Kafka_认证加密

最新推荐文章于 2024-06-24 07:30:00 发布
最新推荐文章于 2024-06-24 07:30:00 发布
阅读量3.1k 收藏 8
点赞数 1
分类专栏: Kafka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Regan_Hoo/article/details/78770058
版权

一、使用SSL加密和认证

  1. 为每个Kafka broker生成SSL密钥和证书。
    部署HTTPS,第一步是为集群的每台机器生成密钥和证书,可以使用java的keytool来生成密钥到一个临时的密钥库,之后可以导出并用CA签名它。

    keytool -keystore server.keystore.jks -alias localhost -validity {validity} -genkey

    keystore: 密钥仓库存储证书文件。密钥仓库文件包含证书的私钥(保证私钥的安全)。
    validity: 证书的有效时间,天
    注意:默认情况下,不会定义ssl.endpoint.identification.algorithm,所以不会执行主机名验证。 要启用主机名验证,请设置以下属性:

    ssl.endpoint.identification.algorithm=HTTPS

    一旦启用,客户端将根据以下两个字段之一验证服务器的完全限定域名(FQDN):
    Common Name (CN)
    Subject Alternative Name (SAN)
    两个字段都有效,但RFC-2818建议使用SAN。 SAN更灵活,允许声明多个DNS条目。 另一个优点是,CN可以设置为更有意义的值用于授权。 要添加SAN字段,可用以下参数

     -ext SAN = DNS:{FQDN}: keytool -keystore server.keystore.jks -alias localhost -validity {validity} -genkey -ext SAN=DNS:{FQDN}

    之后可以运行以下命令来验证生成的证书的内容:

    keytool -list -v -keystore server.keystore.jks

  2. 创建自己的CA

    通过第一步,集群中的每台机器都生成了一对公私钥,和一个证书来识别机器。但是,证书是未签名的,这意味着攻击者可以创建一个这样的证书来假装成任何机器。
    因此,通过对集群中的每台机器进行签名来防止伪造的证书。证书颁发机构(CA)负责签名证书。CA的工作机制像一个颁发护照的政府。政府印章(标志)每本护照,这样护照很难伪造。其他政府核实护照的印章,以确保护照是真实的。同样,CA签名的证书和加密保证签名证书很难伪造。因此,只要CA是一个真正和值得信赖的权威,client就能有较高的保障连接的是真正的机器。

    openssl req -new -x509 -keyout ca-key -out ca-cert -days 365

    生成的CA是一个简单的公私钥对和证书,用于签名其他的证书。
    下一步是将生成的CA添加到clients’ truststore(客户的信任库),以便client可以信任这个CA:

    keytool -keystore client.truststore.jks -alias CARoot -import -file ca-cert

    注意,还需设置ssl.client.auth(”requested” 或 “required”),来要求broker对客户端连接进行验证,当然,你必须为broker提供信任库以及所有客户端签名了密钥的CA证书,通过下面的命令:

    keytool -keystore server.truststore.jks -alias CARoot -import -file ca-cert

    相反,在步骤1中,密钥库存储了每个机器自己的身份。客户端的信任库存储所有客户端信任的证书,将证书导入到一个信任仓库也意味着信任由该证书签名的所有证书,正如上面的比喻,信任政府(CA)也意味着信任它颁发的所有护照(证书),此特性称为信任链,在大型的kafka集群上部署SSL时特别有用的。可以用单个CA签名集群中的所有证书,并且所有的机器共享相同的信任仓库,这样所有的机器也可以验证其他的机器了。

  3. 签名证书

    用步骤2生成的CA来签名所有步骤1生成的证书,首先,你需要从密钥仓库导出证书:

    keytool -keystore server.keystore.jks -alias localhost -certreq -file cert-file

    然后用CA签名:

    openssl x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out cert-signed -days {validity} -CAcreateserial -passin pass:{ca-password}

    最后,你需要导入CA的证书和已签名的证书到密钥仓库:

    keytool -keystore server.keystore.jks -alias CARoot -import -file ca-cert
keytool -keystore server.keystore.jks -alias localhost -import -file cert-signed

    keystore: 密钥仓库的位置
    ca-cert: CA的证书
    ca-key: CA的私钥
    ca-password: CA的密码
    cert-file: 出口,服务器的未签名证书
    cert-signed: 已签名的服务器证书
    以下是上面所有步骤的一个bash脚本例子。注意,这里假设密码“test1234”:

    #!/bin/bash
#Step 1
keytool -keystore server.keystore.jks -alias localhost -validity 365 -genkey
#Step 2
openssl req -new -x509 -keyout ca-key -out ca-cert -days 365
keytool -keystore server.truststore.jks -alias CARoot -import -file ca-cert
keytool -keystore client.truststore.jks -alias CARoot -import -file ca-cert
#Step 3
keytool -keystore server.keystore.jks -alias localhost -certreq -file cert-file
openssl x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out cert-signed -days 365 -CAcreateserial -passin pass:test1234
keytool -keystore server.keystore.jks -alias CARoot -import -file ca-cert
keytool -keystore server.keystore.jks -alias localhost -import -file cert-signed

  4. 配置Kafka broker

    Kafka Broker支持监听多个端口上的连接,通过server.properteis 配置,最少监听1个端口,用逗号分隔。
    如果broker之间通讯未启用SSL(参照下面,启动它),PLAINTEXT和SSL端口是必须要配置。

    listeners=PLAINTEXT://host.name:port,SSL://host.name:port

    下面是broker端需要的SSL配置:

    ssl.keystore.location=/var/private/ssl/kafka.server.keystore.jks
ssl.keystore.password=test1234
ssl.key.password=test1234
ssl.truststore.location=/var/private/ssl/kafka.server.truststore.jks
ssl.truststore.password=test1234

    下面是可选的配置:
    ①.ssl.client.auth = none (“required”=>客户端身份验证是必需的,“requested”=>客户端身份验证请求,客户端没有证书仍然可以连接。使用“requested”是纸老虎,因为它提供了一种虚假的安全感,错误的配置客户端仍将连接成功。)
    ②.ssl.cipher.suites(可选)。密码套件是利用TLS或SSL网络协议的网络连接的安全设置。是认证,加密,MAC和密钥交换算法的组合。 (默认值是一个空表)
    ③.ssl.enabled.protocols = TLSv1.2 TLSv1.1 TLSv1 (接收来自客户端列出的SSL协议,注意,不推荐在生产中使用SSL,推荐使用TLS)。
    ④.ssl.keystore.type=JKS
    ⑤.ssl.truststore.type=JKS
    如果你想启用SSL用于broker内部通讯,将以下内容添加到broker配置文件(默认是PLAINTEXT)

    security.inter.broker.protocol=SSL

    用以下命令,验证服务器的keystore和truststore设置是否正确:

    openssl s_client -debug -connect localhost:9093 -tls1

  5. 配置Kafka客户端

    SSL仅支持新的Producer和Consumer,不支持老的API,Producer和Consumer的SSL的配置是相同的。
    如果broker中不需要client(客户端)验证,那么下面是最小的配置示例:

    security.protocol=SSL
ssl.truststore.location=/var/private/ssl/kafka.client.truststore.jks
ssl.truststore.password=test1234

    注意:ssl.truststore.password在技术上是可选的,但强烈推荐。 如果未设置密码,对信任库的访问仍然可用,就不属于完整性检查。 如果需要客户端认证,则必须像步骤1一样创建密钥库,并且还必须配置以下内容:

    ssl.keystore.location=/var/private/ssl/kafka.client.keystore.jks
ssl.keystore.password=test1234
ssl.key.password=test1234

    举个例子,使用 console-producer 和 console-consumer :

    kafka-console-producer.sh --broker-list localhost:9093 --topic test --producer.config client-ssl.properties

kafka-console-consumer.sh --bootstrap-server localhost:9093 --topic test --consumer.config client-ssl.properties

二、SASL认证

  1. JAAS配置
    Kafka使用Java认证和授权服务(JAAS)进行SASL配置。
    为broker配置JAAS
    KafkaServer是每个KafkaServer/Broker使用JAAS文件中的部分名称。本节为broker提供了SASL配置选项,包括进行broker之间通信所需的任何SASL客户端连接。
    客户端部分用于验证与zookeeper的SASL连接。它还允许broker在zookeeper节点上设置SASL ACL。并锁定这些节点,以便只有broker可以修改它。所有的broker必须有相同的principal名称。如果要使用客户端以外的名称,设置zookeeper.sasl.client(例如,-Dzookeeper.sasl.client = ZkClient)。
    默认情况下,Zookeeper使用“zookeeper”作为服务名称。如果你需要修改,设置

    zookeeper.sasl.client.user(例如,-Dzookeeper.sasl.client.username=zk)

