Kafka安全--(一).SASL+ACL

最新推荐文章于 2024-09-29 10:56:17 发布
最新推荐文章于 2024-09-29 10:56:17 发布
阅读量700 收藏
点赞数
分类专栏: kafka安全 文章标签: kafka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/golango_cn/article/details/117752645
版权

Kafka默认未开启SASL和ACL,若要开启,需要在broker端进行两方面设置,本示例在服务端配置,客户端使用go语言进行测试,使用"github.com/Shopify/sarama"操作kafka。

首先是创建包含所有认证用户信息的JAAS文件,在本例中,使用kafka的1.0.0版本,假设有3个用户admin、reader和writer,其中admin是集群管理员,reader是用户负责读取kafka集群中的topic数据,而writer用户则负责向kafka集群写入消息。

为简单超见,假设这3个用户的用户名与密码相同,因此需要编写JAAS文件:

KafkaServer {
   org.apache.kafka.common.security.plain.PlainLoginModule required
   username="admin"
   password="admin"
   user_admin="admin"
   user_reader="reader"
   user_writer="writer";
};

保存这个文件/opt/kafka/config/jaas.conf,需要把这个文件的完整路径作为一个JVM参数传递给kafka启动脚本,需要修改启动脚本bin/kafka-server-start.sh,具体做法如下:

# 备份启动脚本
cp bin/kafka-server-start.sh bin/acl-kafka-server-start.sh
# 修改启动脚本
vim bin/acl-kafka-server-start.sh

# 把文件中的这一行
exec $base_dir/kafka-run-class.sh $EXTRA_ARGS kafka.Kafka "$@"
# 修改为
exec $base_dir/kafka-run-class.sh $EXTRA_ARGS -Djava.security.auth.login.config=/opt/kafka/config/jaas.conf kafka.Kafka "$@"

做完上面步骤后,修改config/server.properties文件,添加如下参数,保存退出:

authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
listeners=SASL_PLAINTEXT://:9092
advertised.listeners=SASL_PLAINTEXT://:9092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.enabled.mechanisms=PLAIN
sasl.mechanism.inter.broker.protocol=PLAIN
super.users=User:admin

现在启动broker服务器(前提是保证zookeeper已启动成功)

bin/acl-kafka-server-start.sh -daemon config/server.properties

如果一切正常,可以看到成功日志:

[KafkaServer id=191] started (kafka.server.KafkaServer)

这时使用go客户端链接,需要配置SASL:

var addrs = []string{"kafka01:9092"}
func NewClient() sarama.Client {

	config := sarama.NewConfig()
	config.Version = sarama.DefaultVersion
	config.Metadata.Retry.Max = 5
	config.Metadata.Retry.Backoff = 10 * time.Second
	config.Net.SASL.Enable = true
	config.Net.SASL.User = "admin"
	config.Net.SASL.Password = "admin"

	client, err := sarama.NewClient(addrs, config)
	if err != nil {
		panic(err)
	}
	return client
}

func TestTopic(t *testing.T) {
	client := NewClient()
	topics, err := client.Topics()
	fmt.Println(topics, err)
}

下面开始创建topic,供后续使用:

kafka-topics.sh --zookeeper kafka01:2181 --create first --partitions 1 --replication-factor 1 --topic first

topic创建成功,为什么启用acl还是成功了?因为kafka-topic.sh脚本直连zookeeper,绕过了acl审查,故不受acl限制,所以无论是否配置acl,用户总是可以使用kafka-topics来管理topic。

