kafka ssl & acl

最新推荐文章于 2023-08-07 16:00:51 发布
最新推荐文章于 2023-08-07 16:00:51 发布
阅读量904 收藏 1
点赞数 1
分类专栏: kafka 文章标签: kafka ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahzsg1314/article/details/66976284
版权

 KafkaSSL配置

1.1  创建密钥和证书

以下在每台kafka服务器上执行

keytool -keystoreserver.keystore.jks -alias localhost -validity 365-keyalg RSA -genkey

以下在连接kafka的clientt端执行,如果不要求客户端身份认证(服务器端没有配置ssl.client.auth=required),那么这步可以省略

keytool -keystoreclient.keystore.jks -alias localhost -validity 365-keyalg RSA –genkey

【注】

1、需要将密钥库和密钥密码设置相同

2、keystore 密钥库存储位置、alias证书实体唯一别名、validity 密钥有效期、keyalg加密算法

3、一次密钥方法

 keytool-genkey -alias test -keypass test1234-storepass test1234 -validity 365-keystore test.keystore -dname"CN=hadoop001, OU=test, O=test, L=test,ST=test, C=test"

1.2  利用openssl创建CA

openssl req -new-x509 -keyout ca-key -out ca-cert -days 365

【注】

1、keyout 私钥文件(默认当前目录)、out 证书文件(默认当前目录),days 证书有效期(天)

2、CA相当于证书发放机构,提供证书签名服务

3、kafka集群其中一台服务器中执行即可,也可任选集群外机器充当CA

1.3  创建CA客户端证书信任库

kafka server端执行:

keytool -keystoreserver.truststore.jks -alias CARoot -import -file ca-cert

kafka client端执行:

keytool -keystoreclient.truststore.jks -alias CARoot -import -file ca-cert

【注】truststore库存储的是CAclient端应该信任的CA证书集合,导入证书进入自己的信任库意味着信任所有该CA证书机构签发的证书。

1.4  CA对证书进行签名(利用CA证书ca-key,ca-cert签名)

1、迁出证书

keytool -keystoreserver.keystore.jks -alias localhost -certreq -file cert-file

keytool -keystoreclient.keystore.jks -alias localhost -certreq -file cert-file-client

2、CA签名

openssl x509 -req-CA ca-cert -CAkey ca-key -in cert-file -out cert-signed -days365-CAcreateserial -passin pass:test1234

openssl x509-req-CA ca-cert -CAkey ca-key -in cert-file-client -out cert-signed-client-days 365-CAcreateserial -passin pass:test1234

 

1.5  签名证书导入kafka server端信任库

将经过CA签名过的kafkaserver端证书(cert-signed)、client端证书(cert-signed-client)导入server端信任库(server.truststore.jks)

  keytool-keystore server.truststore.jks-alias localhost -import -file cert-signed

  keytool-keystore server.truststore.jks-alias localhost -import -filecert-signed-client

 

1.6  签名证书导入kafka client端信任库

将CA签名后的kafkaserver端证书(cert-signed)、client端证书(cert-signed-client)导入kafkaclient端信任库(client.truststore.jks)

  keytool-keystore client.truststore.jks-alias localhost -import -file cert-signed

  keytool-keystore client.truststore.jks-alias localhost -import -filecert-signed-client

 

1.7  配置server.properties文件

添加如下关于SSL信息的配置:

#开启9093端口ssl协议请求

listeners=PLAINTEXT://192.168.14.140:9092,SSL://192.168.14.140:9093

#指定kafkaserver秘钥、信任库存储位置,ssl.keystore.location存自己的私钥,ssl.truststore.location存放信任库

ssl.keystore.location=/opt/kafka_2.10-0.10.0.0/ssl/server.keystore.jks

ssl.keystore.password=test1234

ssl.key.password=test1234

ssl.truststore.location=/opt/kafka_2.10-0.10.0.0/ssl/server.truststore.jks

ssl.truststore.password=test1234

#kafkabroker之间也使用ssl通信

security.inter.broker.protocol=SSL

#客户端也需要认证(看需要)

ssl.client.auth=required

 

1.8  client端配置(producer、consumer关于SSL的配置相同)

