Kafka SASL/PLAIN静态认证集群部署

最新推荐文章于 2024-06-24 07:30:00 发布
最新推荐文章于 2024-06-24 07:30:00 发布
阅读量1.3k 收藏 4
点赞数 4
分类专栏: kafka 文章标签: kafka big data
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Astralisxoxo/article/details/120335549
版权

Kafka SASL/PLAIN静态认证集群部署

在Kafka中,SASL机制包含三种,它们分别是Kerberos、PLAIN、SCRAM。以PLAIN认证为示例。

1. 服务端配置

1、解压安装包

tar -zxvf kafka_2.11-2.4.1.tgz -C /home/xyp9x/

2、改名

mv kafka_2.11-2.4.1 kafka_sasl

3、在kafka_sasl目录下创建logs、kafka-logs文件夹

mkdir logs kafka-logs

4、在config目录中创建kafka_server_jaas.conf文件,前三行是配置管理员账户(该账户与上面server.properties中配置的super.users一样)后面的即 user_用户名=“该用户的密码”。之后配置ACL的时候需要用到这里配置的用户

vi kafka_server_jaas.conf

KafkaServer {
	org.apache.kafka.common.security.plain.PlainLoginModule required
	username="admin"
	password="admin"
	user_admin="admin"
	user_xyp9x="xyp9x";
};

5、修改配置文件

vi server.properties

将原内容全部清空,输入以下内容:

#broker的全局唯一编号,不能重复
broker.id=0
#是否允许删除topic
delete.topic.enable=true
#处理网络请求的线程数量
num.network.threads=3
#用来处理磁盘IO的线程数量
num.io.threads=8
#发送套接字的缓冲区大小
socket.send.buffer.bytes=102400
#接收套接字的缓冲区大小
socket.receive.buffer.bytes=102400
#请求套接字的最大缓冲区大小
socket.request.max.bytes=104857600
#kafka数据存放的路径
log.dirs=/home/xyp9x/kafka_sasl/kafka-logs
#topic在当前broker上的分区个数
num.partitions=1
#用来恢复和清理data下数据的线程数量
num.recovery.threads.per.data.dir=1
#segment文件保留的最长时间,超时将被删除
log.retention.hours=168
#配置连接Zookeeper集群地址
zookeeper.connect=bigdata111:2181,bigdata112:2181,bigdata113:2181
#kafka连接zookeeper超时时间90s
zookeeper.connection.timeout.ms=90000

#认证配置
listeners=SASL_PLAINTEXT://192.168.1.111:9092
#PLAINTEXT不加密明文传输, 省事, 性能也相对好
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.enabled.mechanisms=PLAIN
sasl.mechanism.inter.broker.protocol=PLAIN
#ACL配置
#设置为true,ACL机制为黑名单机制,只有黑名单中的用户无法访问
#设置为false,ACL机制为白名单机制,只有白名单中的用户可以访问
allow.everyone.if.no.acl.found=false
super.users=User:admin
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer

6、在Kafka启动脚本中添加配置文件路径

vi kafka-server-start.sh

#!/bin/bash
export KAFKA_OPTS="-Djava.security.auth.login.config=/home/xyp9x/kafka_sasl/config/kafka_server_jaas.conf"

7、配置环境变量

vi /etc/profile

# Kafka_sasl
export KAFKA_HOME=/home/xyp9x/kafka_sasl
export PATH=$PATH:$KAFKA_HOME/bin

8、分发

rsync -r /etc/profile bigdata112:/etc/
rsync -r /etc/profile bigdata113:/etc/
rsync -r kafka_sasl bigdata112:/home/xyp9x/
rsync -r kafka_sasl bigdata113:/home/xyp9x/

9、分别在112和113上修改配置文件

vi server.properties
broker.id=1
listeners=SASL_PLAINTEXT://192.168.1.112:9092

vi server.properties
broker.id=2
listeners=SASL_PLAINTEXT://192.168.1.113:9092

10、更新111、112、113的环境变量

source /etc/profile
2.客户端配置(当服务端配置启用了SASL/PLAIN,那么Client连接的时候需要配置认证信息)

1、在config目录创建kafka_client_jaas.conf

vi kafka_client_jaas.conf

KafkaClient {
	org.apache.kafka.common.security.plain.PlainLoginModule required
	username="admin"
	password="admin";
};

