Kafka安全--(二).生产者与消费者认证授权

最新推荐文章于 2024-09-29 10:56:17 发布
最新推荐文章于 2024-09-29 10:56:17 发布
阅读量4.5k 收藏 3
点赞数 1
分类专栏: kafka安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/golango_cn/article/details/117752725
版权

启动console-producer:

[root@kafka01 bin]# ./kafka-console-producer.sh --bootstrap-server kafka01:9092 --topic first
>[2021-06-08 03:33:00,972] WARN [Producer clientId=console-producer] Bootstrap broker kafka01:9092 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)
[2021-06-08 03:33:01,365] WARN [Producer clientId=console-producer] Bootstrap broker kafka01:9092 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)
[2021-06-08 03:33:01,788] WARN [Producer clientId=console-producer] Bootstrap broker kafka01:9092 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)

启动console-consumer:

[root@kafka01 bin]# ./kafka-console-consumer.sh --bootstrap-server kafka01:9092 --topic first
[2021-06-08 03:32:04,632] WARN [Consumer clientId=consumer-console-consumer-49370-1, groupId=console-consumer-49370] Bootstrap broker kafka01:9092 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)
[2021-06-08 03:32:05,033] WARN [Consumer clientId=consumer-console-consumer-49370-1, groupId=console-consumer-49370] Bootstrap broker kafka01:9092 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)

开启了认证机制,导致生产者和消费失败,下面为writer用户配置认证信息,首先创建writer的JAAS文件,如下:

KafkaClient{
        org.apache.kafka.common.security.plain.PlainLoginModule required
        username="writer"
        password="writer";
};

保存为config/acl_writer_jaas.conf,拷贝一份新的bin/kafka-console-producer.sh脚本,并将该jaas文件做为JVM参数传给它:

cp bin/kafka-console-producer.sh bin/acl-kafka-console-producer.sh
vim bin/acl-kafka-console-producer.sh
# 把文件中的这一行
exec $(dirname $0)/kafka-run-class.sh kafka.tools.ConsoleProducer "$@"

# 修改为
exec $(dirname $0)/kafka-run-class.sh -Djava.security.auth.login.config=/opt/kafka/config/acl_writer_jaas.conf kafka.tools.ConsoleProducer "$@"

使用新的脚本启动生产者:

bin/acl-kafka-console-producer.sh --bootstrap-server kafka01:9092 --topic first --producer-property security.protocol=SASL_PLAINTEXT --producer-property sasl.mechanism=PLAIN
>sdf
[2021-06-08 03:41:28,958] WARN [Producer clientId=console-producer] Error while fetching metadata with correlation id 3 : {first=TOPIC_AUTHORIZATION_FAILED} (org.apache.kafka.clients.NetworkClient)
[2021-06-08 03:41:28,959] ERROR [Producer clientId=console-producer] Topic authorization failed for topics [first] (org.apache.kafka.clients.Metadata)
[2021-06-08 03:41:28,960] ERROR Error when sending message to topic first with key: null, value: 3 bytes with error: (org.apache.kafka.clients.producer.internals.ErrorLoggingCallback)
org.apache.kafka.common.errors.TopicAuthorizationException: Not authorized to access topics: [first]

依然有错误,不过错误变成了"topic授权失败",说明console producer通过认证,但没有授权,需要配置acl来让用户writer有权限写入topic。

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=kafka01:2181 --add --allow-principal User:writer --operation Write --topic first
Adding ACLs for resource `ResourcePattern(resourceType=TOPIC, name=first, patternType=LITERAL)`: 
 	(principal=User:writer, host=*, operation=WRITE, permissionType=ALLOW) 
Current ACLs for resource `ResourcePattern(resourceType=TOPIC, name=first, patternType=LITERAL)`: 
 	(principal=User:writer, host=*, operation=WRITE, permissionType=ALLOW)