如果kafka server端没有配置ssl.client.auth=required,如下是SSL最小化配置:

#通讯协议

security.protocol=SSL

ssl.truststore.location=/opt/kafka_2.10-0.10.0.0/ssl/client.truststore.jks

ssl.truststore.password=test1234

 

kakfa server端开启了客户端认证,添加如下配置:

#指定kafkaclient秘钥、信任库存储位置,ssl.keystore.location存自己的私钥,#ssl.truststore.location存放信任库

ssl.keystore.location=/opt/kafka_2.10-0.10.0.0/ssl/client.keystore.jks

ssl.keystore.password=test1234

ssl.key.password=test1234

 

 

1.9  测试验证

kafka-console-producer.sh--broker-listlocalhost:9093 --topic test --producer.configclient-ssl.properties

kafka-console-consumer.sh--bootstrap-serverlocalhost:9093 --topic test --new-consumer--consumer.configclient-ssl.properties

 启用 ACL

2.1  配置server.properties文件

启用kafka 自带ACL授权

authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer

principal.builder.class=org.apache.kafka.common.security.auth.DefaultPrincipalBuilder

 

添加超级用户,建议kafka server所有broker内部通信采用相同的principle,并将其设为超级用户

super.users=User:CN=hadoop001,OU=test,O=test,L=test,ST=test,C=test

【注】如果开启ACL,默认情况除了超级用户,没有用户允许访问

三  ACL使用

acl的格式定义 "Principal P is [Allowed/Denied]Operation O From Host H OnResource R”,默认情况下,SSL的用户名称的形式是"CN=writeuser,OU=Unknown,O=Unknown,L=Unknown,ST=Unknown,C=Unknown"。

默认kafka集群操作权限可以分为Cluster、producer、consumer,其中Cluster为集群管理权限,kafka server必须拥有该权限。

3.1  查看ACL列表

./kafka-acls.sh--list--authorizer-properties zookeeper.connect=localhost:2181/kafka

3.2  添加producer权限

1、所有topic拥有producer权限

kafka-acls.sh--allow-principalUser:CN=hadoop001,OU=test,O=test,L=test,ST=test,C=test--authorizer-propertieszookeeper.connect= localhost:2188/apache_kafka --producer--add –topic=*

 

2、指定topic拥有producer权限

kafka-acls.sh--allow-principalUser:CN= hadoop001,OU=test,O=test,L=test,ST=test,C=test--authorizer-propertieszookeeper.connect= localhost:2188/apache_kafka--producer --add –topic=test01

3.3  添加consumer权限

1、所有consumer group对所有topic拥有consumer权限

kafka-acls.sh--authorizer-propertieszookeeper.connect=localhost:2188/apache_kafka--allow-principal User:CN= hadoop001,OU=test,O=test,L=test,ST=test,C=test --consumer --topic=* --group=* --add

 

2、所有consumer group对某个topic拥有consumer权限

kafka-acls.sh--authorizer-propertieszookeeper.connect=localhost:2188/apache_kafka--allow-principal User:CN= hadoop001,OU=test,O=test,L=test,ST=test,C=test --consumer --topic=test01 --group=* --add

 

3.4  删除权限

kafka-acls.sh--allow-principalUser:CN= hadoop001,OU=test,O=test,L=test,ST=test,C=test--authorizer-propertieszookeeper.connect= localhost:2188/apache_kafka --producer--remove –topic=*

 

3.5  原子权限管理(read、write、describe)

1、read

kafka-acls.sh--authorizer-propertieszookeeper.connect=localhost:2188/apache_kafka--allow-principal User:CN=hadoop001,OU=test,O=test,L=test,ST=test,C=test --operation read --topic=* --group=* --add

2、write

kafka-acls.sh--authorizer-propertieszookeeper.connect=localhost:2188/apache_kafka--allow-principal User:CN= hadoop001,OU=test,O=test,L=test,ST=test,C=test --operation write --topic=* --add

3、describe

kafka-acls.sh--authorizer-propertieszookeeper.connect=localhost:2188/apache_kafka--allow-principal User:CN= hadoop001,OU=test,O=test,L=test,ST=test,C=test --operation describe --topic=* --add