    Kafka客户端的JAAS配置
    客户端可以使用客户端配置属性sasl.jaas.config或使用broker类似的静态JAAS配置文件配置JAAS。
    JAAS配置使用客户端配置属性
    客户端可以将JAAS配置指定为生产者或消费者属性,而不创建物理配置文件。 此模式还使同一个JVM中的不同生产者和消费者通过为每个客户端指定不同的属性来使用不同的凭据。 如果指定了静态JAAS配置系统属性java.security.auth.login.config和客户端属性sasl.jaas.config,将使用客户端属性。
    使用静态配置文件的JAAS配置
    使用静态JAAS配置文件来配置客户端上的SASL认证。
    添加一个名为KafkaClient的客户端登录部分的JAAS配置文件。 在KafkaClient中为所选机制配置登录模块,如设置GSSAPI(Kerberos),PLAIN或SCRAM的示例中所述。 例如,GSSAPI凭据可以配置为:

    KafkaClient {
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
storeKey=true
keyTab="/etc/security/keytabs/kafka_client.keytab"
principal="kafka-client-1@EXAMPLE.COM";
};

    将JAAS配置文件位置作为JVM参数传递给每个客户端JVM。 例如:

    -Djava.security.auth.login.config=/etc/kafka/kafka_client_jaas.conf

  2. SASL配置
    SASL可以使用PLAINTEXT或SSL作为传输层,分别使用安全协议SASL_PLAINTEXT或SASL_SSL。 如果使用SASL_SSL,则还必须配置SSL。
    SASL机制
    Kafka支持以下的SASL机制:
    GSSAPI (Kerberos)
    PLAIN
    SCRAM-SHA-256
    SCRAM-SHA-512
    为Kafka broker配置SASL
    在server.properteis配置一个SASL端口,SASL_PLAINTEXT或SASL_SSL至少增加一个到listeners,用逗号分隔: listeners=SASL_PLAINTEXT://host.name:port
    如果你只配置一个SASL端口(如果你需要broker使用SASL互相验证),那么需要确保broker之间设置相同的SASL协议:

    security.inter.broker.protocol=SASL_PLAINTEXT (or SASL_SSL)

    选择一个或多个支持的机制,并通过以下的步骤为机器配置SASL。在broker之间启用多个机制:
    为Kafka客户端配置SASL
    SASL仅支持新的java生产者和消费者,不支持老的API。
    要在客户端上配置SASL验证,选择在broker中启用的客户端身份验证的SASL机制,并按照以下步骤配置所选机制的SASL。

  3. 使用SASL/Kerberos认证
    预备知识
    Kerberos
    如果你已在使用Kerberos(如,使用Active Directory),则无需安装重新安装。否则,你将需要安装一个,Linux供应商有Kerberos安装和配置的简短说明(Ubuntu,Radhat)。请注意,如果你使用的是Oracle Java,你需要下载java版本的JCE策略文件,将它们复制到 $JAVA_HOME/jre/lib/security中(注意:必须替换!!).
    创建Kerberos Principals
    通过以下命令创建你自己的principal。

    sudo /usr/sbin/kadmin.local -q 'addprinc -randkey kafka/{hostname}@{REALM}'
sudo /usr/sbin/kadmin.local -q "ktadd -k /etc/security/keytabs/{keytabname}.keytab kafka/{hostname}@{REALM}"

    确保使用主机名可以访问所有主机 - Kerberos要求所有的host都可以用其FQDN解析所有主机。
    配置Broker
    添加一个JAAS文件,类似下面的每个kafka broker的配置目录。这个例子我们姑且命名为

    kafka_server_jaas.conf(注意,每个broker都应该有自己的密钥表)
  KafkaServer {
      com.sun.security.auth.module.Krb5LoginModule required
      useKeyTab=true
      storeKey=true
      keyTab="/etc/security/keytabs/kafka_server.keytab"
      principal="kafka/kafka1.hostname.com@EXAMPLE.COM";
  };

  // Zookeeper client authentication
  Client {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  storeKey=true
  keyTab="/etc/security/keytabs/kafka_server.keytab"
  principal="kafka/kafka1.hostname.com@EXAMPLE.COM";
  };

