kafka权限控制-Acl

最新推荐文章于 2023-07-24 18:25:37 发布
最新推荐文章于 2023-07-24 18:25:37 发布
阅读量884 收藏 1
点赞数
文章标签: 大数据 java json
原文链接:https://my.oschina.net/u/569730/blog/1490548
版权

介绍

Acl表示对一个资源的访问权限。它由Resource和Acl组成。

Resource表示一个具体的资源。

Acl表示权限,由主体principal,是否允许permissionType,主机host,操作operation组成。

Resource

//  ResourceType表示资源类型,name则表示资源标识符
case class Resource(resourceType: ResourceType, name: String) {
    
  override def toString: String = {
    resourceType.name + Resource.Separator + name
  }
}

以一个名为test的Topic为例,用Resource表示这个资源

new Resource(ResourceType.Topic, "test")

ResourceType

object ResourceType {

  def fromString(resourceType: String): ResourceType = {
    // 从values找到name相等的type
    val rType = values.find(rType => rType.name.equalsIgnoreCase(resourceType))
    rType.getOrElse(throw new KafkaException(resourceType + " not a valid resourceType name. The valid names are " + values.mkString(",")))
  }
   // 取值序列
  def values: Seq[ResourceType] = List(Topic, Group, Cluster, TransactionalId)

  def fromJava(operation: JResourceType): ResourceType = fromString(operation.toString.replaceAll("_", ""))
}

ResourceType只有四种内置的类型

case object Topic extends ResourceType {
  val name = "Topic"
  val error = Errors.TOPIC_AUTHORIZATION_FAILED
  val toJava = JResourceType.TOPIC
}

case object Group extends ResourceType {
  val name = "Group"
  val error = Errors.GROUP_AUTHORIZATION_FAILED
  val toJava = JResourceType.GROUP
}

case object Cluster extends ResourceType {
  val name = "Cluster"
  val error = Errors.CLUSTER_AUTHORIZATION_FAILED
  val toJava = JResourceType.CLUSTER
}

case object TransactionalId extends ResourceType {
  val name = "TransactionalId"
  val error = Errors.TRANSACTIONAL_ID_AUTHORIZATION_FAILED
  val toJava = JResourceType.TRANSACTIONAL_ID
}

Operation

object Operation {

  def fromString(operation: String): Operation = {
    // 从values找到name相等的值
    val op = values.find(op => op.name.equalsIgnoreCase(operation))
    op.getOrElse(throw new KafkaException(operation + " not a valid operation name. The valid names are " + values.mkString(",")))
  }

  def fromJava(operation: AclOperation): Operation = fromString(operation.toString.replaceAll("_", ""))
  // 取值集合
  def values: Seq[Operation] = List(Read, Write, Create, Delete, Alter, Describe, ClusterAction, AlterConfigs, DescribeConfigs, IdempotentWrite, All)
}

Opearation只有下面几种内置的类型

// 读操作
case object Read extends Operation {
  val name = "Read"
  val toJava = AclOperation.READ
}
// 写操作
case object Write extends Operation {
  val name = "Write"
  val toJava = AclOperation.WRITE
}
// 新建操作
case object Create extends Operation {
  val name = "Create"
  val toJava = AclOperation.CREATE
}
// 删除操作
case object Delete extends Operation {
  val name = "Delete"
  val toJava = AclOperation.DELETE
}
// 修改操作
case object Alter extends Operation {
  val name = "Alter"
  val toJava = AclOperation.ALTER
}
// 描述操作
case object Describe extends Operation {
  val name = "Describe"
  val toJava = AclOperation.DESCRIBE
}
// 集群操作
case object ClusterAction extends Operation {
  val name = "ClusterAction"
  val toJava = AclOperation.CLUSTER_ACTION
}
// 描述配置操作
case object DescribeConfigs extends Operation {
  val name = "DescribeConfigs"
  val toJava = AclOperation.DESCRIBE_CONFIGS
}
// 修改配置操作
case object AlterConfigs extends Operation {
  val name = "AlterConfigs"
  val toJava = AclOperation.ALTER_CONFIGS
}
// 
case object IdempotentWrite extends Operation {
  val name = "IdempotentWrite"
  val toJava = AclOperation.IDEMPOTENT_WRITE
}
// 表示所有的操作
case object All extends Operation {
  val name = "All"
  val toJava = AclOperation.ALL
}

