Kafka部署全攻略——基于SASL_SCRAM认证的ACL权限控制

已于 2023-07-05 16:22:51 修改
阅读量225 收藏
点赞数
分类专栏: Kafka 文章标签: kafka 分布式
于 2023-06-28 15:54:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bbsxb520/article/details/131438728
版权

目录

Kafka配置SASL

为生产消费授权

创建生产者用户

创建消费者用户

 为生产者授权

为消费者授权

查看授权信息

测试基于SASL_SCRAM认证的ACL权限控制

修改生产者配置文件

修改消费者配置文件

开始测试

以下以kafka集成zookeeper为例。

本文仅介绍基于以上已开启SASL/SCRAM认证的前提下,追加ACL权限控制的介绍。

本文基于Kafka最新的3系版本展开介绍,已淘汰的命令不再赘述。

Kafka配置SASL

为生产消费授权

创建生产者用户

bin/kafka-configs.sh --bootstrap-server 10.8.15.35:19092,10.8.15.36:19092,10.8.15.37:19092 --alter --add-config 'SCRAM-SHA-256=[password=prod@123],SCRAM-SHA-512=[password=prod@123]' --entity-type users --entity-name producer --command-config config/jaas.properties

创建消费者用户

bin/kafka-configs.sh --bootstrap-server 10.8.15.35:19092,10.8.15.36:19092,10.8.15.37:19092 --alter --add-config 'SCRAM-SHA-256=[password=cons@123],SCRAM-SHA-512=[password=cons@123]' --entity-type users --entity-name consumer --command-config config/jaas.properties

 为生产者授权

bin/kafka-acls.sh --bootstrap-server 10.8.15.35:19092,10.8.15.36:19092,10.8.15.37:19092 --add --allow-principal User:producer --allow-host 10.8.15.35 --allow-host 10.8.15.36 --allow-host 10.8.15.37 --producer --topic '*' --command-config ./config/jaas.properties

注:当--topic使用通配符为所有主题授权时,必须要加上单引号('*')。 

为消费者授权

bin/kafka-acls.sh --bootstrap-server 10.8.15.35:19092,10.8.15.36:19092,10.8.15.37:19092 --add --allow-principal User:consumer --allow-host 10.8.15.35 --allow-host 10.8.15.36 --allow-host 10.8.15.37 --consumer --topic '*' --group '*' --command-config ./config/jaas.properties

 注:当--topic或--group使用通配符为所有主题或组授权时,必须要加上单引号('*')。

查看授权信息

bin/kafka-acls.sh --bootstrap-server 10.8.15.35:19092,10.8.15.36:19092,10.8.15.37:19092 --list --command-config ./config/jaas.properties

测试基于SASL_SCRAM认证的ACL权限控制

以下内容仅测试验证使用,实际生产环境可不配置。

修改生产者配置文件

  • 增加生产者认证使用配置信息
  • 进入kafka配置目录
cd /opt/tools/kafka_2.13-3.2.1/config
  • 修改producer.properties文件
vim producer.properties

添加如下内容:

security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-512
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="producer" password="prod@123";

  •  复制配置文件到每个节点
scp producer.properties root@big3:/opt/tools/kafka_2.13-3.2.1/config

修改消费者配置文件

增加生产者认证使用配置信息

  • 进入kafka配置目录
cd /opt/tools/kafka_2.13-3.2.1/config
  • 修改consumer.properties文件
vim consumer.properties

添加如下内容:

security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-512
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="consumer" password="cons@123";

  • 复制配置文件到每个节点
scp consumer.properties root@big3:/opt/tools/kafka_2.13-3.2.1/config

开始测试

  • 进入kafka家目录
cd /opt/tools/kafka_2.13-3.2.1/
  • 查看topic 列表
./bin/kafka-topics.sh --list --bootstrap-server 10.8.15.35:19092,10.8.15.36:19092,10.8.15.37:19092 --command-config ./config/jaas.properties

