单机部署Kafka和开启SASL认证以及基础命令使用

最新推荐文章于 2025-02-19 11:19:52 发布
最新推荐文章于 2025-02-19 11:19:52 发布
阅读量1.9k 收藏 9
点赞数 1
分类专栏: 运维 kafka 文章标签: kafka java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XXXXXX741/article/details/130049214
版权
该文详细介绍了如何在Linux环境中部署ApacheKafka3.3.2和Zookeeper3.7.1,并启用SASL认证。步骤包括下载安装包、解压、修改配置文件、启动服务、创建Jaas配置文件以及客户端验证。此外,还涉及了添加依赖jar包、修改启动脚本以加载认证信息等操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

版本

操作系统:linux
kafka:kafka_2.13-3.3.2
zookeeper:apache-zookeeper-3.7.1-bin

部署

1.下载zookeeper和kafka安装包

cd /home
wget https://downloads.apache.org/kafka/3.3.2/kafka_2.12-3.3.2.tgz
wget https://www.apache.org/dyn/closer.lua/zookeeper/zookeeper-3.7.1/apache-zookeeper-3.7.1-bin.tar.gz

2.解压

tar -zxvf kafka_2.12-3.3.2.tgz
tar -zxvf apache-zookeeper-3.7.1-bin.tar.gz

3.修改zookeeper配置文件并启动

cd apache-zookeeper-3.7.1-bin/config
cp zoo_sample.cfg zoo.cfg

修改zoo.cfg文件,增加以下命令

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000

创建zk_server_jaas.conf文件(开启kafka sasl认证使用),文件内容

Server {
	# 认证方式为DigestLoginModule
    org.apache.zookeeper.server.auth.DigestLoginModule required
    # zk集群使用的账号  		
    username="kafka"
    # zk集群使用的密码
    password="kafka"
    # kafka连接使用的账号和密码,写法为user_账号=“密码”
    user_kafka="kafka";
};

此外,认证过程需要导入kafka的依赖类,在下载的kafka/libs目录找到以下四个jar包,在zookeeper目录下创建zk_sasl_dependency目录(具体目录可根据实际情况进行修改,后续在配置文件中指定到实际目录就可以)

kafka-clients-3.3.2.jar
lz4-java-1.8.0.jar
slf4j-api-1.7.36.jar
slf4j-reload4j-1.7.36.jar
snappy-java-1.1.8.4.jar

修改bin/zkEnv.sh文件,将zk的sasl认证信息加载到jvm参数中,在zk服务启动时加载认证的jar包和认证信息

for i in /home/apache-zookeeper-3.7.1-bin/zk_sasl_dependency/*.jar; 
do 
    CLASSPATH="$i:$CLASSPATH"
done
SERVER_JVMFLAGS=" -Djava.security.auth.login.config=/home/apache-zookeeper-3.7.1-bin/config/zk_server_jaas.conf "

进入bin目录启动zk

./zkServer.sh start

4.修改kafka配置并启动
新增kafka_server_jaas.conf文件

cd /home/kafka_2.13-3.3.2/config

创建kafka_server_jaas.conf

KafkaServer {
	# 指定认证方法为PLAIN
    org.apache.kafka.common.security.plain.PlainLoginModule required
    # kafka多个broker认证的账号
    username="admin"
    # kafka多个broker认证的密码
    password="admin"
    # 定义一个用户账号为admin,密码为admin
    user_admin="admin"
    # 定义一个用户账号为kafka,密码为kafka,需要和zk中定义的账号密码保持一致
    user_kafka="kafka";
};
# 猜测可能是集群环境下当前服务作为client的配置,但未进行实践,单机模式下可不用
Client {
    org.apache.zookeeper.server.auth.DigestLoginModule required
    username="kafka"
    password="kafka";
};

开启SASL认证,修改server.properties配置文件,增加以下内容

# 允许外部端口连接
listeners=SASL_PLAINTEXT://192.168.0.106:9092
# 认证方式
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=PLAIN 
sasl.enabled.mechanisms=PLAIN
allow.everyone.if.no.acl.found=true
# 对外提供服务的代理地址
advertised.listeners=SASL_PLAINTEXT://192.168.0.106:9092

修改bin目录下kafka启动脚本,在jvm参数中增加认证信息

export KAFKA_HEAP_OPTS="-Xmx1G -Xms1G“ 修改为
export KAFKA_HEAP_OPTS="-Xmx1G -Xms1G -Djava.security.auth.login.config=/home/kafka_2.13-3.3.2/config/kafka_server_jaas.conf"

启动服务

./kafka-server-start.sh  ../config/server.properties

验证

使用kafka自带的客户端脚本进行测试验证
1.添加客户端认证信息
config目录下新建kafka_client_jaas.conf,添加以下内容

KafkaClient {
  # 指定连接方式
  org.apache.kafka.common.security.plain.PlainLoginModule required
  # 客户端用户名,与kafka_server_jaas.conf中账号密码保持一致
  username="kafka"
  # 客户端密码
  password="kafka";
};