PermissionType

object PermissionType {
  def fromString(permissionType: String): PermissionType = {
    val pType = values.find(pType => pType.name.equalsIgnoreCase(permissionType))
    pType.getOrElse(throw new KafkaException(permissionType + " not a valid permissionType name. The valid names are " + values.mkString(",")))
  }
   // 从values找到name相等的值
  def fromJava(permissionType: AclPermissionType): PermissionType = fromString(permissionType.toString)
  // 取值集合
  def values: Seq[PermissionType] = List(Allow, Deny)
}

内置的PermissionType,只有两种,Allow表示允许,Deny表示拒绝。

case object Allow extends PermissionType {
  val name = "Allow"
  val toJava = AclPermissionType.ALLOW
}

case object Deny extends PermissionType {
  val name = "Deny"
  val toJava = AclPermissionType.DENY
}

KafkaPrincipal

KafkaPrincipal默认是以User类型,来区分的。

public class KafkaPrincipal implements Principal {
    public static final String SEPARATOR = ":";
    public static final String USER_TYPE = "User";
    public final static KafkaPrincipal ANONYMOUS = new KafkaPrincipal(KafkaPrincipal.USER_TYPE, "ANONYMOUS");
    // 主体类型
    private String principalType;
    // 标识符
    private String name;

    public KafkaPrincipal(String principalType, String name) {
        if (principalType == null || name == null) {
            throw new IllegalArgumentException("principalType and name can not be null");
        }
        this.principalType = principalType;
        this.name = name;
    }

    public static KafkaPrincipal fromString(String str) {
        if (str == null || str.isEmpty()) {
            throw new IllegalArgumentException("expected a string in format principalType:principalName but got " + str);
        }
        // 以:字符切割
        String[] split = str.split(SEPARATOR, 2);

        if (split == null || split.length != 2) {
            throw new IllegalArgumentException("expected a string in format principalType:principalName but got " + str);
        }

        return new KafkaPrincipal(split[0], split[1]);

    public String toString() {
        return principalType + SEPARATOR + name;
    }
}

Acl

case class Acl(principal: KafkaPrincipal, permissionType: PermissionType, host: String, operation: Operation) {
  // 转为map类型。后面会再转为json类型,存到zookeeper的节点中 
  def toMap(): Map[String, Any] = {
    Map(Acl.PrincipalKey -> principal.toString,
      Acl.PermissionTypeKey -> permissionType.name,
      Acl.OperationKey -> operation.name,
      Acl.HostsKey -> host)
  }
}

object Acl {
  val WildCardPrincipal: KafkaPrincipal = new KafkaPrincipal(KafkaPrincipal.USER_TYPE, "*")
  val WildCardHost: String = "*"
  val AllowAllAcl = new Acl(WildCardPrincipal, Allow, WildCardHost, All)
  val PrincipalKey = "principal"
  val PermissionTypeKey = "permissionType"
  val OperationKey = "operation"
  val HostsKey = "host"
  val VersionKey = "version"
  val CurrentVersion = 1
  val AclsKey = "acls"

  /**
  aclJson数据存储在zookeeper中,它的格式如下
      {
        "version": 1,
        "acls": [
          {
            "host":"host1",
            "permissionType": "Deny",
            "operation": "Read",
            "principal": "User:alice"
          }
        ]
      }

   */
  def fromJson(aclJson: String): Set[Acl] = {
    if (aclJson == null || aclJson.isEmpty)
      return collection.immutable.Set.empty[Acl]

    var acls: collection.mutable.HashSet[Acl] = new collection.mutable.HashSet[Acl]()
    Json.parseFull(aclJson) match {
      case Some(m) =>
        val aclMap = m.asInstanceOf[Map[String, Any]]
        //the acl json version.
        require(aclMap(VersionKey) == CurrentVersion)
        // 获取aclJson的acls的值
        val aclSet: List[Map[String, Any]] = aclMap(AclsKey).asInstanceOf[List[Map[String, Any]]]
        aclSet.foreach(item => {
          val principal: KafkaPrincipal = KafkaPrincipal.fromString(item(PrincipalKey).asInstanceOf[String])
          val permissionType: PermissionType = PermissionType.fromString(item(PermissionTypeKey).asInstanceOf[String])
          val operation: Operation = Operation.fromString(item(OperationKey).asInstanceOf[String])
          val host: String = item(HostsKey).asInstanceOf[String]
          // 构建Acl,并且添加到acls里
          acls += new Acl(principal, permissionType, host, operation)
        })
      case None =>
    }
    acls.toSet
  }
}