    JAAS文件中的KafkaServer部分告诉broker哪个principal要使用,以及存储该principal的keytab的位置。它允许broker使用本节中指定的keytab进行登录。更多细节参见zookeeper的SASL配置。
    通过JAAS和krb5文件位置(可选的)作为JVM参数传递到每个broker。(更多细节):

    -Djava.security.krb5.conf=/etc/kafka/krb5.conf  -Djava.security.auth.login.config=/etc/kafka/kafka_server_jaas.conf

    确保在JAAS文件的keytabs配置文件可被启动的Broker的操作系统员读取。
    在server.properties中配置SASL端口和SASL机制,例如:

    listeners=SASL_PLAINTEXT://host.name:port
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=GSSAPI
sasl.enabled.mechanisms=GSSAPI

    我们还必须在server.properties配置服务器名称,应与broker的principal名匹配,在上面的例子中,principal是”kafka/kafka1.hostname.com@EXAMPLE.com”, 所以:

    sasl.kerberos.service.name=kafka

    配置Kafka客户端
    在客户端上配置SASL认证
    客户端(生产者,消费者,connect,等等)用自己的principal进行集群认证(通常用相同名称作为运行客户端的用户)。因此,获取或根据需要创建这些principal。然后为每个客户端配置JAAS配置属性。JVM中的不同客户端通过指定不同的principal可以作为不同的用户运行。producer.properties或consumer.properties中的属性sasl.jaas.config描述了像生产者和消费者之类的客户端如何连接到Kafka Broker的。 以下是使用keytab的客户端的示例配置(推荐用于长时间运行的进程):

      sasl.jaas.config=com.sun.security.auth.module.Krb5LoginModule required \
      useKeyTab=true \
      storeKey=true  \
      keyTab="/etc/security/keytabs/kafka_client.keytab" \
      principal="kafka-client-1@EXAMPLE.COM";

    对于像kafka-console-consumer或kafka-console-producer这样的命令行工具,kinit可以与“useTicketCache=true”一起使用,如:

    sasl.jaas.config=com.sun.security.auth.module.Krb5LoginModule required useTicketCache=true;

    客户端的JAAS配置可以作为JVM参数,类似于broker。 客户端使用名为KafkaClient的login部分。 此选项仅允许JVM中所有客户端连接的一个用户。
    确保JAAS配置中的keytabls配置文件能被启动kafka客户端的操作系统用户读取。
    可以将krb5文件位置作为JVM参数传递给每个客户端JVM(有关详细信息,请参阅此处):

    -Djava.security.krb5.conf=/etc/kafka/krb5.conf
在 producer.properties 或 consumer.properties中配置以下属性:
security.protocol=SASL_PLAINTEXT (or SASL_SSL)
sasl.mechanism=GSSAPI
sasl.kerberos.service.name=kafka

    使用SASL/PLAIN认证
    SASL/PLAIN是一种简单的用户名/密码的认证机制,通常与TLS加密一起使用,以实现安全的认证。Kafka支持SASL/PLAIN的默认实现,可作为生产者的扩展使用。username用作ACL等配置已认证的Principal。
    配置Kafka Brokers
    在每个Kafka broker的config目录下添加一个类似于下面的修改后的JAAS文件,我们姑且将其称为

    kafka_server_jaas.conf。
KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required
     username="admin"
     password="admin-secret"
     user_admin="admin-secret"
     user_alice="alice-secret";
     };

    此配置定义了2个用户(admin 和 alice)。 在KafkaServer中,username和password是broker用于初始化连接到其他的broker,在这个例子中,admin是broker之间通信的用户。user_userName定义了所有连接到broker和broker验证的所有的客户端连接包括其他broker的用户密码。
    将JAAS配置文件位置作为JVM参数传递给每个Kafka broker:

    -Djava.security.auth.login.config=/etc/kafka/kafka_server_jaas.conf

    在server.properties中配置SASL端口和SASL机制。 例如:

       listeners=SASL_SSL://host.name:port
   security.inter.broker.protocol=SASL_SSL
   sasl.mechanism.inter.broker.protocol=PLAIN
   sasl.enabled.mechanisms=PLAIN

    配置kafka客户端
    在客户端上配置SASL身份验证:
    为producer.properties或consumer.properties中的每个客户端配置JAAS。登录模块展示了客户端如何连接Broker的(和生产者和消费者一样)。 以下是PLAIN机制的客户端的示例配置:

     sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required \
 username="alice" \
 password="alice-secret";

