【kafka系列教程48】kafka在正在运行的集群中整合安全功能

最新推荐文章于 2024-05-30 07:41:14 发布
最新推荐文章于 2024-05-30 07:41:14 发布
阅读量447 收藏 1
点赞数 2
分类专栏: 消息中间件 文章标签: java kafaka mq
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dcm19920115/article/details/93390477
版权

将安全功能合并到运行的群集中

你可以为正在运行的集群增加1个或多个我们前面讨论的安全协议,这是分阶段完成的:

  • 以增量替换的方式添加额外的安全端口(s)。
  • 客户端使用安全的端口来连接,而不是PLAINTEXT端口的(假设你是客户端需要安全连接broker)。
  • 再次增量的方式依次启用broker与broker之间的安全端口(如果需要)
  • 最后依次关闭PLAINTEXT端口。

7.2和7.3节介绍了配置SSL和SASL的具体步骤。 按照以下步骤启用所需的安全协议。

broker与clientbroker与broker之间配置安全通讯协议。这些都必须新增启用,PLAINTEXT端口必须保留,是为了broker或客户端可以继续通讯。

当依次替换时,broker通过SIGTERM进行清理。等待重新启动的副本在移动到下一个节点之前返回到ISR列表也是一个很好的做法。

举个例子,假设我们希望在broker与clientbroker与broker之间使用SSL进行通讯加密,那么需要在每个节点上打开SSL端口:

listeners=PLAINTEXT://broker1:9091,SSL://broker1:9092

然后,我们重新启动client,改变指向新的安全端口:

bootstrap.servers = [broker1:9092,...]
security.protocol = SSL
...etc

设置broker-broker协议(同样使用SSL端口):

listeners=PLAINTEXT://broker1:9091,SSL://broker1:9092
security.inter.broker.protocol=SSL

最后,我们关闭PLAINTEXT端口:

listeners=SSL://broker1:9092
security.inter.broker.protocol=SSL

另外,我们也可以打开多个端口,使用不同协议实现broker-broker和broker-client之间通讯。假设我们希望都使用SSL加密(即,broker-broker和broker-client通讯),但是我们也想对broker-client连接增加SASL认证,我们通过打开2个额外的端口来实现这一点:

listeners=PLAINTEXT://broker1:9091,SSL://broker1:9092,SASL_SSL://broker1:9093

然后,重新启动客户端,改变他们的配置指向新的SASL&SSL安全端口:

bootstrap.servers = [broker1:9093,...]
security.protocol = SASL_SSL
...etc

然后,服务器将逐步切换,切换broker-broker之间的通讯到SSL。

listeners=PLAINTEXT://broker1:9091,SSL://broker1:9092,SASL_SSL://broker1:9093
security.inter.broker.protocol=SSL

最后,关闭PLAINTEXT端口.

listeners=SSL://broker1:9092,SASL_SSL://broker1:9093
security.inter.broker.protocol=SSL

ZooKeeper可以独立于Kafka集群进行安全保护。

 

 

ZooKeeper认证

7.5.1 新集群

若启用对broker的Zookeeper认证,有两个必要步骤:

  1. 创建一个JAAS登录文件并设置适当的系统属性指向它,如上文所述。
  2. 设置配置属性 zookeeper.set.acl的每个broker为true

存储在Zookeeper的元数据是这样的,只有broker能够修改相应的znodes,但是znodes是都可读的,原因是,存储在zookeeper的数据是不敏感的,但是znodes不当的操作可能导致集群中断,我们还是建议通过网络分割限制zookeeper(仅允许broker和一些管理工具访问zookeeper)。

7.6.2 迁移集群

如果你使用kafka的版本不支持安全的或简单的禁用安全,你想设置集群安全,则需要执行以下步骤启用ZooKeeper认证(最小的中断操作):

  1. 滚动重新启动设置的JAAS登录文件,这使broker进行身份认证,在滚动重启结束后,broker就能够用ACL操作这些znode(节点)了(但不能创建)。

  2. 执行第二次滚动重启,这次设置配置参数zookeeper.set.acl为true,这样就能使用安全的ACL创建znode。

  3. 执行ZkSecurityMigrator工具,执行脚本:./bin/zookeeper-security-migration.sh,zookeeper.acl 设置secure,这个工具将遍历更改 Acl 的 znodes 相应的 sub-trees。

也在安全集群中关闭认证,按照以下步骤:

  1. 滚动重新启动设置的JAAS登录文件,启动broker认证,但是设置zookeeper.set.acl为false。重启结束之后,broker停止用ACL创建znodes,但是仍然能认证和操作znodes。

  2. 执行ZkSecurityMigrator工具,运行脚本:./bin/zookeeper-security-migration.sh,zookeeper.acl设置为不安全的,这个工具将遍历更改 Acl 的 znodes 相应的 sub-trees。

  3. 执行第二次滚动重启broker,这次忽略了JAAS登录文件设置系统属性。

提供一个例子,如何运行迁移工具:

./bin/zookeeper-security-migration --zookeeper.acl=secure --zookeeper.connection=localhost:2181

查看完整列表:

./bin/zookeeper-security-migration --help

7.6.3 Migrating the ZooKeeper ensemble

也有必要对全部zookeeper启用身份验证。要做到这一点,我们需要设置一些属性参数。请参阅更详细的zookeeper文档︰:

  1. Apache ZooKeeper documentation
  2. Apache ZooKeeper wiki

Kafka Connect

8.1 概述

Kafka Connect 是一个可扩展、可靠的在Kafka和其他系统之间流传输的数据工具。它可以通过connectors(连接器)简单、快速的将大集合数据导入和导出kafka。Kafka Connect可以接收整个数据库或收集来自所有的应用程序的消息到Kafka Topic。使这些数据可用于低延迟流处理。导出可以把topic的数据发送到secondary storage(辅助存储也叫二级存储)也可以发送到查询系统或批处理系统做离线分析。Kafka Connect功能包括:

  • Kafka连接器通用框架:Kafka Connect 规范了kafka与其他数据系统集成,简化了connector的开发、部署和管理。

  • 分布式和单机模式- 扩展到大型支持整个organization的集中管理服务,也可缩小到开发,测试和小规模生产部署。 

  • REST 接口- 使用REST API来提交并管理Kafka Connect集群。

  • 自动的offset管理- 从connector

最低0.47元/天 解锁文章
dagai888
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在linux搭建kafka集群
08-18
在Linux环境搭建Apache Kafka集群是一项重要的任务,尤其对于那些需要处理大量实时数据流的应用场景。Kafka是一个分布式消息系统,它允许高效地发布、订阅和存储数据流。Zookeeper是Apache的一个子项目,用于...
Kafka安全性配置最佳实践
BXA
06-21 3824
Kafka安全性配置最佳实践一、Kafka 安全性配置1. 安全配置的必要性提高 Kafka 系统的可靠性添加认证配置 代码示例:添加 SSL 配置 代码示例:二、安全性配置的要素2.1 认证2.1.1 SSL 安全协议2.1.2 SASL 验证机制2.2 授权2.2.1 ACL 权限控制2.2.2 RBAC 权限管理2.3 加密2.3.1 数据传输加密2.3.2 数据存储加密三、安全性配置实践3.1 通用实践3.1.1 安全相关配置集管理3.1.2 支持动态安全配置更新3.1.3 数据与应用分离3.2
开启zookeeper的安全认证功能,并配置kafka对zookeeper的身份验证
热门推荐
zhang5324496的博客
12-21 2万+
目录 1-- 为啥需要开启zookeeper认证 2-- 如何开启zookeeper认证 2.1-- 修改文件 zoo.cfg, 开启认证功能 2.2-- 创建 jaas.conf文件,配置认证的用户和密码(例子的文件路径为 /etc/zookeeper/jaas.conf) 2.3-- 设置jaas.conf的权限,权限是 zookeeper 组件的用户,假设组件zookeeper的拥有使用者名为 zkp,所需组为root 2.4-- 更新zookeeper的JVM flags 2.5...
Kafka(十)安全
最新发布
dzqxwzoe的博客
05-30 870
Kafka,可以自定义授权这样就可以实,现额外的控制或增加新的访问控制类型,比如基于角色的访问控制。下面的自定义授权器限制了只有内部监听器可以处理某些请求。@Override// 如果不是内部请求,并且ACL是创建和删除的操作,禁止执行if (!} else {// 如果是内部请求,执行默认的授权逻辑Java 早期的安全框架强调的是通过验证代码的来源和作者,保护用户避免受到下载下来的代码的攻击。JAAS。
kafka集群安全化之启用kerberos与acl
微信公众号:大数据从业者
09-11 377
一、背景 在我们部署完kafka之后,虽然我们已经可以“肆意”的用kafka了,但是在一个大公司的实际生产环境kafka集群往往十分庞大,每个使用者都应该只关心自己所负责的Topic,并且对其他人所使用的Topic没有权限。这样一来可以将资源隔离开来,二来可以防止误操作。 在权限控制之前,我们必须要启用的就是用户认证,没有用户,自然没有权限一说了。 二、kafka启用kerberos认证 2...
kafka安全认证与授权(SASL/PLAIN)
u011618288的博客
02-09 8191
快速搭建kafka SASL+ACL实现安全认证、授权 kafka SASL/PLAIN
Kafka集群调优实战+分布式集群搭建-视频教程网盘链接提取码下载 .txt
06-01
课程内容包括了Kafka java Consumer实战,Kafka集成框架,Kafka分布式集群架构,Kafka性能测试实战,Kafka集群监控实战,Kafka用户行为画像,Kafka性能存储优化及如何提高Kafka吞吐量等企业级技术。 视频大小:1.5G
SpringBoot Kafka 整合使用及安装教程
08-25