授权成功后重新操作即可。

使用go客户端发送消息:

func TestProducer(t *testing.T) {

	topic := "first"
	config := sarama.NewConfig()

	config.Version = sarama.MinVersion
	config.Producer.Return.Successes = true
	config.Producer.RequiredAcks = sarama.WaitForLocal
	config.Producer.Flush.Frequency = 10000
	config.Producer.Flush.Bytes = 1048576000

	config.Net.SASL.Enable = true
	config.Net.SASL.User = "writer"
	config.Net.SASL.Password = "writer"

	producer, err := sarama.NewSyncProducer(addrs, config)
	if err != nil {
		panic(err)
	}

	var messages []*sarama.ProducerMessage

	message := &sarama.ProducerMessage{Topic: topic, Value: sarama.StringEncoder("Hello world")}
	messages = append(messages, message)

	err = producer.SendMessages(messages)
	if err != nil {
		panic(err)
	}

	for _, v := range messages {
		fmt.Println(v.Offset, v.Partition, v.Value)
	}

}

生产者发送消息成功了,下面配置消费者,首选创建reader用户的JAAS文件:

KafkaClient{
        org.apache.kafka.common.security.plain.PlainLoginModule required
        username="reader"
        password="reader";
};

拷贝一份新的console consumer脚本来指定上面的acl_reader_jaas.conf文件:

cp bin/kafka-console-consumer.sh bin/acl-kafka-console-consumer.sh 
# 把文件中的这一行
exec $(dirname $0)/kafka-run-class.sh kafka.tools.ConsoleConsumer "$@"

# 修改为
exec $(dirname $0)/kafka-run-class.sh -Djava.security.auth.login.config=/opt/kafka/config/acl_reader_jaas.conf kafka.tools.ConsoleConsumer "$@"

然后创建一个consumer.config文件,指定console producer的3个属性:

security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN
group.id=reader-group

现在运行console consumer:

[root@kafka01 kafka]# bin/acl-kafka-console-consumer.sh --bootstrap-server kafka01:9092 --topic first --from-beginning --consumer.config bin/acl-kafka-consumer.config
[2021-06-08 04:16:35,668] WARN [Consumer clientId=consumer-reader-group-1, groupId=reader-group] Error while fetching metadata with correlation id 2 : {first=TOPIC_AUTHORIZATION_FAILED} (org.apache.kafka.clients.NetworkClient)
[2021-06-08 04:16:35,669] ERROR [Consumer clientId=consumer-reader-group-1, groupId=reader-group] Topic authorization failed for topics [first] (org.apache.kafka.clients.Metadata)
[2021-06-08 04:16:35,669] ERROR Error processing message, terminating consumer process:  (kafka.tools.ConsoleConsumer$)
org.apache.kafka.common.errors.TopicAuthorizationException: Not authorized to access topics: [first]
Processed a total of 0 messages

同样的topic授权失败,由于要读取topic数据,需要赋予用户reader topic读取的acl规则:

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=kafka01:2181 --add --allow-principal User:reader --operation Read --topic first

再次启动,仍然报错,不过这次变成了消费者组授权失败,表明用户reader无权访问reader-group消费者组,同样是授权的问题,需要acl规则来解决,即赋予用户reader消费者组的读权限:

[root@kafka01 kafka]# bin/acl-kafka-console-consumer.sh --bootstrap-server kafka01:9092 --topic first --from-beginning --consumer.config bin/acl-kafka-consumer.config
[2021-06-08 04:18:39,588] ERROR Error processing message, terminating consumer process:  (kafka.tools.ConsoleConsumer$)
org.apache.kafka.common.errors.GroupAuthorizationException: Not authorized to access group: reader-group
Processed a total of 0 messages

对组授权

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=kafka01:2181 --add --allow-principal User:reader --operation Read --group reader-group

授权成功后重新操作即可。

使用go客户端消费消息:

func TestConsumer(t *testing.T) {

	topic := "first"

	config := sarama.NewConfig()
	config.Consumer.Offsets.AutoCommit.Enable = true
	config.Net.SASL.Enable = true
	config.Net.SASL.User = "reader"
	config.Net.SASL.Password = "reader"

	consumer, err := sarama.NewConsumer(addrs, config)
	if err != nil {
		panic(err)
	}

	partitions, err := consumer.Partitions(topic) //获得该topic所有的分区
	if err != nil {
		panic(err)
	}

	var wg sync.WaitGroup
	wg.Add(len(partitions))

	for partition := range partitions {
		pc, err := consumer.ConsumePartition(topic, int32(partition), sarama.OffsetOldest)
		if err != nil {
			panic(err)
		}
		wg.Add(1)
		go func(sarama.PartitionConsumer) {  //为每个分区开一个go协程去取值
			for msg := range pc.Messages() { //阻塞直到有值发送过来,然后再继续等待
				fmt.Printf("Partition:%d, Offset:%d, key:%s, value:%s\n", msg.Partition, msg.Offset, string(msg.Key), string(msg.Value))
			}
			defer pc.AsyncClose()
			wg.Done()
		}(pc)
	}
	wg.Wait()
	consumer.Close()
}