    客户端选择用户名和密码为客户端配置连接的用户。 在此示例中,客户端以用户alice连接到broker。也可以通过在sasl.jaas.config中指定不同的用户名和密码,JVM中的不同客户端可以根据不同的用户来进行连接。
    客户端的JAAS配置可以指定为类似于这里描述的broker作为JVM参数。客户端使用的命名为KafkaClient。 此选项仅允许来自JVM的所有客户端连接中的一个用户。
    在producer.properties或consumer.properties中配置以下属性:

     security.protocol=SASL_SSL
 sasl.mechanism=PLAIN

    在生产者中使用SASL/PLAIN
    SASL/PLAIN应仅用SSL作为传输层,以确保在没有加密的情况下不会在线上明文传输。
    Kafka中SASL/PLAIN的默认实现是在JAAS配置文件中的用户名和密码,如下所示。为了避免在磁盘上存储密码,你可以自己用javax.security.auth.spi.LoginModule实现,从外部源获取用户名和密码。登录模块应该提供Subject的用户名作为公共证书和密码作为私人凭证。 可以使用默认实现org.apache.kafka.common.security.plain.PlainLoginModule作为参考。
    在生产者系统中,外部认证服务器可以实现密码验证。Kafka broker可以与这些服务器集成(通过添加自己实现 javax.security.sasl.SaslServer)。在这个包路径org.apache.kafka.common.security.plain中,包括在kafka的默认的实现,可以作为一个参考的实例。
    必须在JVM中安装和注册新的Providers(提供者)。可以通过将提供程序类添加到CLASSPATH或打包成jar文件并将其添加到JAVA_HOME/lib/ext来安装提供者。
    也可以通过添加Providers到安全属性文件 JAVA_HOME/lib/security/java.security中静态的注册Providers。

     security.provider.n=providerClassName

    其中,providerClassName是新Provider的全名,n是优先排序(较低的数字表明更高的优先权)
    此外,你可以在运行时通过在客户端应用程序的开始调用Security.addProvider或登录模块中的静态初始化程序来动态注册provider。 例如:

    Security.addProvider(new PlainSaslServerProvider());

    使用 SASL/SCRAM 认证
    SCRAM(Salted Challenge Response Authentication Mechanism)是SASL机制家族的一种,
    ,通过执行用户名/密码认证(如PLAIN和DIGEST-MD5)的传统机制来解决安全问题。 该机制在RFC 5802中定义。Kafka支持SCRAM-SHA-256和SCRAM-SHA-512,可与TLS一起使用执行安全认证。 用户名用作配置ACL等认证的principal。Kafka中的默认SCRAM实现是在Zookeeper中存储SCRAM的证书,适用于Zookeeper在私有网络上的Kafka安装。 有关详细信息,请参阅安全注意事项
    创建 SCRAM 证书
    Kafka的SCRAM实现使用Zookeeper作为证书存储。通过使用kafka-configs.sh来创建证书。 对于启用的每个SCRAM机制,必须通过使用机制名称添加配置来创建证书。 必须在kafka broker启动之前创建broker之间通信的证书。 客户端证书可以动态创建和更新,并且将使用更新后的证书来验证新的连接。
    为用户alice创建SCRAM凭证(密码为alice-secret):

    bin/kafka-configs.sh --zookeeper localhost:2181 --alter --add-config 'SCRAM-SHA-256=[iterations=8192,password=alice-secret],SCRAM-SHA-512=[password=alice-secret]' --entity-type users --entity-name alice

    如果未指定迭代数,则使用默认迭代数为4096。 创建一个随机salt,由salt,迭代,StoredKey和ServerKey组成的SCRAM标识,都存储在Zookeeper中。 有关SCRAM身份和各个字段的详细信息,请参阅RFC 5802。
    以下示例中,需要用户admin进行broker间通信,通过以下命令创建:

    bin/kafka-configs.sh --zookeeper localhost:2181 --alter --add-config 'SCRAM-SHA-256=[password=admin-secret],SCRAM-SHA-512=[password=admin-secret]' --entity-type users --entity-name admin

    可以使用–describe列出现有的证书:

    bin/kafka-configs.sh --zookeeper localhost:2181 --describe --entity-type users --entity-name alice

