS SYS Admin" --tlscert /path/to/admin.mksp-da.de.crt --tlskey /path/to/admin.mksp-da.de.key --tlsca /path/to/mksp_root_x1_ca.crt
116 116  
117 -nats context add mksp-jsadmin --server ds-hetzner.mksp-da.de:4222 --description "MKSP NATS JetStream" --tlscert /path/to/jsadmin.mksp-da.de.crt --tlskey /path/to/jsadmin.mksp-da.de.key --tlsca /path/to/mksp_root_x1_ca.crt
117 +nats context add mksp-jsadmin --server nats.mksp-da.de:4222 --description "MKSP NATS JetStream" --tlscert /path/to/js-admin.mksp-da.de.crt --tlskey /path/to/js-admin.mksp-da.de.key --tlsca /path/to/mksp_root_x1_ca.crt
118 118  {{/code}}
119 119  
120 120  Anschließend wählen wir den richtigen Kontext aus, in diesem Fall den JetStream Admin Context:
... ... @@ -239,6 +239,9 @@
239 239  (% class="nc" %){{code language="none"}}UserEvent{{/code}}
240 240  )))
241 241  |(((
242 +mksp.backend.user.created
243 +)))|backend_user_created|UserEvent
244 +|(((
242 242  mksp.docuseal.document.signed
243 243  )))|docuseal_document_signed|(((
244 244  SignatureEvent
... ... @@ -245,10 +245,14 @@
245 245  )))
246 246  |(((
247 247  mksp.docuseal.signature.expired
248 -)))| |
251 +)))| |(((
252 +SignatureEvent
253 +)))
249 249  |(((
250 250  mksp.docuseal.signature.completed
251 -)))| |
256 +)))| |(((
257 +SignatureEvent
258 +)))
252 252  
253 253  Die Consumer können dann wie folgt angelegt werden:
254 254  
... ... @@ -260,13 +260,13 @@
260 260  nats consumer add backend_events backend_key_assigned --pull --filter="mksp.backend.key.assigned" --defaults
261 261  {{/code}}
262 262  
263 -= {{id name="NATSSetup-Troubleshooting"/}}Troubleshooting =
270 += Troubleshooting =
264 264  
265 265  Man kann über die NATS CLI mit dem Server interagieren.
266 266  
267 -== {{id name="NATSSetup-JetStream"/}}JetStream ==
274 +== JetStream ==
268 268  
269 -=== {{id name="NATSSetup-Streams"/}}Streams ===
276 +=== Streams ===
270 270  
271 271  Man kann sich die vorhandenen Streams und die Anzahl der Nachrichten anschauen. Die Anzahl sollte üblicherweise 0 sein, wenn die Zahl höher ist, werden Events nicht richtig abgearbeitet.
272 272  
... ... @@ -292,7 +292,7 @@
292 292  {"timestamp":"2025-09-08T09:06:00.062358","stora
293 293  {{/code}}
294 294  
295 -=== {{id name="NATSSetup-Consumer"/}}Consumer ===
302 +=== Consumer ===
296 296  
297 297  Die bestehenden Consumer kann man sich ebenfalls im Jetstream Context anzeigen lassen:
298 298  
... ... @@ -347,7 +347,7 @@
347 347  * **Unprocessed Messages** sind Nachrichten, die noch nicht abgerufen wurden. Dies sollte immer 0 sein
348 348  * **Waiting Pulls**: die Anzahl der verbundenen Clients. Üblicherweise sollte das nur n8n sein, also immer 1.
349 349  
350 -== {{id name="NATSSetup-Server"/}}Server ==
357 +== Server ==
351 351  
352 352  Man kann sich ebenfalls die aktiven Verbindungen anzeigen:
353 353