2、在producer.properties文件中添加认证协议

vi producer.properties

security.protocol=SASL_PLAINTEXT 
sasl.mechanism=PLAIN

3、在consumer.properties文件中添加认证协议

vi consumer.properties

security.protocol=SASL_PLAINTEXT 
sasl.mechanism=PLAIN

4、在kafka-console-producer.sh脚本中添加JAAS文件的路径

vi kafka-console-producer.sh

#!/bin/bash
export KAFKA_OPTS="-Djava.security.auth.login.config=/home/xyp9x/kafka_sasl/config/kafka_client_jaas.conf"

5、在kafka-console-consumer.sh脚本中添加JAAS文件的路径

vi kafka-console-consumer.sh

#!/bin/bash
export KAFKA_OPTS="-Djava.security.auth.login.config=/home/xyp9x/kafka_sasl/config/kafka_client_jaas.conf"

6、分发

rsync -r config/kafka_client_jaas.conf bigdata112:/home/xyp9x/kafka_sasl/config/
rsync -r config/kafka_client_jaas.conf bigdata113:/home/xyp9x/kafka_sasl/config/
rsync -r config/producer.properties bigdata112:/home/xyp9x/kafka_sasl/config/
rsync -r config/producer.properties bigdata113:/home/xyp9x/kafka_sasl/config/
rsync -r config/consumer.properties bigdata112:/home/xyp9x/kafka_sasl/config/
rsync -r config/consumer.properties bigdata113:/home/xyp9x/kafka_sasl/config/
rsync -r bin/kafka-console-producer.sh bigdata112:/home/xyp9x/kafka_sasl/bin/
rsync -r bin/kafka-console-producer.sh bigdata113:/home/xyp9x/kafka_sasl/bin/
rsync -r bin/kafka-console-consumer.sh bigdata112:/home/xyp9x/kafka_sasl/bin/
rsync -r bin/kafka-console-consumer.sh bigdata113:/home/xyp9x/kafka_sasl/bin/

7、启动kafka-broker

bin/kafka-server-start.sh -daemon config/server.properties

8、创建topic

bin/kafka-topics.sh --zookeeper 192.168.1.111:2181,192.168.1.112:2181,192.168.1.113:2181 --create --replication-factor 3 --partitions 3 --topic test

9、超级用户启动生产者

bin/kafka-console-producer.sh --broker-list 192.168.1.111:9092,192.168.1.112:9092,192.168.1.113:9092 --topic test --producer.config config/producer.properties

10、超级用户启动消费者

bin/kafka-console-consumer.sh --bootstrap-server 192.168.1.111:9092,192.168.1.112:9092,192.168.1.113:9092 --topic test --consumer.config config/consumer.properties
3. ACL操作(在配置好SASL后,启动Zookeeper集群和Kafka集群之后,就可以使用kafka-acls.sh脚本来操作ACL机制)

1、查看ACL授权

bin/kafka-acls.sh --authorizer-properties zookeeper.connect=192.168.1.111:2181,192.168.1.112:2181,192.168.1.113:2181 --list

2、对普通用户生产者授权

//允许xyp9x用户从所有IP地址写
bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=192.168.1.111:2181,192.168.1.112:2181,192.168.1.113:2181 --add --allow-principal User:xyp9x --operation Write --topic test

//禁止xyp9x用户从所有IP地址写
bin/kafka-acls.sh --authorizer-properties zookeeper.connect=192.168.1.111:2181,192.168.1.112:2181,192.168.1.113:2181 --remove --allow-principal User:xyp9x --operation Write --topic test

//允许xyp9x用户从192.168.1.111和192.168.1.112写
bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=192.168.1.111:2181,192.168.1.112:2181,192.168.1.113:2181 --add --allow-principal User:xyp9x --allow-host 192.168.1.111 --allow-host 192.168.1.112 --operation Write --topic test

//禁止xyp9x用户从192.168.1.111和192.168.1.112写
bin/kafka-acls.sh --authorizer-properties zookeeper.connect=192.168.1.111:2181,192.168.1.112:2181,192.168.1.113:2181 --remove --allow-principal User:xyp9x --allow-host 192.168.1.111 --allow-host 192.168.1.112 --operation Write --topic test

3、对普通用户消费者组授权

//允许xyp9x用户使用test-consumer-group消费组消费消息
bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=192.168.1.111:2181,192.168.1.112:2181,192.168.1.113:2181 --add --allow-principal User:xyp9x --operation Read --group test-consumer-group

//禁止xyp9x用户使用test-consumer-group消费组消费消息
bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=192.168.1.111:2181,192.168.1.112:2181,192.168.1.113:2181 --remove --allow-principal User:xyp9x --operation Read --group test-consumer-group