SimpleAclAuthorizer

实现了Authorizer接口,主要提供了Acl的管理

class SimpleAclAuthorizer extends Authorizer with Logging {

    private val aclCache = new scala.collection.mutable.HashMap[Resource, VersionedAcls]
    // 初始化配置
    override def configure(javaConfigs: util.Map[String, _]) {
    val configs = javaConfigs.asScala
    val props = new java.util.Properties()
    configs.foreach { case (key, value) => props.put(key, value.toString) }
    // 从配置中获取super.users的值,这是一个字符串。
    // 格式为User:user1;User:user2,用户之间用;隔开,一个用户是User:username的格式。
    superUsers = configs.get(SimpleAclAuthorizer.SuperUsersProp).collect {
      case str: String if str.nonEmpty => str.split(";").map(s => KafkaPrincipal.fromString(s.trim)).toSet
    }.getOrElse(Set.empty[KafkaPrincipal])
    
    // 这个配置表示,当没有找到对应的Acl规则时,默认是否允许
    shouldAllowEveryoneIfNoAclIsFound = configs.get(SimpleAclAuthorizer.AllowEveryoneIfNoAclIsFoundProp).exists(_.toString.toBoolean)
    
    // 初始化zookeeper连接
    val kafkaConfig = KafkaConfig.fromProps(props, doLog = false)
    val zkUrl = configs.get(SimpleAclAuthorizer.ZkUrlProp).map(_.toString).getOrElse(kafkaConfig.zkConnect)
    val zkConnectionTimeoutMs = configs.get(SimpleAclAuthorizer.ZkConnectionTimeOutProp).map(_.toString.toInt).getOrElse(kafkaConfig.zkConnectionTimeoutMs)
    val zkSessionTimeOutMs = configs.get(SimpleAclAuthorizer.ZkSessionTimeOutProp).map(_.toString.toInt).getOrElse(kafkaConfig.zkSessionTimeoutMs)
    zkUtils = ZkUtils(zkUrl,
                      sessionTimeout = zkSessionTimeOutMs,
                      connectionTimeout = zkConnectionTimeoutMs,
                      kafkaConfig.zkEnableSecureAcls)
    
    // 保证Acl节点存在
    zkUtils.makeSurePersistentPathExists(SimpleAclAuthorizer.AclZkPath)
    // 从zookeeper中读取数据,初始化
    loadCache()
    // 保证Acl节点存在aclCache
    zkUtils.makeSurePersistentPathExists(SimpleAclAuthorizer.AclChangedZkPath)
    
    // 注册监听时间,当节点有变动时,会自行调用AclChangedNotificationHandler回调函数,更新aclCache
    aclChangeListener = new ZkNodeChangeNotificationListener(zkUtils, SimpleAclAuthorizer.AclChangedZkPath, SimpleAclAuthorizer.AclChangedPrefix, AclChangedNotificationHandler)
    aclChangeListener.init()
    }

    
  private def loadCache()  {
    inWriteLock(lock) {
      // zkUtils.getChildren 返回子节点列表,子节点的数据类型为String
      // 返回"/acls"节点的子节点
      val resourceTypes = zkUtils.getChildren(SimpleAclAuthorizer.AclZkPath)
      for (rType <- resourceTypes) {
        // 根据string实例化ResourceType
        val resourceType = ResourceType.fromString(rType)
        // 返回"/acls/resourceName"节点的子节点
        val resourceTypePath = SimpleAclAuthorizer.AclZkPath + "/" + resourceType.name
        val resourceNames = zkUtils.getChildren(resourceTypePath)
        for (resourceName <- resourceNames) {
          // 根据type和name实例化Resource,然后从zookeeper中读取到对应的Acl列表
          val versionedAcls = getAclsFromZk(Resource(resourceType, resourceName.toString))
          // 更新aclCache
          updateCache(new Resource(resourceType, resourceName), versionedAcls)
        }
      }
    }
  }

