kafka0.11部署SASL/PLAIN认证

最新推荐文章于 2024-06-21 16:15:29 发布
最新推荐文章于 2024-06-21 16:15:29 发布
阅读量938 收藏 2
点赞数
分类专栏: 运维 文章标签: kafka 认证 SASL 安装
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hunter_yang_Tuziki/article/details/80321386
版权

kafka部署

本教程将在一台设备上部署3个kafka broker,1个zookeeper组成kafka集群,其中kafka broker分别使用909290939094端口数据分别存放在/data目录下的kafka-1kafka-2kafka-3目录,zookeeper使用2181端口。
该教程中kafka版本使用kafka_2.11-0.11.0.2,安全认证使用SASL/PLAIN。

1. 下载与安装

关于下载和安装,可以参考官方文档 quick-start,可以分为如下几点

  • 确保已经安装了java 1.8

  • 下载与解压

    下载kafka_2.11-1.1.0.tgz

    解压并将得到的内容放到/usr/local/kafka

2. 配置

配置文件在/usr/local/kafka/config下,以下所有配置请确保配置中的路径已经存在且有对应的权限

  • 修改kafka配置

    修改server.properties文件的以下几项:

    # broker id 区别集群中其它broker
broker.id=0
# 数据存放路径
log.dirs=/data/kafka-1
# zookeeper地址
zookeeper.connect=localhost:2181
# 数据存活时长
log.retention.hours=2

    之后,将server.properties重命名为server-1.properties,然后复制为server-2.propertiesserver-3.properties用户另外两个broker。修改server-2.propertiesserver-3.properties中的broker.idlog.dirs以互相区别。

  • 修改zookeeper配置

    修改zookeeper.propertiesdataDir=/data/zookeeper

3. 配置认证

Kafka uses the Java Authentication and Authorization Service (JAAS) for SASL configuration

配置认证需要三个部分的操作,第一部分创建JAAS配置文件,第二部分修改启动命令加载上述配置文件, 第三部分修改properties文件添加认证方式。

3-1. 创建JAAS配置文件

需要在config下创建如下三个文件,先看下面三个文件,后面会逐个讲解其中涉及到的用户名和密码。

zoookeeper_jaas.conf

Server {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="cluster"
    password="clusterpasswd"
    user_kafka="kafkapasswd";
};

kafka_server_jaas.conf

KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="cluster"
    password="clusterpasswd"
    user_cluster="clusterpasswd"
    user_foo="foopasswd"
    user_producer="produerpasswd"
    user_consumer="consumerpasswd";
};
Client { 
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="kafka"
    password="kafkapasswd";
};

kafka_client_jaas.conf

KafkaClient {
        org.apache.kafka.common.security.plain.PlainLoginModule required
        username="foo"
        password="foopasswd";
};

zoookeeper_jaas.conf在zookeeper服务启动时加载,为zookeeper添加认证。其中username="cluster"password="clusterpasswd"是zookeeper集群(对,zookeeper也可以建成集群,我们这里只建了一个)之间通信所需的用户名和密码。user_kafka="kafkapasswd"则规定了一个用户名为kafka密码为kafkapasswd的用户,这个用户相当于zookeeper的一个“使用者”,本文中“使用者”是kafka server。

kafka_server_jaas.conf在kafka server服务启动时加载,为kafka添加认证。该文件分为两个部分——KafkaServer和Client,KafkaServer用于kafka集群之间和kafka服务的认证,Clinet部分用于连接zookeeper。KafkaServer中username="cluster"password="clusterpasswd"是kafka集群中各个broker之间通信所需的用户名和密码,user_*涉及的用户相当于kafka server的用户(例如生产者,消费者),这里需要注意的是必须有user_cluster用户且其密码需与username="cluster"相同,而且需要保证zoookeeper_jaas.conf中的username="cluster"一样,cluster可以是其他的单词有些教程用admin,但是要保证这三处相同,具体机制我还不明白。

kafka_client_jaas.conf在启动kafka producer/consumer命令时加载,相当于在客户端访问kafka服务时需要输入的用户名和密码,其中需要填写kafka_server_jaas.conf的KafkaServer部分的任意一个user_*用户信息。

3-2. 修改启动命令

修改bin/目录下的kafka-run-class.shzookeeper-server-start.shkafka-console-consumer.shkafka-console-producer.sh

