Änderungen von Dokument NATS - Technisches Setup

Zuletzt geändert von Daniel Herrmann am 2025/12/14 16:20

Verwalten
- Kopieren
Aktionen
- Exportieren
- Druckvorschau
Ansichten

Von 9.1 nach 8.1 Von 10.1 nach 9.2

Von Version

9.2

bearbeitet von Daniel Herrmann
am 2025/09/20 09:59

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Auf Version

9.1

bearbeitet von Daniel Herrmann
am 2025/09/10 09:08

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Inhalt

@@ -2,9 +2,9 @@
  Unser Backend (oder auch andere Systeme) publizieren Events in NATS, die dann beispielsweise in N8n über ein Trigger konsumiert werden.
--= Grundlagen =
++= {{id name="NATSSetup-Grundlagen"/}}Grundlagen =
--== Übersicht ==
++== {{id name="NATSSetup-Übersicht"/}}Übersicht ==
  NATS kann grob in zwei Varianten unterteilt werden, **NATS Core** und **NATS JetStream**.
@@ -12,17 +12,17 @@
  NATS JetStream erweitert NATS Core um Funktionen wie **Persistenz, wiederholtes Lesen von Nachrichten und zeitversetzte Verarbeitung**. Nachrichten können gespeichert werden, was eine zuverlässige Zustellung, Wiederholungen und komplexe Workflows ermöglicht. JetStream ist damit besonders geeignet für Szenarien, in denen eine dauerhafte Verarbeitung oder Event-Sourcing erforderlich ist, während Core eher für schnelle, vorübergehende Nachrichtenübertragung optimiert ist.
--== Accounts ==
++== {{id name="NATSSetup-Accounts"/}}Accounts ==
--(% style="color:var(--ds-text,#333333); text-decoration:none" %)Accounts sind eine Möglichkeit, Mandanten oder Anwendungen innerhalb eines Clusters oder NATS Servers voneinander abzugrenzen. Jeder Account besitzt einen eigenen Namespace für Subjekte, verwaltet seine Benutzer und deren Berechtigungen und bietet so eine klare Trennung zwischen unterschiedlichen Workloads. Gleichzeitig lassen sich über Exports und Imports bestimmte Subjekte gezielt mit anderen Accounts teilen, sodass Kommunikation zwischen getrennten Bereichen möglich bleibt. Auf diese Weise stellen Accounts die Grundlage für Multi-Tenancy, Sicherheit und flexible Skalierung in NATS dar.
++(% style="text-decoration: none;color:var(--ds-text,#333333);" %)Accounts sind eine Möglichkeit, Mandanten oder Anwendungen innerhalb eines Clusters oder NATS Servers voneinander abzugrenzen. Jeder Account besitzt einen eigenen Namespace für Subjekte, verwaltet seine Benutzer und deren Berechtigungen und bietet so eine klare Trennung zwischen unterschiedlichen Workloads. Gleichzeitig lassen sich über Exports und Imports bestimmte Subjekte gezielt mit anderen Accounts teilen, sodass Kommunikation zwischen getrennten Bereichen möglich bleibt. Auf diese Weise stellen Accounts die Grundlage für Multi-Tenancy, Sicherheit und flexible Skalierung in NATS dar.
--(% style="color:var(--ds-text,#333333); text-decoration:none" %)Wir verwenden zwei verschiedene Accounts:
++(% style="text-decoration: none;color:var(--ds-text,#333333);" %)Wir verwenden zwei verschiedene Accounts:
--|=(((
++|=(% scope="col" %)(((
  Account
--)))|=(((
++)))|=(% scope="col" %)(((
  Berechtigungen
--)))|=(((
++)))|=(% scope="col" %)(((
  Beschreibung
  )))
  |(((
@@ -42,9 +42,9 @@
  Benutzer können jeweils nur einem Account zugeordnet werden.
--== Authentifizierung ==
++== {{id name="NATSSetup-Authentifizierung"/}}Authentifizierung ==