2.修改config目录下producer.properties和consumer.properties,增加以下内容

security.protocol=SASL_PLAINTEXT 
sasl.mechanism=PLAIN

3.修改客户端和服务端的启动脚本kafka-console-producer.sh和kafka-console-consumer.sh,将kafka_client_jaas.conf认证信息添加至启动参数中

export KAFKA_HEAP_OPTS="-Xmx512M"
修改为
export KAFKA_HEAP_OPTS="-Xmx512M  -Djava.security.auth.login.config=/home/kafka_2.13-3.3.2/config/kafka_client_jaas.conf"

4.kafka-topics.sh添加认证信息,确保能使用命令行创建/删除topic
config目录下添加sasl_client.conf文件,指定命令执行时的认证方式,文件内容:

security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN

修改kafka-topics.sh启动脚本,使用kafka_client_jaas.conf客户端文件中的验证参数

新增
export KAFKA_HEAP_OPTS="-Xmx1G -Xms1G -Djava.security.auth.login.config=/home/kafka_2.13-3.3.2/config/kafka_client_jaas.conf"

创建名称为test、只有一个分区的topic

bin/kafka-topics.sh --create --topic test --partitions 1 --bootstrap-server 192.168.0.106:9092 --command-config config/sasl_client.conf

5.启动生产者和消费者服务

启动生产者
./bin/kafka-console-producer.sh --broker-list 192.168.0.106:9092 --topic test --producer.config config/producer.properties

启动消费者
./bin/kafka-console-consumer.sh --bootstrap-server 192.168.0.106:9092 --topic test --from-beginning --consumer.config config/consumer.properties

生产者发送消息后消费者可正常收到,整体验证结束

常用命令

topic

1.查看所有topic

bin/kafka-topics.sh --list --bootstrap-server 192.168.0.106:9092 --command-config config/sasl_client.conf

2.查看名称为test的topic

bin/kafka-topics.sh --topic test --describe --bootstrap-server 192.168.0.106:9092 --command-config config/sasl_client.conf

3.创建test的topic,并且创建一个分区

bin/kafka-topics.sh --create --topic test --partitions 1 --bootstrap-server 192.168.0.106:9092 --command-config config/sasl_client.conf

4.删除名称为test的topic

bin/kafka-topics.sh --delete --topic test  --bootstrap-server 192.168.0.106:9092 --command-config config/sasl_client.conf

groups

使用kafka-consumer-groups.sh脚本之前,需要参照kafka-topics.sh脚本先进行修改,将kafka_client_jaas.conf文件中的配置信息导入到环境变量中
1.查看所有的groups信息

bin/kafka-consumer-groups.sh --list --bootstrap-server 192.168.0.106:9092 --command-config config/sasl_client.conf

2.查看指定的groups信息

bin/kafka-consumer-groups.sh --group test --describe --bootstrap-server 192.168.0.106:9092 --command-config config/sasl_client.conf

3.查看指定分组的offset和描述

bin/kafka-consumer-groups.sh --group 'test' --offsets --describe --bootstrap-server 192.168.0.106:9092 --command-config config/sasl_client.conf

producer

生产消息

bin/kafka-console-producer.sh --broker-list 192.168.0.106:9092 --topic test --producer.config config/producer.properties

consumer

消费消息

bin/kafka-console-consumer.sh --bootstrap-server 192.168.0.106:9092 --topic test --from-beginning --consumer.config config/consumer.properties

相关网址

参考博客

https://www.cnblogs.com/ilovena/p/10123516.html
https://blog.csdn.net/small_tu/article/details/109534634