4、对普通用户消费者授权

//允许xyp9x用户从所有IP地址读
bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=192.168.1.111:2181,192.168.1.112:2181,192.168.1.113:2181 --add --allow-principal User:xyp9x --operation Read --topic kafka_acl_topic

//禁止xyp9x用户从所有IP地址读
bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=192.168.1.111:2181,192.168.1.112:2181,192.168.1.113:2181 --remove --allow-principal User:xyp9x --operation Read --topic kafka_acl_topic

//允许xyp9x用户从192.168.1.111和192.168.1.112读
bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=192.168.1.111:2181,192.168.1.112:2181,192.168.1.113:2181 --add --allow-principal User:xyp9x --allow-host 192.168.1.111 --allow-host 192.168.1.112 --operation Read --topic kafka_acl_topic

//禁止xyp9x用户从192.168.1.111和192.168.1.112读
bin/kafka-acls.sh --authorizer-properties zookeeper.connect=192.168.1.111:2181,192.168.1.112:2181,192.168.1.113:2181 --remove --allow-principal User:xyp9x --allow-host 192.168.1.111 --allow-host 192.168.1.112 --operation Read --topic kafka_acl_topic
衡超越爱学习~
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
kafka集群使用 SASL/PLAIN 认证
weixin_42591789的博客
01-04 3592
kafka集群使用 SASL/PLAIN 认证 SASL/PLAIN 是一种简单的 username/password 认证机制, 通常与 TLS 加密一起使用, 用于实现安全认证. Kafka 提供了一个默认的 SASL/PLAIN 实现, 可以做扩展后在生产环境使用. username 在 ACL 等的配置中作为已认证的 Principal. 1.配置 Kafka Broker 在每一个 Ka...
Kafka部署全攻略——基于SSL的SASL_SCRAM安全认证实现
bbsxb520的博客
06-28 531
基于SSL的SASL_SCRAM安全认证实现
kafka安全认证与授权(SASL/PLAIN
u011618288的博客
02-09 8301
快速搭建kafka SASL+ACL实现安全认证、授权 kafka SASL/PLAIN
(一)Kafka 安全之使用 SASL 进行身份验证 —— JAAS 配置、SASL 配置
最新发布
流华追梦的专栏
06-24 1732
SASL 是用来认证 C/S 模式也就是服务器与客户端的一种认证机制,全称 Simple Authentication and Security Layer。这就是一种凭据认证方式。通俗的话来讲就是让服务器知道连接进来的客户端的身份是谁。比如凭借阅证到图书馆借书,而每个借阅证都有独立的 ID,通过 ID 定位谁是谁,而不是特别关心谁拿到了借阅证,只需要正确的借阅证即可。所以 SASL 就是服务器存储了客户端的身份证书和如何校验密码是否正确,而且仅在于身份认证过程,认证完毕后即可进行相关的服务操作。
kafka安全认证与授权(SASL-PLAIN
wangluoanquan111的博客
02-22 1837
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。在每个Kafka broker的配置目录中添加一个经过适当修改的JAAS文件,类似于下面的文件,在本例中,我们将其称为kafka_server_jaas.conf。R匹配,则R没有关联的acl,因此除了超级用户之外,任何人都不允许访问R。
kafka集群搭建(一) - SASL_PLAINTEXT方式实现动态权限管理
weixin_42463980的博客
03-16 1618
1、安装zookeeper集群 环境需求 Zookeeper需要JDK1.6以上版本的Java环境 可以参考: CentOS 6使用rpm方式安装JDK8 此处在一台机器上部署三个zk 下载软件包 到ZooKeeper官网上http://zookeeper.apache.org/下载软件包,例如:zookeeper-3.4.14.tar.gz,加压到任意目录,此处放到opt下面 tar -...
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:...
使用sasl的kafka集群的搭建使用
03-15
为了实现基于SASL的Kafka集群,还需要对Kafka的客户端进行配置,如配置生产者和消费者的SASL认证参数。配置完成后,集群可以启动,并且可以设置ACL(Access Control List)权限,以实现细粒度的消息访问控制。这样,...
EFK+kafka+head日志分析集群部署.rar
07-04
日志分析集群,在本地centos7虚拟机搭建的Es+firebeat+logstash+kibana+kafka+head的完整集群部署文档,很详细,通常的EFK日志分析,加上kafka的消息队列,可以处理PB级别的日志内容。
kafka2.10-0.8.2.0集群部署
11-07