 注意点

1、  Kafka SSL可以单独使用,不开启ACL模式下只要客户端、服务端principle验证通过即可以进行数据通讯

 

2、  启用SSL后,Kafka sever端每台broker的信任库必须拥有集群所有broker的证书信息,推荐配置为集群内部公用一个principle

 

3、  自己创建CA时,集群内部需要使用同一个CA进行签名和认证

 

4、  启用ACL后,kafka集群内部所有角色启动用户的principle必须拥有集群的读、写、集群管理权限,推荐使用超级用户管理集群

 

5、  Kafka SSL相关的所有执行操作只针对new producer、new consumer有效,老版本的kafka不支持

 

醉里看花
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kafka 配置SSL证书&ACL
zy1344470418的博客
02-22 586
kafka 配置SSL证书&ACL
kafka用户认证与权限管理(SASL/PLAIN+ACL
浪子天涯行世录
11-18 2339
Kafka 目前支持SSL、SASL/Kerberos、SASL/PLAIN三种认证机制 kafka的认证范围 kafka client 与 kafka server(broker) broker与broker之间 broker与zookeeper之间 zookpeer认证 在zookeeper安装根目录的conf目录下,创建zk_server_jaas.conf文件 Server {...
kafka权限:(ACL权限控制) 补充acl命令操作
weixin_47737819的博客
11-30 4071
kafka权限:(acl权限) 删除acl权限控制 kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --operation Write --allow-principal User:* --allow-host ***.***.***.*** --remove --topic zll 假设你要添加一个acl “以允许*.***.***.和.***.***.*,Principal为User:Bob和User:Ali
Kafka SSLACL 配置
Database、Code
09-07 1万+
很久没写文章了,之所以写这篇文章是想其他同学少走弯路,因为我在进行配置的时候发现google及百度没有一篇像样的文章。官方doc说的又不是很清楚,所以比较蛋疼,最终还是折腾出来了。 kafka SSL 配置,大家先可以去看官方doc: http://kafka.apache.org/090/documentation.html#security_ssl 我感觉比较误导人。。
Kafka权限认证ACL
不见其长,日有所长
02-27 3464
1. kafka ACL权限 bin/kafka-acls.sh --authorizer-properties zookeeper.connect=centos11:2181 --add --allow-principal User:Bob --allow-principal User:Alice --allow-host 198.51.100.0 --allow-host 198.51.100...
kafka添加ssl认证
01-07
主要是生成证书: 请先安装java和openssl. 生成证书脚本ca.sh: #!/bin/bash #Step 1 keytool -keystore /var/soft/ca/server.keystore.jks -alias localhost -validity 365 -genkey #Step 2 openssl req -new -x509 ...
【Spark大数据习题】习题-Spark SQL&&&Kafka&& HBase&&HivePDF资源路径-Spark2
06-01
【Spark大数据习题】习题_Spark SQL&&&Kafka&& HBase&&HivePDF资源路径-Spark2PDF资源路径-Spark2
【Spark大数据习题】习题-Spark SQL&&&Kafka&& HBase&&HiveSpark第二次小测
06-01
【Spark大数据习题】习题_Spark SQL&&&Kafka&& HBase&&HiveSpark第二次小测Spark第二次小测Spark第二次小测
kafka ssl 安全认证详细配置
06-23
kafka ssl 安全认证详细配置 Kafka SSL 安全认证是 Kafka 集群中的一种安全机制,旨在确保数据传输的安全性和可靠性。本文将详细介绍 Kafka SSL 安全认证的配置过程,包括环境准备、SSL 证书生成、客户端 SSL 证书...
terraform-provider-kafka:用于管理Apache Kafka主题+ ACL的Terraform提供程序
02-03
terraform-provider-kafka 一个用于管理插件。 内容 安装 terraform-provider-kafka在terraform注册表中可用。 要安装,请将以下内容添加到您的main.tf并执行terraform init terraform { required_providers { ...