  def toResourcePath(resource: Resource): String = {
     // 根据Resource找到zookeeper中对应的节点路径
    SimpleAclAuthorizer.AclZkPath + "/" + resource.resourceType + "/" + resource.name
  }

  private def getAclsFromZk(resource: Resource): VersionedAcls = {
    // 读取Resource对应节点的数据
    val (aclJson, stat) = zkUtils.readDataMaybeNull(toResourcePath(resource))
    // 调用Acl.fromJson解析数据,返回VersionedAcls。VersionedAcls定义在下面
    VersionedAcls(aclJson.map(Acl.fromJson).getOrElse(Set()), stat.getVersion)
  }
  
  // 更新aclCache
  private def updateCache(resource: Resource, versionedAcls: VersionedAcls) {
    if (versionedAcls.acls.nonEmpty) {
      aclCache.put(resource, versionedAcls)
    } else {
      aclCache.remove(resource)
    }
  }

}

VersionedAcls的定义

object SimpleAclAuthorizer {
 // VersionedAcls只是Acl的列表和zkVersion的版本号
 private case class VersionedAcls(acls: Set[Acl], zkVersion: Int)
}

SimpleAclAuthorizer还有一个重要的方法authorize,用于检查权限

class SimpleAclAuthorizer extends Authorizer with Logging {
  override def authorize(session: Session, operation: Operation, resource: Resource): Boolean = {
    val principal = session.principal
    val host = session.clientAddress.getHostAddress
    // 获取resource对应的Acl列表和该resource的type的默认Acl列表
    // WildCardResource表示匹配所有
    val acls = getAcls(resource) ++ getAcls(new Resource(resource.resourceType, Resource.WildCardResource))

    // 从上面resource找到所有的Acls中,查找是否有deny的acl
    val denyMatch = aclMatch(operation, resource, principal, host, Deny, acls)

    
    val allowOps = operation match {
      // Read, Write, Delete, Alter动作包含了Describe
      case Describe => Set[Operation](Describe, Read, Write, Delete, Alter)
      // AlterConfigs包含了DescribeConfigs
      case DescribeConfigs => Set[Operation](DescribeConfigs, AlterConfigs)
      // 其余的不修改
      case _ => Set[Operation](operation)
    }
    // 遍历allowOps列表,查找是否有明确指定Allow的acl
    val allowMatch = allowOps.exists(operation => aclMatch(operation, resource, principal, host, Allow, acls))

    // 有以下三种条件,满足其一,则认为有权限
    // 是否是super user
    val authorized = isSuperUser(operation, resource, principal, host) ||
      // 如果acls没有找到,查看默认配置
      isEmptyAclAndAuthorized(operation, resource, principal, host, acls) ||
      // 如果没有找到deny的acl,并且还有allow的acl
      (!denyMatch && allowMatch)

    logAuditMessage(principal, authorized, operation, resource, host)
    authorized
  }

  private def aclMatch(operations: Operation, resource: Resource, principal: KafkaPrincipal, host:         
            String, permissionType: PermissionType, acls: Set[Acl]): Boolean = {
    acls.find { acl =>
      // // permissionType相等
      acl.permissionType == permissionType &&
        // principal相等,或者principal为WildCardPrincipal,表示匹配所有
        (acl.principal == principal || acl.principal == Acl.WildCardPrincipal) &&
        // operation相等,或者operation为All,表示匹配所有
        (operations == acl.operation || acl.operation == All) &&
        // host相等,或者host为WildCardHost,表示匹配所有
        (acl.host == host || acl.host == Acl.WildCardHost)
    }.exists { acl =>
      authorizerLogger.debug(s"operation = $operations on resource = $resource from host = $host is $permissionType based on acl = $acl")
      // 找到后,则返回true。没有,则返回false
      true
    }
  }