kafka官网

https://kafka.apache.org/

kafka中文文档

https://kafka.apachecn.org/

KafKa 开启 SASL 验证
41981DC的博客
08-12 2969
kafka 配置 sasl 权限认证
kafka安装部署-前面部分
wt6002的博客
09-03 446
step 1: 下载代码 你可以登录Apache kafka 官方下载。http://kafka.apache.org/downloads.html 下载自己系统匹配的 Step 2: 启动服务 运行kafka需要使用Zookeeper,所以你需要先启动Zookeeper,如果你没有Zookeeper,你可以使用kafka自带打包配置好的Zookeeper(PS:在kafka包里)。 在kafka一个目录bin文件夹下面; //这是前台启动,启动以后,当前就无法进行其他操作(不推.
docker-compose搭建kafka3.7(不依赖zoomkeeper)的集群(三节点)搭建
qq_43436985的博客
02-19 544
docker-compose搭建kafka3.7(不依赖zoomkeeper)的集群(三节点)搭建
Apache zookeeper kafka 开启SASL安全认证
heming20122012的专栏
03-13 3319
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用Kafka作为一款开源的、轻量级的、分布式、可分区具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
Apache zookeeper kafka 开启SASL安全认证 —— 筑梦之路
筑梦之路
08-23 5132
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用Kafka作为一款开源的、轻量级的、分布式、可分区具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
kafka集群、单机 开启Sasl_Scram认证
weixin_48055770的博客
12-02 1793
kafka配置开启SASL认证
Linux部署Kafka+sasl
weixin_44858201的博客
06-21 649
本文转载自https://www.jianshu.com/p/a994bec67173 kafka3.0以后不支持jdk8,需要升级版本,以下用的事Kafka2.12_2.2.1在服务器节点配置认证文件: 文件路径: 文件内容: 注意配置文件中的两个分号的位置,多一不可,缺一不可。 修改服务器节点的启动配置文件: 复制 为,在文件最末尾添加: 修改服务器节点的启动脚本: 复制 为 ,将认证信息配置到 kafka 服务器节点的 JVM 启动参数中: 启动 zookeeper:以安全认证的方式启动 kafka
基于docker部署kafka-3.8.0版本,并开启SASL认证模式
m0_54138989的博客
02-06 1203
(2)修改 kafka-console-producer.sh 脚本 在脚本最上方增加如下代码。(2)修改 kafka-console-consumer.sh 脚本 在脚本最上方增加如下代码。(1)https://kafka.apache.org/downloads 下载如下图版本。(1)修改 kafka-server-start.sh 脚本 在脚本最上方增加如下代码。(3)修改server.properties 文件,增加下面信息,内容如下图。为topic增加SASL认证信息,指定认证机制为SASL
Kafka3.3单机模式-Windows-SASL/PLAIN身份验证-使用自带zookeeper
weixin_68970731的博客
11-04 2314
kafka3.x版本单机模式下的sasl/plain权限设置,包含zk的权限设置、topic的权限设置、group的权限设置等
Kafka部署全攻略——基于SASL_PLAIN认证的ACL权限控制
bbsxb520的博客
06-28 248
基于SASL_PLAIN认证的ACL权限控制
Window下kafka 单机SASL_PLAINTEXT加密及身份认证
小白菜呀
11-28 2778
一:前情提要 SASL_PLAINTEXT是一种简单的用户名密码认证机制,是一种kafka加密协议,PLAINTEXT是传输层协议 二:配置准备 1:JAVA_HOME  有JAVA_HOME的环境变量,且java版为1.8及以上,jdk目录无中文空格; 2:KAFKA项目部署 下载解压KAFKA项目到一个无中文无空格的目录下。配置非加密下的KAFKA环境,参考Windows环境下...
kafka windows环境搭建 SASL_PLAINTEXT/SCRAM
xplj2013的博客
06-22 632
本地kafa windows 搭建SASL_PLAINTEXT/SCRAM 进行用户认证
kafka集群开启sasl认证
cuigelasi的博客
03-25 2646
kafka集群开启sasl认证 sasl认证 sasl 是扩展C/S模式验证能力的一种认证机制。它可以规范客户端服务端传输应答传输内容编码,简而言之sasl决定了认证的规则,即客户端如何存储身份证书、客户端与服务端如何校验密码都由sasl决定。当我们的客户端通过校验,服务端便知晓客户端的身份,将赋给客户端相应的权限。 plain机制 sasl最常使用认证机制就是plain。通过将用户名密码以base64字符串(不加密)方式进行传输。 如果你需要更安全的传输,请结合TLS使用。 zookeeper 之
Apache zookeeper kafka 开启SASL安全认证_kafka开启认证
2401_86951311的博客
09-11 1647
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用Kafka作为一款开源的、轻量级的、分布式、可分区具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
kafka 集群sasl认证_kafka集群开启sals认证
2401_84182146的博客
04-11 301
这里 username 配置的用户为内部认证使用user_admin 为用户级别,admin 是用户,admin123是密码,测试密码不一致会报错2.修改启动配置3.修改kafka 配置文件 server.properties。
ambari-kafka 开启 sasl 认证
weixin_43545410的博客