    可以使用–delete为一个或多个SCRAM机制删除证书:

    bin/kafka-configs.sh --zookeeper localhost:2181 --alter --delete-config 'SCRAM-SHA-512' --entity-type users --entity-name alice

    配置Kafka Broker
    在每个Kafka broker的config目录下添加一个类似于下面的JAAS文件,我们姑且将其称为

    kafka_server_jaas.conf:
   KafkaServer {
       org.apache.kafka.common.security.scram.ScramLoginModule required
       username="admin"
       password="admin-secret"
   };

    其中,broker使用KafkaServer中的用户名和密码来和其他broker进行连接。 在这个例子中,admin是broker之间通信的用户。
    JAAS配置文件的位置作为JVM参数传递给每个Kafka broker:

    -Djava.security.auth.login.config=/etc/kafka/kafka_server_jaas.conf

    在server.properties中配置SASL端口和SASL机制。 例如:

       listeners=SASL_SSL://host.name:port
   security.inter.broker.protocol=SASL_SSL
   sasl.mechanism.inter.broker.protocol=SCRAM-SHA-256 (or SCRAM-SHA-512)
   sasl.enabled.mechanisms=SCRAM-SHA-256 (or SCRAM-SHA-512)

    配置kafka客户端
    在客户端上配置SASL认证
    为每个客户端配置JAAS配置(在producer.properteis或consumer.properteis)。登录模块展示了客户端(如生产者和消费者)如何连接到broker的。下面是配置了SCRAM机制的客户端的例子。

    sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="alice" password="alice-secret";

    客户端使用username和password来配置客户端连接的用户。在这个例子中,客户端使用用户alice连接broker。在JVM中不同的客户端连接不同的用户(通过在sasl.jaas.config中指定不同的用户名和密码)。
    客户端的JAAS配置通过指定作为JVM的参数。使用名为KafkaCLient的客户端登录。此选择仅允许来自JVM的所有客户端连接中的一个用户。
    在producer.properties或consumer.properties中配置以下参数:

     security.protocol=SASL_SSL
 sasl.mechanism=SCRAM-SHA-256 (or SCRAM-SHA-512)

    SASL/SCRAM安全注意事项
    在kafka中SASL/SCRAM的默认实现SCRAM证书存储在Zookeeper中,这适用于Zookeeper安全和私有网络生产部署。
    Kafka仅支持强散列函数SHA-256和SHA-512,最小迭代次数为4096.强散列函数结合强密码和高迭代数可以防止强制攻击(如果Zookeeper安全性受到威胁)。
    SCRAM只能使用TLS加密,以防止拦截SCRAM交换。如果Zookeeper受到威胁,则可以防止字典或暴力攻击,和防止伪装模仿。
    可以使用Zookeeper(不安全)安装自定义登录模块来覆盖默认的SASL/SCRAM实现。
    在broker中启用多个SASL机制
    在JAAS文件中的KafkaServer中启用所有机制的登录模块配置。例如:

    KafkaServer {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  storeKey=true
  keyTab="/etc/security/keytabs/kafka_server.keytab"
  principal="kafka/kafka1.hostname.com@EXAMPLE.COM";

  org.apache.kafka.common.security.plain.PlainLoginModule required
  username="admin"
  password="admin-secret"
  user_admin="admin-secret"
  user_alice="alice-secret";
};

    在server.properties中启用SASL机制sasl.enabled.mechanisms=GSSAPI,PLAIN,SCRAM-SHA-256,SCRAM-SHA-512
    如果需要broker之间通讯,则在server.properteis中指定SASL安全协议和机制。

    security.inter.broker.protocol=SASL_PLAINTEXT (or SASL_SSL)
sasl.mechanism.inter.broker.protocol=GSSAPI (or one of the other enabled mechanisms)

    按照机制 - GSSAPI(Kerberos),PLAIN和SCRAM中的具体步骤来配置启用的SASL机制。
    在运行的集群中修改SASL机制
    可以按照以下顺序在正在运行的群集中修改SASL机制:
    将新SASL机制添加到每个broker上的server.properteis中的sasl.enabled.mechanisms上。更新JAAS配置文件以包括这两个机制,如这里所述。 逐步重启群集节点。
    使用新机制重新启动集群。
    要改变broker之间的通讯(如果需要),则设置在server.properteis中的sasl.mechanism.inter.broker.protocol为新的机制并逐个重启。
    要移除老的机制(如果需要),从server.properties的sasl.enabled.mechanisms和JAAS配置文件中移除旧机制。然后依次重启。