  // 是否principal为super user
  def isSuperUser(operation: Operation, resource: Resource, principal: KafkaPrincipal, host: String): Boolean = {
    // superUsers是否包含principal
    if (superUsers.contains(principal)) {
      authorizerLogger.debug(s"principal = $principal is a super user, allowing operation without checking acls.")
      true
    } else false
  }

  def isEmptyAclAndAuthorized(operation: Operation, resource: Resource, principal: KafkaPrincipal,             
        host: String, acls: Set[Acl]): Boolean = {
    if (acls.isEmpty) {
      authorizerLogger.debug(s"No acl found for resource $resource, authorized = $shouldAllowEveryoneIfNoAclIsFound")
      // 返回配置的值
      shouldAllowEveryoneIfNoAclIsFound
    } else false
  }
}

因为acl数据持久化到zookeeper中,所以当zookeeper中的数据发生改变时,应该还有监听的作用。这个是通过zookeeper的watch来实现的。

acl的更新涉及到zookeeper的两个地方。一个是Resource节点,存储acls。另一个是持久顺序节点,它的子节点记录了每次Resource的更新。

aclChangeListener = new ZkNodeChangeNotificationListener(zkUtils, SimpleAclAuthorizer.AclChangedZkPath, SimpleAclAuthorizer.AclChangedPrefix, AclChangedNotificationHandler)
    aclChangeListener.init()

class ZkNodeChangeNotificationListener(private val zkUtils: ZkUtils,
                                       private val seqNodeRoot: String,
                                       private val seqNodePrefix: String,
                                       private val notificationHandler: NotificationHandler,
                                       private val changeExpirationMs: Long = 15 * 60 * 1000,
                                       private val time: Time = Time.SYSTEM) extends Logging {
  private var lastExecutedChange = -1L
  private val isClosed = new AtomicBoolean(false)

  // 初始化
  def init() {
    zkUtils.makeSurePersistentPathExists(seqNodeRoot)
    // 监听seqNodeRoot节点的子节点变化。
    // seqNodeRoot就是上面所说的顺序节点
    zkUtils.zkClient.subscribeChildChanges(seqNodeRoot, NodeChangeListener)
    zkUtils.zkClient.subscribeStateChanges(ZkStateChangeListener)
    processAllNotifications()
  }

  def processAllNotifications() {
    // 获取seqNodeRoot的子节点。子节点存储了resource
    val changes = zkUtils.zkClient.getChildren(seqNodeRoot)
    // 并且从小到大排序
    processNotifications(changes.asScala.sorted)
  }


  private def processNotifications(notifications: Seq[String]) {
    if (notifications.nonEmpty) {
      info(s"Processing notification(s) to $seqNodeRoot")
      try {
        val now = time.milliseconds
        for (notification <- notifications) {
          // 获取当前节点的顺序号
          val changeId = changeNumber(notification)
          if (changeId > lastExecutedChange) {
            // 如果changeId比上次更新的id大,则表示这是新的纪录
            val changeZnode = seqNodeRoot + "/" + notification
            // 读取当前节点的数据,表示Resource的字符串
            val (data, _) = zkUtils.readDataMaybeNull(changeZnode)
            // 调用notificationHandler的processNotification方法
            data.map(notificationHandler.processNotification(_)).getOrElse {
              logger.warn(s"read null data from $changeZnode when processing notification $notification")
            }
          }
          // 更新lastExecutedChange
          lastExecutedChange = changeId
        }
        purgeObsoleteNotifications(now, notifications)
      } catch {
        case e: ZkInterruptedException =>
          if (!isClosed.get)
            throw e
      }
    }
  }


  // 因为它是顺序节点的子节点,所以名称后缀会有自增数字
  // 类似于acl_changes_0000000001, acl_changes_0000000002
  private def changeNumber(name: String): Long = name.substring(seqNodePrefix.length).toLong

   // 监听子节点变化
  object NodeChangeListener extends IZkChildListener {

    override def handleChildChange(path: String, notifications: java.util.List[String]) {
      try {
        import scala.collection.JavaConverters._
        if (notifications != null)
          // 调用processNotifications方法
          processNotifications(notifications.asScala.sorted)
      } catch {
        case e: Exception => error(s"Error processing notification change for path = $path and notification= $notifications :", e)
      }
    }
  }
}

