目前开源日志代理最新版本有的会对ssl握手进行common name的校验,(如logstash 6.x)所以在部署的时候如果采用证书方式进行部署的话需要把连接的域名和common name对应上。推荐采用阿里云的消息服务kafka(采用了SASL_SSL的方式进行ssl加密)
如何检验common name
openssl s_client -showcerts -connect kafka.bj.baidubce.com:9091
如上图所示,CN为mybroker 但域名是kafka.bj.baidubce.com:9091
这种情况 logstash6.x 是校验不通过的,filebeat有参数(verification_mode)可以不验证common name
但fluentd也不能正常进行握手。