  • 创建topic
./bin/kafka-topics.sh --create --topic sasl-test --bootstrap-server 10.8.15.35:19092,10.8.15.36:19092,10.8.15.37:19092  --partitions 3 --replication-factor 3 --config retention.ms=259200000 --command-config ./config/jaas.properties

  • 生产
./bin/kafka-console-producer.sh --bootstrap-server 10.8.15.35:19092,10.8.15.36:19092,10.8.15.37:19092 --topic sasl-test --producer.config ./config/producer.properties

  • 消费(在集群中其他节点上创建消费)
./bin/kafka-console-consumer.sh --bootstrap-server 10.8.15.35:19092,10.8.15.36:19092,10.8.15.37:19092 --topic sasl-test --consumer.config ./config/consumer.properties

  • 此时在生产端输入内容,到消费端查看内容,消费端可查看到生产端输入的内容,则表示基于kafka scram的acl认证成功实现。

家里有只小螃蟹
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kafka 开启SASL/SCRAM认证ACL授权(一)认证
代码讲故事
10-13 915
Kafka 开启SASL/SCRAM认证ACL授权(一)认证
huaweicloudDocs#kafka#创建SASL_SSL用户1
07-25
创建SASL_SSL用户Kafka专享版实例开启SASL_SSL后,参考本章节创建SASL_SSL用户,并在Topic中为SASL_SSL用户设置不同的权限,以
Kafka部署全攻略——基于SASL_SCRAM/SSL认证ACL权限控制
bbsxb520的博客
06-28 225
基于SASL_SCRAM/SSL认证ACL权限控制
kafka安全机制(SASL_SCRAM
qq_44062110的博客
03-07 1363
zookeeper和kafka在默认情况下,是没有开启安全认证的,那么任意客户端可以在不需要任何身份认证的情况下访问zookeeper和kafka下的各节点,甚至可以进行节点的增加,修改以及删除的动作。除了最基本的身份认证以外,还有针对每个节点的权限访问,但本文不涉及该话题。如果是集群模式,那么只需要对单机模式的配置文件做相应的修改即可:确保集群中每个broker的broker.id配置参数的值不一样,以及listeners配置参数也需要修改为与broker对应的IP地址或域名,之后就可以各自启动服务。
Kafka SASL/SCRAM+ACL(实测成功)
紫蝶侠的博客
12-29 309
Kafka SASL/SCRAM+ACL实现动态创建用户及权限控制
kafka动态权限认证SASL SCRAM + ACL
weixin_45682234的博客
10-19 3078
kafka动态权限认证SASL SCRAM + ACL) 创建三个测试用户 bin/kafka-configs.sh --zookeeper 192.168.x.x:2181 --alter --add-config ‘SCRAM-SHA-256=[iterations=8192,password=admin],SCRAM-SHA-512=[password=admin]’ --entity-type users --entity-name admin PS:用户 admin 这里配置admin用户用于实
kafka sasl_scram认证+ACL动态增加用户授权
sun_xuegang的博客
11-26 2633
一、基本信息 1.机器列表 ip hostname port app 192.168.19.201 server1 2181 2888 3888 9092 jdk1.8.0_201 zk3.4.14 kafka2.12-2.2.0 192.168.19.20...
一键搭建kafka集群支持SASL安全认证以及配置ACL权限,支持多IP和公网IP配置,支持界面化监控和操作以及最细粒度的授权
10-12
一键搭建kafka集群支持开启SASL安全认证以及配置ACL权限控制,支持多IP和公网IP配置,支持集群、topic、消费组、消息、限流、acl、副本表盘监控显示创建topic和用户以及最细粒度的授权。 非常简单的使用,只需要...
2021Java字节跳动面试题——面向字节_Kafka.pdf
01-29
面向字节_Kafka.pdf
kafka使用笔记-librdkafka支持sasl认证-附件资源