SpringBoot Kafka 整合使用及安装教程 SpringBoot Kafka 整合使用及安装教程是将 SpringBoot 和 Kafka 两个技术栈进行整合,实现消息队列的处理。本文将详细介绍 SpringBoot Kafka整合使用及安装教程,包括项目...
kafka集群zookeeper集群整合配置
04-20
在本文,我们将深入探讨如何将Kafka集群与Zookeeper集群整合配置,以实现稳定可靠的运行环境。 首先,理解Zookeeper的角色。Zookeeper在Kafka的主要职责包括: 1. **元数据存储**:Kafka的 Topic、Partition、...
搭建kafka集群详细教程
03-23
Kafka集群,数据是以主题(Topic)的形式组织的。使用Kafka的命令行工具创建主题,例如: ``` bin/kafka-topics.sh --create --topic my-topic --partitions 3 --replication-factor 2 --if-not-exists --...
[debezium 源码分析] MySqlConnectorTask 启动和拉取数据过程分析
laomei
03-13 2908
MySqlConnectorTask的poll方法会获取,并将这些数据存入kafka内。 start 方法 现在先分析MySqlConnectorTask.start方法,下面是一部分代码 ... this.taskContext.start(); boolean startWithSnapshot = false; boolean snapshotEventsAreInserts ...
Kafka Connect开发
java_t_t的博客
08-15 1257
通过开发一个Kafka Connect增加对Kafka Connect的认识 关于Kafka Connect: Kafka Connect是生产者、消费者的一种特殊使用场景,一般用于构建数据管道完成数据的导入导出功能Kafka Connect核心概念(Connector) Source:Source负责导入数据到Kafka Sink:Sink负责从Kafka导出数据 Kafka Connect还有两个重要概念:Task和Worker。 Task是Kafka
kafka身份认证 maxwell_Kafka官方文档安全部分翻译(四)- ZooKeeper身份认证
weixin_39571219的博客
12-22 237
7. 安全7.6 ZooKeeper身份认证7.6.1 新集群为了在broker启用ZooKeeper身份认证,有如下两个必要的步骤:创建JAAS登录文件并设置适当的系统参数指向该文件,像上述一样;将每个broker的zookeeper.set.acl参数设置为true;存储在ZooKeeperKafka集群的元数据是全局可读的,但只能由broker修改。 这个决定的基本原理是存储在ZooKe...
Flink-CDC 1.X 源码分享
Baron_ND的博客
01-12 1572
1.FlinkCDC介绍 1.1定义: CDC 是变更数据捕获 (Change Data Capture) 技术的缩写,它可以将源数据库 (Source) 的增量变动记录,同步到一个或多个数据目的 (Sink)。在同步过程,还可以对数据进行一定的处理,例如分组 (GROUP BY)、多表的关联 (JOIN) 等。 简单来说就是对于数据库的变更进行一个探测,因为数据库的更改对于客户端来说是没有感知的,你需要开启线程去查询,才知道数据有没有更新。主流的CDC机制有以下两种 基于查询CDC,如果是.
kafka源码分析--- zk注册
wjandy0211的博客
04-23 960
kafka启动第一步是生成zkclient,然后连接zk服务器,创建通用节点及注册brokerinfo相关操作! 我们就先从zookeeper相关操作类开始! kafka操作zookeeper得主要类如下图: ZookeeperClient:流水线请求的ZooKeeper客户端。 KafkaZkClient: 基于ZookeeperClient构建的特定于kafka操作的客户端! ...
kafka版本_最新更新 | Kafka 2.6.0版本发布新特性说明
weixin_39703982的博客
11-27 893
点击上方蓝色字体,选择“设为星标”回复”资源“获取更多惊喜大数据技术与架构点击右侧关注,大数据开发领域最强公众号!暴走大数据点击右侧关注,暴走大数据!2020年8月3日,Kafka 2.6.0发布!以下是Kafka 2.6.0版本解决JIRA问题的摘要,有关该版本的完整文档,入门指南以及关于该项目的信息,请参考Kafka官方文档。有关升级的注意事项:在升级你的集群之前,请仔细阅读此版本...
Kafka Offset Storage
weixin_33827965的博客
01-09 170
1.概述   目前,Kafka 官网最新版[0.10.1.1],已默认将消费的 offset 迁入到了 Kafka 一个名为 __consumer_offsets 的Topic。其实,早在 0.8.2.2 版本,已支持存入消费的 offset 到Topic,只是那时候默认是将消费的 offset 存放在 Zookeeper 集群。那现在,官方默认将消费的offset存储在 Kafka 的T...
Kafka集群Kafka-Manager安装教程
在本文档,我们将详细介绍如何在特定的工作环境安装和部署Kafka集群以及Kafka-Manager。准备工作包括JDK和Zookeeper的安装,这两个组件是Kafka运行的基础。以下是详细的步骤: 首先,JDK的安装: 1. 通过RPM包...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值