- **配置项**: `log.dirs=/data/data1/kafka/kafka-logs,/data/data2/kafka/kafka-logs,/data/data3/kafka/kafka-logs,/data/data4/kafka/kafka-logs,/data/data5/kafka/kafka-logs` - **作用**: 指定日志文件的存储...
kafka集群部署文档(部署,运维,FAQ)
06-27
### Kafka集群部署与运维知识点详解 #### 一、Kafka概览 Kafka是一种高性能的分布式消息系统,具有以下特点: - **数据持久性**:Kafka通过高效的磁盘数据结构来实现消息的持久化存储,即使面对大量数据也能保持...
kafka配置SASL/PLAIN 安全认证
weixin_44280356的博客
08-29 2414
由上一步可发现,认证方式使用的是Kafka认证类org.apache.kafka.common.security.plain.PlainLoginModule。网上的说法是 Client,是kafka作为用户使用zk的认证信息,这里的username和password一定要和zk_server_jaas.conf的配置对的上。user_kafka=“kafkapasswd"定义了一个用户"kafka”,密码是"kafkapasswd",本次测试用户是kafka broker。在zkEnv.sh添加。
kafkaPLAIN加密认证
weixin_56260207的博客
04-17 412
2、config文件夹新建文件 kafka_server_jaas.conf。4、修改server.properties添加,修改对应IP和端口。3、修改kafka-server-start.sh在最前面添加。1、启动zookeeper。
kafka配置SASL
pandani的专栏
01-31 8243
适用于kafka_2.11-1.1.1版本 第1步 将kafka_client_jaas.conf/kafka_server_jaas.conf/kafka_zoo_jaas.conf三个文件放入kafka的config文件夹中,文件中配置用户,admin用户必须配置。 kafka_client_jaas.conf内容如下 KafkaClient { org.apache.kafka.co...
Kafka配置SASL_PLAINTEXT权限。常用操作命令,创建用户,topic授权
u010479989的博客
03-15 1823
Kafka配置SASL_PLAINTEXT权限。常用操作命令,创建用户,topic授权
KafKa 开启 SASL 验证
41981DC的博客
08-12 2820
kafka 配置 sasl 权限认证
kafka使用SASL认证
程序三两行
09-01 1605
将运维人员给的sasl证书文件client_truststore.jks放在项目resource文件夹下。最近在使用运维团队给到的kafka集群时,需要使用sasl证人连接,这里记录一下。配置consumer。业务类中注入使用即可。
kafka分布式集群 SASL_PLAINTEXT 模式的加密部署
linux运维工程师的博客
09-09 2266
大家好,我是Linux运维工程师 Linke 。技术过硬,很少挖坑~ 此刻时间紧迫,来不及扯淡了,直接进入正题。 一、kafka依赖于 zookeeper 的选举机制 二、分布式工作原理 日志的分区partition (分布)在Kafka集群的任意服务器上。每个服务器在处理数据和请求时,共享这些分区。每一个分区都会在已配置的服务器上进行备份,确保容错性. 每个分区都有一台 server 作为 “l...
Kafka 开启 SASL/PLAINTEXT 认证及 ACL
我吃柠檬的博客
07-06 4589
Linux 安装 Kafka 并开启 SASL/PLAINTEXT 认证
java实现kafka SASL/PLAIN
06-06
要在Java中实现Kafka SASL/PLAIN,您需要执行以下步骤: 1.在Kafka服务器上启用SASL/PLAIN身份验证,并在Kafka客户端中配置SASL/PLAIN参数。 2.在您的Java项目中,使用Kafka的Java客户端API来连接Kafka服务器,并配置正确的SASL/PLAIN参数。 以下是一个简单的示例代码,可用于在Java中实现Kafka SASL/PLAIN: ``` Properties props = new Properties(); props.put("bootstrap.servers", "kafka_server:9092"); props.put("security.protocol", "SASL_PLAINTEXT"); props.put("sasl.mechanism", "PLAIN"); props.put("sasl.jaas.config", "org.apache.kafka.common.security.plain.PlainLoginModule required username=\"kafka_username\" password=\"kafka_password\";"); KafkaProducer<String, String> producer = new KafkaProducer<String, String>(props); ProducerRecord<String, String> record = new ProducerRecord<String, String>("topic_name", "key", "value"); producer.send(record); ``` 这里我们使用了Kafka的Java客户端API来创建一个Kafka生产者,并设置了SASL/PLAIN相关参数,如SASL_PLAINTEXT协议、PLAIN机制和用户名/密码等。 注意,您需要将上面的代码中的参数替换为您自己的Kafka服务器信息和SASL/PLAIN凭证。 希望这可以帮助您在Java中实现Kafka SASL/PLAIN
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

衡超越爱学习~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值