--Die Kommunikation ist TLS verschlüsselt, es kommen die TLS Zertifikate aus [[HashiCorp KeyVault>>doc:xwiki:IN.IT Infrastruktur.Kubernetes Cluster.Hashicorp Vault.WebHome]] zum Einsatz. Diese werden dann einzelnen Accounts zugewiesen. Der NATS Server validiert das Zertifikat an Hand der Zertifikatskette und mapt dann die Zertifikatsinformationen zu einem User. Üblicherweise wird dabei ein SAN (Subject Alternative Name) in Form einer Mail-Adresse verwendet. Diese gibt es in unserem Fall nicht, sodass das Subject verwendet wird. Wichtig ist, dass das Subject in RFC2253 Form verwendet werden muss.
++Die Kommunikation ist TLS verschlüsselt, es kommen die TLS Zertifikate aus [[HashiCorp KeyVault>>confluencePage:page:IN.Hashicorp Vault]] zum Einsatz. Diese werden dann einzelnen Accounts zugewiesen. Der NATS Server validiert das Zertifikat an Hand der Zertifikatskette und mapt dann die Zertifikatsinformationen zu einem User. Üblicherweise wird dabei ein SAN (Subject Alternative Name) in Form einer Mail-Adresse verwendet. Diese gibt es in unserem Fall nicht, sodass das Subject verwendet wird. Wichtig ist, dass das Subject in RFC2253 Form verwendet werden muss.
  {{code language="shell"}}
  $ openssl x509 -noout -text -nameopt RFC2253 -in backend.mksp-da.de.crt
@@ -56,7 +56,7 @@
  Diese Subject wird dann dem Account zugeordnet:
--{{code}}
++{{code language="json"}}
  system_account: SYS
  accounts: {
    MKSP: {
@@ -83,11 +83,11 @@
  Da ein User nur einem Account zugeordnet werden kann, gibt es einen admin User für administrative Tätigkeiten sowie einen JetStream Admin User für die Account-Verwaltung.
--== NATS Core mit Accounts ==
++== {{id name="NATSSetup-NATSCoremitAccounts"/}}NATS Core mit Accounts ==
  Damit die NATS Core Messages auch weiterhin funktionieren müssen publish und subscribe Berechtigungen vergeben werden. NATS wird neben dem Eventmanagement auch noch für die Task Queue mit Taskiq eingesetzt, hier werden zur Zeit noch Core Funktionalitäten verwendet. Daher muss die Berechtigung für den backend User erweitert werden:
--{{code}}
++{{code language="json"}}
  accounts: {
    MKSP: {
      users: [
@@ -103,11 +103,11 @@
  Wichtig sind hier die zusätzlichen Permissions, die den Zugriff auf Core Events regeln.
--== JetStream Konfiguration ==
++== {{id name="NATSSetup-JetStreamKonfiguration"/}}JetStream Konfiguration ==
  In unserem Fall ist Persistenz auch bei einem zeitweisen Ausfall der Internetverbindung im Makerspace notwendig, sodass wir JetStream mit Message Retention verwenden. Dabei müssen die wichtigen Komponenten vorab angelegt werden.
--=== NATS CLI konfigurieren ===
++=== {{id name="NATSSetup-NATSCLIkonfigurieren"/}}NATS CLI konfigurieren ===
  Zur Administration bietet sich die Verwendung der [[NATS CLI >>url:https://github.com/nats-io/natscli||shape="rect"]]an. Diese muss einmalig eingerichtet werden, dafür sind die entsprechenden Zertifikatsdateien notwendig. Wir legen zwei Kontexte an, einen für den Cluster Admin, einen für den JetStream Admin:
@@ -123,7 +123,7 @@
  nats context select mksp-jsadmin
  {{/code}}
--=== JetStream initialisieren ===
++=== {{id name="NATSSetup-JetStreaminitialisieren"/}}JetStream initialisieren ===
  JetStream ist in so genannte **Streams** unterteilt, welche bestimmte **Subjects** in einem Stream zusammenfassen. Wir nutzen für alle Events einen gemeinsamen Präfix (mksp), sodass wir den Stream hierfür erstellen. Die NATS Dokumentation selbst beschreibt die Konzepte sehr gut:
@@ -136,17 +136,17 @@
  nats stream add backend_events --subjects "mksp.>" --retention work --max-age 7d --storage file --defaults
  {{/code}}
--=== JetStream Consumer ===
++=== {{id name="NATSSetup-JetStreamConsumer"/}}JetStream Consumer ===
  Consumer sind eine Auswahl / Ansicht von Teilen eines Streams. Details finden sich wieder in der NATS Dokumentation: [[https:~~/~~/docs.nats.io/nats-concepts/jetstream/consumers>>url:https://docs.nats.io/nats-concepts/jetstream/consumers||shape="rect"]]
  Consumer können entweder persistent sein (dauerhaft, ein Client kann dann den bestehenden Consumer neben) oder flüchtig (ephemeral), in diesem Fall wird der Consumer beim Erstellen des Clients (beispielsweise durch N8n) angelegt. In der Regel werden Consumer durch einen Filter auf bestimmte Subjects beschränkt, diese dürfen sich nicht überschneiden. Da die NATS JavaScript Client Library (die von n8n verwendet wird) es leider nicht sinnvoll erlaubt, ephemeral Consumer anzulegen verwenden wir dauerhafte Consumer-Namen.
--|=(((
++|=(% scope="col" %)(((
  Backend Event
--)))|=(((
++)))|=(% scope="col" %)(((
  Consumer Name
--)))|=(((
++)))|=(% scope="col" %)(((
  Schema
  )))
  |(((
@@ -156,7 +156,7 @@
  )))|(((
  backend_briefing_offer_cancelled
  )))|(((
--(% class="nc" %)##BriefingOfferEvent##
++##(% class="nc" %)BriefingOfferEvent(%%)##
  )))
  |(((
  {{code language="none"}}
@@ -165,14 +165,14 @@
  )))|(((
  backend_briefing_offer_created
  )))|(((
--(% class="nc" %)##BriefingOfferEvent##
++##(% class="nc" %)BriefingOfferEvent(%%)##
  )))
  |(((
--(% class="s" %)##mksp.backend.briefing.offer.updated##
++##(% class="s" %)mksp.backend.briefing.offer.updated(%%)##
  )))|(((
  backend_briefing_offer_updated
  )))|(((
--(% class="nc" %)##BriefingOfferEvent##
++##(% class="nc" %)BriefingOfferEvent(%%)##
  )))
  |(((
  {{code language="none"}}
@@ -181,28 +181,28 @@
  )))|(((
  backend_briefing_created
  )))|(((
--(% class="n" %)##BriefingEvent##
++##(% class="n" %)BriefingEvent(%%)##
  )))
  |(((
--(% class="s" %)##mksp.backend.key.assigned##
++##(% class="s" %)mksp.backend.key.assigned(%%)##
  )))|(((
  backend_key_assigned
  )))|(((
--(% class="nc" %)##KeyEvent##
++##(% class="nc" %)KeyEvent(%%)##
  )))
  |(((
--(% class="s" %)##mksp.backend.key.unassigned##
++##(% class="s" %)mksp.backend.key.unassigned(%%)##
  )))|(((
  backend_key_unassigned
  )))|(((
--(% class="nc" %)##KeyEvent##
++##(% class="nc" %)KeyEvent(%%)##
  )))
  |(((
--(% class="s" %)##mksp.backend.storage.reserved##
++##(% class="s" %)mksp.backend.storage.reserved(%%)##
  )))|(((
  backend_storage_reserved
  )))|(((
--(% class="nc" %)##StorageSpaceEvent##
++##(% class="nc" %)StorageSpaceEvent(%%)##
  )))
  |(((
  (% class="s" %){{code language="none"}}mksp.backend.storage.released{{/code}}
@@ -209,7 +209,7 @@
  )))|(((
  backend_storage_released
  )))|(((
--(% class="nc" %)##StorageSpaceEvent##
++##(% class="nc" %)StorageSpaceEvent(%%)##
  )))
  |(((
  (% class="s" %){{code language="none"}}mksp.backend.storage.expired{{/code}}
@@ -235,7 +235,7 @@
  Die Consumer können dann wie folgt angelegt werden:
--{{code}}
++{{code language="json"}}
  $ nats consumer add backend_events <name> --pull --filter="<filter>" --defaults
  # Beispiel