golango_cn
关注
专栏目录
Kafka开启SASL认证,认证很慢,需要20秒问题排查
随笔
04-07 6774
kafka sasl认证很慢问题
Kafka系列(五)、开启SASL安全认证以及配置ACL权限控制
王义凯 的博客
09-18 1万+
本篇是kafka系列的第五篇,介绍kafka配置安全认证SASL以及ACL权限控制,并使用控制台和python访问开启了SASL认证的kafka集群。
go kafka 配置SASL认证及实现SASL PLAIN认证功能
weixin_45222119的博客
08-24 3122
配置SASL认证及实现SASL PLAIN认证功能
kafkasasl配置
jueying7573的博客
07-09 2221
kafkasasl配置1、zookeeper配置构建一个jaas文件kafka_zoo_jaas.conf,内容如下:ZKServer { org.apache.kafka.common.security.plain.PlainLoginMod...
go sarama实现sasl scram认证kafka组消费
最新发布
windcontinuestoblow的博客
09-29 363
需要定义1个结构体和3个方法,分别是处理session开始、结束的方法和实际处理消息的方法。// 可以在这里添加任何你需要的字段,用于方法调用// Setup 是当消费者组会话开始时(即新分区被分配给消费者时)被调用// 这里可以执行一些初始化操作,比如创建数据库连接等// 注意:这里的代码会在每个分区被分配给消费者时执行return nil// Cleanup 是当消费者组会话结束时(即分区被移除时)被调用// 这里可以执行一些清理操作,比如关闭数据库连接等return nil。
探索Sarama:Shopify的Kafka客户端库
gitblog_00067的博客
03-19 422
探索Sarama:Shopify的Kafka客户端库 sarama项目地址:https://gitcode.com/gh_mirrors/sara/sarama 项目简介 是 Shopify 开源的一个强大的 Go 语言编写的 Apache Kafka 客户端库。它旨在提供全面的功能集,同时保持高度的性能和稳定性,让开发人员能够轻松地在他们的应用程序中集成和处理 Kafka 消息。 技术分析 功...
go调用sarama实例
yiweiyi329的博客
05-22 5489
本文实现go调用sarama库,实现创建Kafka topic,添加某账号的生产者权限以及消费者权限 1、创建topic: import ( "github.com/Shopify/sarama" "log" ) func Create(topic *TopicInfo) error{ log.Println("start create topic...") ...
kafka-2.13-3.5.1.tgz
07-25
- Kafka支持SASL和SSL加密,保障数据传输安全。 - 可以启用ACL(Access Control List)进行权限控制,确保资源访问的安全性。 总的来说,“kafka-2.13-3.5.1.tgz”提供的Kafka版本提供了高效、可靠的消息传递能力...
Kafka安全认证机制详解之SASL_PLAIN_kafka sasl认证
2401_84264630的博客
04-26 1337
这个时候使用auth.conf已经不能创建topic了,使用admin.conf可以创建,因为admin账号和配置的超级管理员一致;而auth.conf配置的是tly账号;使用权限配置并且超级用户是admin,这个用户和我们上面配置的列表中的admin用户相互映射,每个机器都需要配置然后重启所有节点。不使用认证创建会一直卡主不动,其实也是没权限的,时间久了就会报timeout异常。命令为:kafka-acls.sh。使用tly用户查看当前topic。此时每个节点都有了权限认证。给之前的用户tly授权。
kafka动态权限认证(SASL SCRAM + ACL
weixin_45682234的博客
10-19 3258
kafka动态权限认证(SASL SCRAM + ACL) 创建三个测试用户 bin/kafka-configs.sh --zookeeper 192.168.x.x:2181 --alter --add-config ‘SCRAM-SHA-256=[iterations=8192,password=admin],SCRAM-SHA-512=[password=admin]’ --entity-type users --entity-name admin PS:用户 admin 这里配置admin用户用于实
Kafka3.0 SASL安全认证
binter12138的博客
04-20 6795
下面主要介绍Kafka两种认证方式 kafka验证方式: SASL/PLAIN:不能动态添加用户配置文件写死账号密码 SASL/SCRAM: 可以动态的添加用户 SASL/PLAIN方式 cd /usr/local/kafka/kafka_2.12-3.0.1/bin/ ## 复制一份sasl cp kafka-server-start.sh kafka-server-start-sasl.sh 在kafka-server-start-sasl.sh 末尾修改配置 exe
golang客户端sarama通过SSL连接Kafka配置
weixin_34032827的博客
03-20 2083
2019独角兽企业重金招聘Python工程师标准>>> ...
Kafka启用SASL_PLAINTEXT动态配置JAAS文件的几种方式
热门推荐
russle的专栏
07-14 2万+
Kafka是广泛使用消息服务,很多情况下关于认证部分我都是默认的配置,也就是不需要用户名/密码,也不配置证书。在内网或者在项目组内部可以,但是设计的跨部门时一般处于安全考虑都需要加上认证,防止kafka被误用,产生大量垃圾信息,干扰了正常业务的运行。 Kafka提供的多种认证方式,比如SASL, 本文主要介绍启用了SASL_PLAINTEXT时,如何在kafka client配置jaas文件,以...
利用sarama包使用kafka
IuSpet的博客
07-01 1933
代码仓库 官方文档 sarama提供了纯Go编写的kafka客户端,最新发行版本支持Go和Kafka的最新两个版本 生产者 sarama提供异步生产者和同步生产者 异步生产者用管道接受信息,并且在背后异步地生产消息。异步生产者会尽可能的提高效率,是sarama推荐的选择 同步生产者提供一个阻塞的方法,直到消息被确认成功生产。显然效率上肯定不如异步生产者,且在某些配置中,确认的消息仍会丢失 type AsyncProducer type AsyncProducer interface { // 关闭
Go 操作kafkasarama
无风的雨
10-16 2245
概述 sarama 是一个纯 Go 客户端库,用于处理 Apache Kafka(0.8 及更高版本)。它包括一个用于轻松生成和使用消息的高级 API,以及一个用于在高级 API 不足时控制线路上的字节的低级 API。 在github上stars上比较多(推荐)。 开源包:https://github.com/Shopify/sarama 文档地址:https://pkg.go.dev/github.com/shopify/sarama 闲话少叙,上示例 package main import (
Kafka安全--(二).生产者与消费者认证授权
golango_cn的博客
06-09 4373
启动console-producer: [root@kafka01 bin]# ./kafka-console-producer.sh --bootstrap-server kafka01:9092 --topic first >[2021-06-08 03:33:00,972] WARN [Producer clientId=console-producer] Bootstrap broker kafka01:9092 (id: -1 rack: null) disconnected (org.ap
Kafka权限认证(SASL/PLAIN和SASL/SCRAM) -- todo
justlpf的专栏
12-23 526
参考文章:Kafka权限认证(SASL/PLAIN和SASL/SCRAM)---转载 - L1ZM - 博客园
Kafka安全认证SASL
大小鱼鱼鱼鱼鱼
06-04 1221
kafka安装部署省略… 首先需要在config目录下新建文件kafka_server_jaas.conf,配置如下 KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin" user_admin...
Kafka 安全认证及权限控制【详解】
qq_27480007的博客
07-05 8042
Kafka 安全认证及权限控制,Kafka使用SASL_PLAINTEXT用户认证及权限
Kafka单机配置Kerberos与ACL权限指南
"配置Kafka以使用Kerberos进行安全认证,并设置ACL权限,确保Java客户端能够安全连接" 在分布式系统中,安全性是非常关键的一环。Apache Kafka作为实时流处理平台,为了保障数据的安全传输和访问控制,可以采用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值