至此,基于acl的生产消费都正常工作了。

golango_cn
关注
专栏目录
Debezium报错处理系列之六十七:TopicAuthorizationException: Not authorized to access topics
zhengzaifeidelushang的博客
05-27 2255
Debezium报错处理系列之六十七:TopicAuthorizationException: Not authorized to access topics
Debezium错误处理系列:主题授权异常:无权访问主题
XbtoMemory的博客
09-23 1390
确保配置文件中的"security.protocol"、“ssl.truststore.location”、"ssl.truststore.password"等属性与Kafka集群的安全配置相匹配。确保正确配置Kafka主题的访问权限、授权策略和安全认证,以确保Debezium能够正常访问所需的主题。如果在Kafka集群上启用了授权策略,则需要配置正确的授权策略,以允许Debezium访问所需的主题。确保Debezium连接到正确的Kafka集群,并且可以成功访问所需的主题。如有其他问题,请随时提问。
Kafka SASL/PLANTEXT ACL配置
qq_36389344的博客
07-10 1万+
1. Windows系统启动Kafka报错异常,ERROR Shutdown broker because all log dirs in /tmp/kafka-logs have failed 分析:无 方案:删除 /tmp/kafka-logs(内置ubuntu) 文件夹内所有文件, 删除提示错误的文件夹路径内文件 2. ERROR [KafkaServer id=0] Fatal error during KafkaServer startup. Prepare to shutdown (ka.
go sarama实现sasl scram认证kafka组消费
最新发布
windcontinuestoblow的博客
09-29 464
需要定义1个结构体和3个方法,分别是处理session开始、结束的方法和实际处理消息的方法。// 可以在这里添加任何你需要的字段,用于方法调用// Setup 是当消费者组会话开始时(即新分区被分配给消费者时)被调用// 这里可以执行一些初始化操作,比如创建数据库连接等// 注意:这里的代码会在每个分区被分配给消费者时执行return nil// Cleanup 是当消费者组会话结束时(即分区被移除时)被调用// 这里可以执行一些清理操作,比如关闭数据库连接等return nil。
[Azure][Event hub]Kafka无法同时连接到同一个namespace下的两个Event hub
lingfy1234的博客
12-13 2238
1.问题背景 有一个应用需要用kafka消费event hub的消息,其中两个kafka consumer同时连接到了同一个namespace下的两个event hub。 kafka: consumer: consumer1: bootstrap-servers: namespace.servicebus.windows.net:9093 topic: topic1 credentials: org.apache.kafka.common.security.p
Kafka ACL使用实战
weixin_34252686的博客
08-17 696
自0.9.0.0.版本引入Security之后,Kafka一直在完善security的功能。当前Kafka security主要包含3大功能:认证(authentication)、信道加密(encryption)和授权(authorization)。信道加密就是为client到broker、broker到broker以及工具脚本与broker之间的数据传输配置SSL;认证机制主要是指配置SASL,...
kafka Windows测试启动踩坑
wwyy2018的博客
03-05 3482
官网下载安装包到D盘下,然后进入bin下的windows目录,使用bat命令。 命令 bin---》windows---》 1、启动zookeeper-server: zookeeper-server-start.bat ../../config/zookeeper.properties 2、启动kafka-server: kafka-server-start.bat ../../config/server.properties 3、创建topickafka-topics.bat --cr
kafka-2.12-3.3.2.tgz
02-01
**Kafka概述** Kafka是由LinkedIn开发并...总的来说,Kafka 2.12-3.3.2版本在保持其核心特性的基础上,对生产者消费者的API进行了优化,增强了集群的稳定性和安全性,使得Kafka在大数据领域的应用更加广泛和可靠。
Apache Kafka 3.0.0 (kafka-3.0.0-src.tgz)
02-17
7. **安全性与认证**:Kafka 3.0.0可能会增强安全功能,如TLS加密、SASL认证授权,确保数据传输的安全性。 8. **监控与管理工具**:Kafka带有一套管理工具,如Kafka-topics.sh和Kafka-console-consumer.sh,新...
kafka-manager-1.3.3.18.tgz
10-06