03-02
kafka使用笔记-librdkafka支持sasl认证-附件资源
Apache Kafka 3.2.0 (Scala 2.13 :kafka_2.13-3.2.0.tgz)
06-12
Apache Kafka 3.2.0 (Scala 2.13 :kafka_2.13-3.2.0.tgz) 是一个开源分布式事件流平台,被数千家公司用于高性能数据管道、流分析、数据集成和关键任务应用程序。) 是一个开源分布式事件流平台,被数千家公司用于高...
kafka学习笔记04(小滴课堂)
weixin_52618349的博客
05-14 210
Kafka的producer生产者发送到Broker分区策略讲解 ,Kafka核心API模块-producer API讲解实战, ProducerRecord介绍和key的作用, Kafka核心API模块-producerAPI回调函数实战 Kafka 生产者自定义partition分区规则实战
kafka基本命令
qq_36391380的博客
05-15 288
【代码】kafka基本命令。
Kafka-生产者(producer)发送信息流程详解
喻师傅的学习笔记
05-18 797
Kafka生产者发送信息流程
Kafka-文件存储机制
喻师傅的学习笔记
05-17 703
Kafka文件存储机制
kafka客户端JAVA API
qq_36391380的博客
05-17 115
java调用api
Kafka Topic分区重分布
高云平的博客
05-21 54
其中:–broker-list 指定需要分布的broker id,这个brokerid不一定是按顺序生成的,想要查询当前集群所有的broker id , 可以进入每个broker的数据目录,cat meta.properties。在扩容完kafka的broker以后,现有的topic分区不会自动迁移到新增节点上。需要手动对每个topic进行重分布。当前topic有6个分区2个副本, 分布在1001,1002,1003 三个broker上,命令执行完成,会输出现有topic分区分布,和生成的随机分布规划。
Kafka SSL认证
最新发布
麦田里的守望者-蒋中洲【相信相信的力量】
05-21 124
参考:https://www.ibm.com/docs/zh/cloud-paks/cp-biz-automation/21.0.3?在kafka安装目录下/certificates生成keystore和trust文件,在其中一台机器声生成证书,然后将。文件拷贝其他broker节点上去即可。3.导入CA到truststore。1.生成keystore。
CDC 数据入湖方案:Flink CDC>Kafka + Schema Registry>Hudi ( HoodieMultiTableStreamer )
Laurence的技术博客
05-19 1075
本方案的技术链路为:使用 Flink CDC 将 MySQL 的 CDC 数据 (Avro 格式)接入到 Kafka ,然后通过 Hudi 的 HoodieMultiTableStreamer 将摄取的 CDC 数据写入到 Hudi 表中。整个链路由 Confluent Schema Registry 控制 Schema 的变更。本文和《CDC 数据入湖方案:Flink CDC > Kafka + Schema Registry > Hudi ( Flink Connector ) 》介绍的方案类似,不同之
kafka.security.protocol=SASL_PLAINTEXT
07-14
`kafka.security.protocol=SASL_PLAINTEXT` 是 Kafka 的一项配置属性,用于指定使用 SASL_PLAINTEXT 安全协议进行通信。 SASL_PLAINTEXT 安全协议是 Kafka 提供的一种安全传输协议,它结合了 SASL(Simple Authentication and Security Layer)和明文传输。使用该协议可以在 Kafka 客户端和服务端之间建立安全的通信通道,并进行身份验证。 通过配置 `kafka.security.protocol` 属性为 `SASL_PLAINTEXT`,Kafka 客户端将使用 SASL_PLAINTEXT 协议与 Kafka 服务器进行通信。在这种情况下,客户端需要提供相应的 SASL 机制和凭据,如用户名和密码,以进行身份验证。 需要注意的是,使用 SASL_PLAINTEXT 安全协议可以提供一定程度的安全性,但仍然使用明文传输。如果需要更高级别的安全性,可以考虑使用 SASL_SSL 或 SSL 安全协议,以在传输过程中加密数据。 具体的配置和实现细节可能会因所使用的 Kafka 版本和环境而有所不同。建议查阅 Kafka 的官方文档或相关资源,获取更详细的配置说明和实现指南。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值