12-25 1298
创建 kafka_server_jaas.conf vim /opt/kafka_server_jaas.conf #其中kafka为admin用户,格式:user_用户名="密码" KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="kafka" password="kafka-secret" user_kafka="kafka-secret" user_t
kafka 集群sasl认证_kafka集群开启sals认证,阿里P8手把手教你
2401_84166376的博客
04-15 390
user_admin 为用户级别,admin 是用户,admin123是密码,测试密码不一致会报错。3.修改kafka 配置文件 server.properties。这里 username 配置的用户为内部认证使用
Kafka系列(五)、开启SASL安全认证以及配置ACL权限控制
热门推荐
王义凯 的博客
09-18 1万+
本篇是kafka系列的第五篇,介绍kafka配置安全认证SASL以及ACL权限控制,并使用控制台python访问开启SASL认证kafka集群。
kafka开启SASL认证后,如何配置连接zookeeper不使用SASL
最新发布
03-14
<think>嗯,用户的问题是关于在Kafka启用SASL认证时,如何配置ZooKeeper连接不使用SASL。我需要先理解他们的问题场景。可能的情况是,用户已经为Kafka配置了SASL认证,但希望ZooKeeper保持不启用SASL,或者两者使用不同的认证机制。这个时候需要确保Kafka与ZooKeeper之间的连接不需要SASL。 首先,我需要回忆一下KafkaZooKeeper的配置关系。Kafka作为分布式系统,通常依赖ZooKeeper来进行元数据管理协调。在配置Kafka的安全机制时,ZooKeeper的安全配置通常是独立的,也就是说,KafkaSASL配置不一定影响ZooKeeper的连接。但用户可能遇到了问题,比如Kafka尝试用SASL连接ZooKeeper,而ZooKeeper并没有配置SASL,导致连接失败。 接下来,我需要查阅相关的配置参数。Kafka的配置文件中,特别是server.properties,有关于ZooKeeper连接的参数,比如zookeeper.connect。如果用户希望禁用SASL,可能需要检查是否有与安全相关的参数被错误地应用到了ZooKeeper连接上。例如,是否在Kafka的配置中设置了ZooKeeper的SASL相关属性,如zookeeper.client.secure或者security相关的参数。 根据引用内容,引用[2]中提到了ZooKeeperKafkaSASL认证配置,其中Kafka的server.properties配置了SASL_PLAINTEXT监听器,但并没有提到ZooKeeper的配置是否需要同步修改。可能用户在这里误解了,认为KafkaSASL配置会自动应用到ZooKeeper,但实际上两者是分开的。 正确的做法应该是确保Kafka连接ZooKeeper时使用的是普通连接,而不是SASL。这时候需要检查Kafka的配置中是否有与ZooKeeper安全相关的参数被设置。例如,zookeeper.client.config参数指定了ZooKeeper客户端的配置文件,如果这个文件中有SASL配置,就需要将其移除或设置为不使用SASL。 另外,Kafka的ZooKeeper客户端默认是不使用SASL的,除非显式配置。所以用户可能的问题是,在配置KafkaSASL时,错误地配置了ZooKeeper的SASL参数,导致连接失败。解决方法就是检查这些配置,并确保ZooKeeper连接使用的是普通的无认证方式。 同时,需要提醒用户,如果ZooKeeper本身启用了SASL,那么Kafka必须配置相应的参数来连接。但用户的问题正好相反,希望ZooKeeper不启用SASL,所以只需确保Kafka的配置中没有为ZooKeeper启用SASL即可。 总结下来,步骤应该是:检查Kafka配置中的ZooKeeper相关参数,移除任何SASL设置,确保ZooKeeper连接使用普通协议,如PLAINTEXT,并且不需要SASL认证。同时,可能需要验证ZooKeeper本身的配置是否确实没有启用SASL,避免因为ZooKeeper服务端的问题导致连接失败。</think>在Kafka启用SASL认证时,若需要配置ZooKeeper连接不使用SASL,需通过以下步骤实现: ### 一、核心原理 Kafka与ZooKeeper的认证配置相互独立。KafkaSASL认证通过`server.properties`实现,而ZooKeeper连接的安全性需通过**独立的客户端配置**控制。默认情况下,若未显式配置ZooKeeper的SASL参数,Kafka将以普通明文协议连接ZooKeeper[^3]。 ### 二、具体配置步骤 1. **保持ZooKeeper未启用SASL** - 确保ZooKeeper的`zoo.cfg`配置文件中未添加SASL相关参数(如`authProvider.*`或`requireClientAuthScheme`) 2. **修改Kafka的ZooKeeper客户端配置** 在Kafka的`server.properties`中**显式指定非SASL协议**: ```properties zookeeper.connect=plaintext://zk_host1:2181,plaintext://zk_host2:2181 ``` 3. **隔离ZooKeeper客户端配置** 创建独立的ZooKeeper客户端配置文件(如`zookeeper-client.properties`),内容为: ```properties zookeeper.sasl.client=false zookeeper.client.secure=false ``` 4. **启动Kafka时指定配置文件** ```bash KAFKA_OPTS="-Dzookeeper.client.config=/path/to/zookeeper-client.properties" ./bin/kafka-server-start.sh config/server.properties ``` ### 三、验证方法 通过ZooKeeper四字命令验证连接类型: ```bash echo stat | nc localhost 2181 | grep Mode ``` 若输出显示`Mode: standalone`且无SASL相关字段,说明连接未使用SASL[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值