上面processNotifications方法,调用了AclChangedNotificationHandler 的processNotification方法。

  object AclChangedNotificationHandler extends NotificationHandler {
    override def processNotification(notificationMessage: String) {
      // 通过字符串,实例化Resource
      val resource: Resource = Resource.fromString(notificationMessage)
      inWriteLock(lock) {
        // 从zookeeper中读取该resource的acls
        val versionedAcls = getAclsFromZk(resource)
        // 更新aclCache
        updateCache(resource, versionedAcls)
      }
    }

概括

本章先介绍了与acl相关的数据结构。Resource代表资源,Acl表示访问规则。

然后介绍了acl的管理,SimpleAclAuthorizer类。其中涉及到了zookeeper的数据持久化,aclCache的更新。两者之间的同步,通过了zookeeper的watch机制来实现。

转载于:https://my.oschina.net/u/569730/blog/1490548

chuiyan0987
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kafka安全性与访问控制
禅与计算机程序设计艺术
06-08 920
Kafka安全性与访问控制 1.背景介绍 Apache Kafka是一个分布式流处理平台,被广泛应用于大数据领域。随着越来越多的企业采用Kafka作为关键的数据管道,确保Kafka的安全性和访问控制变得至关重要。本文将深入探讨Kafka安全性和访问控制的核心概念、实现原理和最佳实践。
kafka 权限控制
小毛老头 MaoLT.Xiao
10-29 1050
禁止所有权限: cat deny_all_acl.sh #/bin/sh if [ $# -lt 1 ]; then echo "please input like sh deny_all_acl.sh hostip " exit -1 fi basedir=$(cd `dirname $0`;pwd) zk=$(sed -n 's/^zookeeper.connect=//p' ${basedir}/../config/server.properties) sh ${basedi...
kafka权限控制功能
WangYouJin321的博客
07-24 1687
Kafka Topic 权限控制可以通过使用 Apache Kafka 的内置安全特性来实现。这主要涉及到两个方面:认证(Authentication)和授权(Authorization)。
Kafka集群】Kafka针对用户做ACL权限控制
后端研发工程师Marion的博客
05-18 3927
Kafka 3.3.1 中,可以使用 ACL(Access Control List)控制用户对 topic 的访问权限。在命令行中执行以下命令创建一个名为my-topic其中是一种内置的 ACL 校验器,User:admin是一组超级管理员。如果没有在配置文件中指定 super.users,则只有在 Zookeeper 上配置了访问控制时才会应用 ACL 规则。b. 为特定用户或组添加 ACL 规则现在,开发人员组可以对该 topic 进行读写操作。
kafka的访问控制
hncscwc的博客
08-10 1791
【概述】通常情况下,Kafka部署后都是自己的业务进行生产消费,但也有一些情况,比如通过kafka和第三方对接,甚至是多个三方对接;或者是多用户使用同一套kafka集群,各自使用不同的topic。在这种场景下,一般不希望不同的用户能访问彼此的数据,因此需要进行权限控制,这就会用到Kafka中的ACL。Kafka中的ACL定义为:来自指定主机(Host)的指定用户(User...
kafka-security-manager:大规模管理您的Kafka ACL
02-05
Kafka ACLs 是一种基于主体(如用户或服务账户)和资源(如主题、群组、代理等)的权限控制系统,它们决定了哪些实体可以执行特定操作。通过 ACLs,你可以精细控制谁可以读取、写入、创建或者删除 Kafka 的资源,...
kafka-2.13-3.5.1.tgz
最新发布
07-25
- 可以启用ACL(Access Control List)进行权限控制,确保资源访问的安全性。 总的来说,“kafka-2.13-3.5.1.tgz”提供的Kafka版本提供了高效、可靠的消息传递能力,适用于各种大数据处理场景。无论是开发实时流...
kafka_2.12-2.2.2+zookeeper-3.4.13
07-18
- **版本和权限控制**:每个节点都有版本号,用于检测并发修改;同时,Zookeeper还支持ACL(访问控制列表),保证数据的安全性。 3. **Kafka与Zookeeper的协作**: - **集群发现**:Kafka的生产者和消费者都需要...
Kafka Manager cmak-3.0.0.4 最新版本
04-03