kafka配置SSL(shell脚本)
04-11
kafka配置SSL的前几步骤,写成shell脚本了,方便!博客参考:https://blog.csdn.net/qq_34021712/article/details/79902479
使用sasl的kafka集群的搭建使用
03-15
搭建基于sasl的安全认证的kafka集群,并配置acl,使用户能分权分域接受发送消息
Kafka3.4 SASL/kerberos/ACL 证以及 SSL 加密连接
最新发布
青冬的博客
08-07 2362
kafka sasl 搭建,以及 SSL 传输加密搭建,最新版本 kafka3.4 实操。 其他节点只需要安装执行
三、Kafka集群配置
qq_37200262的博客
05-20 1081
Kafka集群配置 下载安装和单机版一样,Kafka单机安装 不同之处在于配置文件的修改。 主要修改点: broker.id三台递增0,1,2就行; listeners=PLAINTEXT://CentOSC:9092监听的主机和端口; log.dirs=/usr/kafka-logs修改日志和数据文件目录地址 配置zookeeper.connect=CentOSA:2181,CentOSB:2181,CentOSC:2181是zook集群的连接信息 # Licensed to the Apache Sof
Kafka实战:集群SSL加密认证和配置(最新版kafka-2.7.0)
qq_43842093的博客
05-09 1314
这个命令,可随机在任一broker节点执行,只需要执行一次,执行完成后生成了两个文件cat-key、ca-cert,将这两个文件分别拷贝到所有broker节点上,后面需要用到。类似的,CA签署证书,密码保证签署的证书在计算上很难被伪造。执行命令时,输入first and last name,这里需要输入你的主机名,确保公用名(CN)与服务器的完全限定域名(FQDN)精确相匹配。每个节点执行一次后,集群中的每一台机器都有一个公私密钥对、一个标识该机器的证书,注意这里是所有的broker节点都要执行这个命令。
Kafka配置SSL安全认
m0_61332144的博客
02-28 2855
Kafka配置SSL安全认证
kafka acl权限控制
十色花的博客
06-30 4087
1.对应的broken添加acl权限vim serve.properties末尾添加:allow.everyone.if.no.acl.found=trueauthorizer.class.name = kafka.security.auth.SimpleAclAuthorizersuper.users=User:root2.开启(关闭)kafkabrokerkafka-server-start....
kafka topic acl授权
刘光华的专栏
10-16 8591
在前一篇,kafka启用认证(http://blog.csdn.net/zhoudetiankong/article/details/78229416)的基础上,来说明kafka topic的acl权限。1.修改server.propertiesauthorizer.class.name = kafka.security.auth.SimpleAclAuthorizer#设置超级用户 super.u
kafka学习笔记八kafka的权限管理之ACL权限控制
热门推荐
hwhanwan的专栏
08-29 1万+
kafka的权限管理之ACL权限控制 1.broker acl configuration 2.producer acl write 3.consumer acl read 4.programming acl (consumer & producer)   一、配置 broker sasl(acl) configuration 1.1 分别复制server.properties...
kafka 开通acl ssl
07-25
你可以通过以下步骤来为 Kafka 开通 ACL(访问控制列表)和 SSL: 1. 生成 SSL 证书和私钥: - 使用 OpenSSL 工具生成自签名证书和私钥。 - 或者,您可以使用第三方证书颁发机构(CA)签署的证书和私钥。 2. 配置 Kafka 服务器: - 在 Kafka 服务器上配置 SSL 加密,包括指定 SSL 证书和私钥的路径。 - 启用 SSL 监听器,并指定 SSL 监听器的端口。 3. 配置 KafkaACL: - 创建一个 ACL 文件,其中包含您想要为 Kafka 主题、分区或其他资源设置的权限规则。 - 将 ACL 文件配置为 Kafka 服务器的一部分,以便它可以加载并应用这些权限规则。 4. 重启 Kafka 服务器: - 重新启动 Kafka 服务器以加载 SSL 配置和 ACL 配置。 完成上述步骤后,您的 Kafka 集群将使用 SSL 进行安全通信,并根据 ACL 配置来控制访问权限。请注意,这只是一个基本的概述,实际的配置步骤可能因您的环境和需求而有所不同。您可能需要参考 Kafka 和您使用的 SSL 工具的文档以获取更详细的指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值