  • 修改kafka-run-class.sh

# Launch mode位置做如下修改,其实只修改了KAFKA_SASL_OPTS出现的部分。

# Launch mode
KAFKA_SASL_OPTS="-Djava.security.auth.login.config=$base_dir/config/kafka_server_jaas.conf"
if [ "x$DAEMON_MODE" = "xtrue" ]; then
nohup $JAVA $KAFKA_HEAP_OPTS $KAFKA_JVM_PERFORMANCE_OPTS $KAFKA_GC_LOG_OPTS $KAFKA_SASL_OPTS $KAFKA_JMX_OPTS $KAFKA_LOG4J_OPTS -cp $CLASSPATH $KAFKA_OPTS "$@" > "$CONSOLE_OUTPUT_FILE" 2>&1 <
/dev/null &
else
exec $JAVA $KAFKA_HEAP_OPTS $KAFKA_JVM_PERFORMANCE_OPTS $KAFKA_GC_LOG_OPTS $KAFKA_SASL_OPTS $KAFKA_JMX_OPTS $KAFKA_LOG4J_OPTS -cp $CLASSPATH $KAFKA_OPTS "$@"
fi
  • 修改zookeeper-server-start.sh
    base_dir=$(dirname $0)下添加一行
export KAFKA_OPTS="-Djava.security.auth.login.config=$base_dir/../config/zookeeper_jaas.conf"
  • 修改kafka-console-consumer.shkafka-console-producer.sh
    在该文件开头添加如下代码:
base_dir=$(dirname $0)/..
if [ "x$KAFKA_OPTS" ]; then
 export KAFKA_OPTS="-Djava.security.auth.login.config=$base_dir/config/kafka_client_jaas.conf"
fi

3-3. 修改properties文件

对,又要修改server-*.propertieszookeeper.properties两个文件了,为了区别基础配置和认证配置,我将两次配置分开了,这里写认证先关的配置。

另外,为了能使用命令行运行produer和consumer,还需要修改produer.propertiesconsumer.properties两个文件。

  • server-*.properties配置修改

    修改原来的listenersSASL_PLAINTEXT://:9092,然后添加4项其它的配置,修改后如下

    listeners=SASL_PLAINTEXT://:9092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=PLAIN 
sasl.enabled.mechanisms=PLAIN
allow.everyone.if.no.acl.found=true

  • zookeeper.properties配置修改

    在文件末尾添加如下几行:

    authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000

  • produer.propertiesconsumer.properties配置修改
    在文件末尾添加如下两行

    security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN

4. 启动、测试

  • 先启动zookeeper,然后依次启动3个broker
    bin/zookeeper-server-start.sh config/zookeeper.properties &
bin/kafka-server-start.sh config/server-1.properties &
bin/kafka-server-start.sh config/server-2.properties &
bin/kafka-server-start.sh config/server-3.properties &
  • 创建一个topic
    bin/kafka-topics.sh --create --zookeeper localhost:2181 --replication-factor 1 --partitions 1 --topic test
  • 创建produer,生产数据
    bin/kafka-console-producer.sh --broker-list localhost:9092 --topic test --producer.config config/producer.properties
  • 创建consumer,消费数据
    bin/kafka-console-consumer.sh --bootstrap-server localhost:9092 --topic test --from-beginning --consumer.config config/consumer.properties

示例

from kafka import KafkaConsumer
config = config = {
    'bootstrap_servers':'192.168.1.5:9092',
    'security_protocol':'SASL_PLAINTEXT',
    'sasl_mechanism':'PLAIN',
    'sasl_plain_username':'foo',
    'sasl_plain_password':'foopasswd',
    'api_version':(0, 11, 0)
}
c = KafkaConsumer('test_topic', **config)
for msg in c:
    print(msg.value.decode())


请注意安装kafka服务器的hostname,默认的当使用pykafka等和kafka建立连接时,客户端会使用kafka服务器的hostname和kafka服务进行通信。

可通过在servser.properties添加配置项`advertised.host.name=主机的ip`来解决这个问题。

也可以给kafka主机设置一个有意义的hostname,并在客户端主机的/etc/hosts中添加hostname到ip的关系。

参考链接:
Kafka的SASL/PLAIN认证配置说明
kafka使用SASL验证
Kafka 0.10.0 SASL/PLAIN身份认证及权限实现
Security between Kafka and zookeeper using SASL | Kafka and ZK authentication using SASL