- 新增功能:可能引入了新的管理选项,比如更精细的权限控制、自动化任务调度等。 - 错误修复:修复了前一版本中可能出现的问题,提升了系统的稳定性和可靠性。 - 用户界面改进:可能对UI界面进行了优化,使其...
kafka-manager-1.3.3.7.zip
12-31
4. 用户权限管理:对用户进行授权,控制Kafka资源的访问。 二、Kafka-Manager 1.3.3.7编译 在获取到"kafka-manager-1.3.3.7.zip"压缩包后,首先需要解压并进行编译。编译步骤如下: 1. 解压:`unzip kafka-...
单机 kafka 配置 kerberos,设置 ACL 权限
10-10
kafka 配置 kerberos,设置 ACL权限, java 客户端连接。
Kafka 安全认证及权限控制
小王是个弟弟
07-20 9887
作者:wjun 平台:MacOS 版本:Kafka 2.4.1 、Zookeeper 3.6.2 一、Zookeeper 配置 SASL 若只关注 kafka 的安全认证,不需要配置 Zookeeper 的 SASL,但 kafka 会在 zk 中存储一些必要的信息,因此 zk 的安全认证也会影响到 kafka ???????????? 1.1 新建 zoo_jaas.conf 文件 zoo_jaas.conf文件名、文件所在路径没有特殊要求,一般放置在${ZOOKEEPER_HOME}/conf目录下
Kafka部署全攻略——基于SASL_PLAIN认证的ACL权限控制
bbsxb520的博客
06-28 171
基于SASL_PLAIN认证的ACL权限控制
kafka Acl权限管理
weixin_40496191的博客
04-16 5682
文章目录一、背景二、操作指令三、ACL权限整合springboot四、Acl整合java代码 一、背景 实现对主题的订阅控制,动态分配客户端的读写权限。 二、操作指令 创建writer用户,密码是writer-pwd: ./kafka-configs.sh --zookeeper 192.168.248.100:2181 --alter --add-config 'SCRAM-SHA-256=[iterations=8192,password=writer-pwd],SCRAM-SHA-512=[pas
kafka权限的管理详解(高玩、干货)
Tu_maimes
09-11 609
转载——高玩出品
Kafka 安全认证及权限控制【详解】
qq_27480007的博客
07-05 7858
Kafka 安全认证及权限控制,Kafka使用SASL_PLAINTEXT用户认证及权限
kafka 配置权限
weixin_30546189的博客
08-29 897
参考:https://www.cnblogs.com/huxi2b/p/10437844.html http://kafka.apache.org/documentation/#security_authz_examples kafka 版本 :2.3.0建立用户:kafka-configs.bat --zookeeper localhost:2181/kafka-scram ...
Kafka SASL/SCRAM+ACL实现动态创建用户及权限控制
FaN()
01-26 9402
文章目录SASL_SCRAM+ACL实现动态创建用户及权限控制使用SASL / SCRAM进行身份验证1. 创建SCRAM Credentials创建broker建通信用户(或称超级用户)创建客户端用户fanboshi查看SCRAM证书删除SCRAM证书2. 配置Kafka Brokers客户端配置kafka-console-producerkafka-console-consumerACL配置授...
kafka acl
Ronnie的专栏
07-31 433
kafka_server_jaas.conf中指定读写用户,如下; 这里admin是管理员,一个专门写入的用户,一个只读用户 使用kafka-acl为指定的用户赋予某个topic的写、读权限。 ./kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zook...
org. apache.zookeeper.KeeperException$NoAuthException: KeeperErrorCode = NoAuth for /kafka-acl/TransactionalId
05-17
这个异常是因为你没有足够的权限来访问 `/kafka-acl/TransactionalId` 这个 ZooKeeper 节点导致的。ZooKeeper 是一个分布式协调服务,Kafka 使用 ZooKeeper 来保存一些元数据信息,例如 ACL(Access Control List)信息。在 Kafka 中,ACL 用于控制用户对 Kafka 集群的访问权限。 要解决这个问题,你需要获得足够的权限来访问 `/kafka-acl/TransactionalId` 节点。你可以检查一下你的 ZooKeeper 配置,确保你有足够的权限来访问这个节点。如果你是使用 Kafka 自带的 ACL 工具来管理 ACL,那么你需要为你的用户授权,使其拥有访问 `/kafka-acl/TransactionalId` 节点的权限。你也可以检查一下你的 Kafka 配置,确保你已经正确地配置了 Kafka 的 ACL 相关的参数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值