Regan_Hoo
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kafka_2.13-3.1.0
02-09
在安全性方面,Kafka 2.13-3.1.0引入了更强大的认证和授权机制,支持SSL/TLS加密,确保了数据传输的安全性。同时,该版本还支持更多元化的权限控制,满足了企业级应用的需求。 最后,Kafka Streams是Kafka内置的轻...
最新版kafka kafka_2.12-2.5.1.tgz
08-13
- 对于安全性要求高的环境,启用 SASL/SSL 加密认证。 - 定期清理和归档旧数据,避免硬盘空间耗尽。 8. **总结** Kafka 2.12-2.5.1 提供了一个强大且稳定的分布式消息系统,适用于实时数据处理、日志聚合等...
开启kafka密码认证
雅冰石的专栏
04-02 1万+
Kafka默认未开启密码认证,可以免密登录,太不安全,因此需要开启密码认证。 一 kafka认证方式类型 kafka提供了多种安全认证机制,主要分为SSL和SASL大类。其中SASL/PLAIN是基于账号密码的认证方式,比较常用 1.1 SSL 1.2 SASL 1.2.1 SASL/Kerberos 1.2.2 SASL/PLAIN 1.2.3 SASL/SCRAM 二 测试SASL/PLAIN进行身份验证 SASL/PLAIN是一种简单的用户名/密码身份..
(一)Kafka 安全之使用 SSL 的加密和身份验证
流华追梦的专栏
06-18 1475
SSL(Secure Sockets Layer)是一种网络协议,提供了一种在客户端和服务器之间建立安全连接的方法。启用 SSL 后,Kafka 集群中的所有数据传输,包括生产者、消费者与 Broker 之间的消息交互都会被加密,确保敏感信息在网络传输过程中不被窃听或篡改。
(一)Kafka 安全之使用 SASL 进行身份验证 —— JAAS 配置、SASL 配置
最新发布
流华追梦的专栏
06-24 1609
SASL 是用来认证 C/S 模式也就是服务器与客户端的一种认证机制,全称 Simple Authentication and Security Layer。这就是一种凭据认证方式。通俗的话来讲就是让服务器知道连接进来的客户端的身份是谁。比如凭借阅证到图书馆借书,而每个借阅证都有独立的 ID,通过 ID 定位谁是谁,而不是特别关心谁拿到了借阅证,只需要正确的借阅证即可。所以 SASL 就是服务器存储了客户端的身份证书和如何校验密码是否正确,而且仅在于身份认证过程,认证完毕后即可进行相关的服务操作。
kafka的PLAIN加密认证
weixin_56260207的博客
04-17 412
2、config文件夹新建文件 kafka_server_jaas.conf。4、修改server.properties添加,修改对应IP和端口。3、修改kafka-server-start.sh在最前面添加。1、启动zookeeper。
kafka2.x版本配置SSL进行加密和身份验证
heming20122012的专栏
03-19 2275
与步骤 1 中存储每台机器自己的身份的密钥库不同,客户机的信任库存储客户机应信任的所有证书。您可以使用单个 CA 对集群中的所有证书进行签名,并让所有计算机共享信任该 CA 的同一信任库。因此,只要 CA 是真实且受信任的颁发机构,客户端就可以高度保证它们连接到真实的计算机。部署一个或多个支持 SSL 的代理的第一步是为集群中的每台计算机生成密钥和证书。完成第一步后,群集中的每台计算机都有一个公钥-私钥对,以及一个用于标识计算机的证书。生成的 CA 只是一个公钥-私钥对和证书,它旨在对其他证书进行签名。
(二)Kafka 安全之使用 SSL 的加密和身份验证
流华追梦的专栏
06-19 969
接上一篇《(一)Kafka 安全之使用 SSL 的加密和身份验证》,本文从 2.2 小节开始。
kafka_2.12-1.0.0.zip
01-31
5. 集群安全增强:此版本加强了Kafka的安全性,包括SSL/TLS加密和SASL认证。 三、自定义配置 在Kafka的部署和运行过程中,自定义配置是非常关键的环节。以下是一些常见的配置选项: 1. **broker配置**:如`broker...
Kafka_API_文档
04-04
**9.2 加密认证** 使用SSL进行数据加密和身份验证。 **9.3 授权和ACLs** 通过授权和访问控制列表(Access Control Lists)来控制资源的访问权限。 **9.4 在运行集群中集成安全特性** 描述如何在现有集群中添加...
最新版linux kafka_2.13-2.6.1.tgz
01-14
- 提供更强大的安全功能,包括SSL/TLS加密和SASL认证。 - 引入了新的消费者API,简化了消费者编程模型。 - 增强了监控和日志记录,便于系统管理和故障排查。 3. **在Linux上安装Kafka 2.6.1:** - 解压下载的...