- **指标监控**:Kafka-Manager提供丰富的性能指标,包括生产者消费者的吞吐量、延迟、错误率等,帮助分析瓶颈并优化性能。 - **警报设置**:可以设置阈值,当达到特定条件时发送警报,例如 Broker 失联、分区未...
kafka-manager-2.0.0.2-kafka2.13.2-8.0.zip
08-25
3. 安全性考虑:启用Kafka Manager的认证授权功能,防止未经授权的访问和操作。 总结,Kafka Manager 2.0.0.2作为一款强大的Kafka管理工具,不仅提升了与最新Kafka版本的兼容性,还优化了用户体验。它为运维人员...
kafka-2.13-3.3.2.tgz
02-01
4. **安全性升级**:可能加强了认证授权和加密机制,增强了数据安全。 5. **资源效率**:可能对内存和CPU使用进行了优化,减少了资源消耗。 6. **故障恢复**:可能改进了故障恢复机制,缩短了从故障中恢复的时间。...
WARN [Producer clientId=console-producer] Error while fetching metadata with correlation id
top8488.top大数据
08-21 7482
kafka 下面报错 WARN [Producer clientId=console-producer] Error while fetching metadata with correlation id 原因: 1.很有可能是网络防火墙的问题,关闭或者配置相关ip通行(节点本身也要放行) 2.配置server.properties 新增或者修改 advertised.listeners=PLAINTEXT://你的ip:9092 ...
WARN [Producer clientId=console-producer] Error: NOT_LEADER_FOR_PARTITION
weixin_44264223的博客
03-18 2882
[2021-03-18 18:04:23,503] WARN [Producer clientId=console-producer] Got error produce response with correlation id 17 on topic-partition sensors-0, retrying (2 attempts left). Error: NOT_LEADER_FOR_PARTITION (org.apache.kafka.clients.producer.internals.Sen
Kafka常用命令之kafka-console-producer.sh
热门推荐
Ernest
05-04 5万+
kafka-console-producer.sh 脚本通过调用 kafka.tools.ConsoleProducer 类加载命令行参数的方式,在控制台生产消息的脚本。 本文是基于 Kafka_2.12-2.5.0 版本编写的,--bootstrap-server 参数于此版本开始被使用,而 --broker-list 也是在此版本开始被置为过时,但其属性值依旧保持不变。在使用较旧版本时,注意...
org.apache.kafka.clients.NetworkClient : [Producer clientId=producer-1] Error while fetching metad
AntdonYu的博客
08-19 6722
2020-08-19 22:55:56.089 WARN [-,,,] 35672 --- [ad | producer-1] org.apache.kafka.clients.NetworkClient : [Producer clientId=producer-1] Error while fetching metadata with correlation id 483 : {abc_001=LEADER_NOT_AVAILABLE} 2020-08-19 22:55:56.205 WARN.
Kafka【问题 02】KafkaTemplate 报错 Bootstrap broker localhost:9092 (id: -1 rack: null) disconnected 问题解决
Java与大数据相关实践内容分享!
08-08 9173
Kafka【问题 02】KafkaTemplate 报错 Bootstrap broker localhost:9092 (id: -1 rack: null) disconnected 问题解决
Kafka - Topic命令 & 命令行操作
Trollz的博客
10-13 7413
Kafka - Topic Command & Command Line Operations
Flink读写kafka表报错集锦
weixin_47114055的博客
08-17 1665
##一、 报错字段:RowTime field should not be null, please convert it to a non-null long value. 原因:DDL里面的字段名称和kafka传过来的json中的key名称没有对应上(注意时间戳处理函数是否可用(是否除以1000),官网不一定准确,可以测试一下,会导致字段不匹配)。 解决方案:认真检查DDL中字段,字段没有问题,考虑怀疑有关的函数使用,确保和kafka中的json的key名称一致。 ##、 报错字段:KeeperErr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值