Kafka配置SSL加密传输
qq_41527073的博客
11-04 8123
Kafka配置SSL加密传输 一、证书配置 1、生成证书 如我输入命令如下:依次是 密码—重输密码—名与姓—组织单位—组织名—城市—省份—国家两位代码—密码—重输密码,后面告警不用管,此步骤要注意的是,名与姓这一项必须输入域名,如 “localhost”,切记不可以随意写,我曾尝试使用其他字符串,在后面客户端生成证书认证的时候一直有问题。 keytool -keystore server.keystore.jks -alias localhost -validity 3650 -genkey Enter k
Kafka配置SSL认证
热门推荐
JustryDeng
03-10 2万+
目录 Kafka配置SSL认证 使用kafka自带的消费者生产者测试一下 我是一只小小小小鸟~嗷!嗷! Kafka配置SSL认证 准备工作:生成SSL相关证书 注:详见https://blog.csdn.net/justry_deng/article/details/88383081。 注:其实对于本节内容来说,有SSL的服务端证书就够了。 第一步:修改kafka安装目录下conf...
kafka pem格式配置SSL
Leftmumu的博客
02-25 1764
server.properties文件增加如下配置 # SSL认证配置 ssl.client.auth=required ssl.enabled.protocols=TLSv1.2,TLSv1.1,TLSv1 ssl.keystore.type=PEM ssl.truststore.type=PEM # kafka2.0.x开始,将ssl.endpoint.identification.algorithm设置为了HTTPS,即:需要验证主机名 # 如果不需要验证主机名,那么可以这么设置 ssl.endp
kafka+Kraft模式集群+安全认证
鸢尾_的博客
08-30 2273
kafka+Kraft模式集群+安全认证
kafka系统的CAP保证
weixin_45012397的博客
06-07 1033
对未完成的事务而言,LSO 的值等于事务中第一条消息的位置(firstUnstableOffset),对已完成的事务而言,它的值同 HW 相同;为了解决 HW 更新时机是异步延迟的,而 HW 又是决定日志是否备份成功的标志,从而造成数据丢失和数据不一致的现象,Kafka 引入了 leader epoch 机制;LW:(low watermark)一个副本的log中,最小的消息偏移量;这个值规定了消费者仅能消费HW之前的数据;如图,各副本中最小的LEO是3,所以HW是3,所以,消费者此刻最多能读到Msg2;
kafka常用命令
zhangmuqiang的博客
07-05 9338
bin/kafka-consumer-groups.sh --bootstrap-server $nodes --group $groupname --reset-offsets --all-topics --to-earliest --execute # 重设消费者组位移(待验证)bin/kafka-console-consumer.sh --bootstrap-server $nodes --topic $topicName --from-beginning # 使用消费者。
Java 集成阿里Kafka
weixin_38285470的博客
11-02 249
读取配置,写consumer创建入参。
springboot配置ssl双向加密认证
neusoft-mengxiaoming的专栏
07-29 1095
springboot配置文件 server: port: 30444 ssl: enabled: true key-store-type: JKS key-store: classpath:server.jks key-store-password: h00Ht6d7CoqdXMJy client-auth: need trust-store-type: JKS trust-store: classpath:server.jks .
kafka_sasl
08-22
Kafka SASL是一种用于安全访问和通信的机制,它结合了Kafka认证加密功能。SASL是指Simple Authentication and Security Layer(简单身份验证和安全层),它为客户端和服务器之间的身份验证和安全通信提供了一种通用的框架。 在Kafka中使用SASL时,客户端和服务器在建立连接之前会进行身份验证。常见的SASL机制有PLAIN、GSSAPI、SCRAM等。每个机制都有不同的配置要求和安全级别。 SASL机制的选择和配置取决于你的需求和环境。当你需要在Kafka集群中实现身份验证和加密时,可以考虑使用Kafka SASL来增加安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值