lsyarn
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kafka部署全攻略——基于SSL的SASL_PLAIN安全认证实现
bbsxb520的博客
06-28 207
基于SSL的SASL_PLAIN安全认证实现
Kafka 配置用户名密码例子
09-10
- 在`server.properties`配置文件中,开启SASL认证: ```properties security.inter.broker.protocol=SASL sasl.mechanism.inter.broker.protocol=PLAIN ``` - 启用SASL_PLAINTEXT监听器: ```properties ...
Kafka安全 之 Authentication using SASL/PLAIN
飞朋的博客
12-31 1059
Table of Contents 配置 kafka broker 配置 kafka 客户端 在生产中使用SASL/PLAIN 完整样例 SASL/PLAIN是一种简单的用户名/密码身份验证机制,通常与 TLS 一起用于加密以实现安全身份验证。Kafka支持SASL/PLAIN的默认实现 用户名被用作配置acl等的认证主体。 配置 kafka broker 将一个适当修改过的 J...
网络安全最全Kafka安全认证机制详解之SASL_PLAIN_kafka sasl认证,2024年最新最新高频网络安全笔试题分享
2401_84263434的博客
05-09 285
需要完整版PDF学习资源私我。
kafka安全认证与授权(SASL-PLAIN
Innocence_0的博客
02-25 1240
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…这是通过在规则末尾添加“/L”来完成的。这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。
Springboot 接入 带有SASL/PLAINkafka
u012040869的博客
09-10 7310
yml 配置文件添加 kafka: template: producer: #kafka ip 端口 bootstrap-servers: xx.xx.65.8:8123 key-deserializer: org.apache.kafka.common.serialization.StringDeserializer va...
kafka 介绍
竹叶青 的专栏
06-14 6965
1.Why we built this     asd(activity stream data)数据是任何网站的一部分,反映网站使用情况,如:那些内容被搜索、展示。通常,此部分数据被以log方式记录在文件,然后定期的整合和分析。od(operation data)是关于机器性能数据,和其它不同途径整合的操作数据。     在近几年,asd和od变成一个网站重要的一部分,更复杂的基础设施是必须
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:...
使用sasl的kafka集群的搭建使用
03-15
搭建基于sasl的安全认证kafka集群,并配置acl,使用户能分权分域接受发送消息
kafka-kraft SASL
01-08
生成JKS文件
Kafka Tool linux版本,适用于kafka0.11及以上
12-14
Kafka Tool是针对Kafka集群进行管理和操作的一款图形用户界面(GUI)工具,特别适用于Kafka 0.11及以上版本。它为用户提供了便捷的方式来查看、管理和操作Kafka集群,极大地简化了日常维护工作。 **主要功能:** 1...
Kafka SASL/PLAIN静态认证集群部署
Astralisxoxo的博客
09-16 1287
Kafka SASL集群部署Kafka中,SASL机制包含三种,它们分别是Kerberos、PLAIN、SCRAM。以PLAIN认证为示例 1.配置Server 1)解压安装包 tar -zxvf kafka_2.11-2.4.1.tgz -C /home/xyp9x/ 2)改名 mv kafka_2.11-2.4.1 kafka_sasl 2)在kafka目录下创建logs、kafka-logs文件夹 mkdir logs kafka-logs 3)config目录中创建kafka_server
Kafka安全认证机制SASL/PLAINTEXT
weixin_34311757的博客
12-20 1256
一.背景 kafka提供了多种安全认证机制,主要分为SSL和SASL2大类。其中SASL/PLAIN是基于账号密码的认证方式,比较常用。最近做了个kafka的鉴权,发现官网上讲的不是很清楚,网上各种博客倒是很多,但是良莠不齐,巨多坑。经过一天的研究,终于搞定了,特在此记录下。 二.环境 操作系统:linux kafka版本kafka_2.12-0.11.0.1 zookeeper版本:zooke...
kafka 0.11.0.2 安装
SengMay的专栏
07-27 955
1、下载kafka https://archive.apache.org/dist/kafka/0.11.0.2/kafka_2.11-0.11.0.2.tgz 2、解压 tar xvf kafka_2.11-0.11.0.2.tgz 3、添加host vim /etc/hosts 添加如下host 192.168.0.1 test.kafka1 192.168.0.2 test...
windows11搭建kafka server配置SASL认证提示“无法找到 LoginModule 类“
最新发布
JinJinnijnij的博客
06-21 211
kafka_server_jaas.conf这个配置文件PlainLoginModule包路径前不能有任何空白字符。删除后重启,问题解决!
Kafka安全认证机制详解之SASL_PLAIN
空城的博客
01-02 2949
上面配置是新增了两个用户,admin和tly,这两个用户都是普通用户,KafkaServer中的username、password配置的用户和密码,是用来broker和broker连接认证。在本例中,admin是代理broker间通信的用户。这个时候使用auth.conf已经不能创建topic了,使用admin.conf可以创建,因为admin账号和配置的超级管理员一致;使用权限配置并且超级用户是admin,这个用户和我们上面配置的列表中的admin用户相互映射,每个机器都需要配置然后重启所有节点。
借助sasl构建基于AD用户验证的SVN服务器
Dancen的专栏
05-26 7998
SVN服务器的用户验证方式很多,以下列出一些我所了解的: 1 最简单的,即使用SVN版本库目录之下的conf/passwd文件存储用户信息。然而,密码使用了明文存储,有安全隐患。 2 SVN+sasl实现密码加密,我参考网上资料: http://www.cnblogs.com/linn/archive/2011/08/04/2127014.html 进行了实验,该方式使用了另外的可自定义的
安装 kafka 配置 sasl 认证
weixin_41565755的博客
01-23 6523
安装 kafka 配置 sasl 认证
Kafka 开启 SASL/PLAINTEXT 认证及 ACL
我吃柠檬的博客
07-06 4484
Linux 安装 Kafka 并开启 SASL/PLAINTEXT 认证
kafka集群 sasl/plain 权限配置
04-29
然后,需要在Kafka中配置SASL/PLAIN认证协议,并为Kafka的每个Broker进行单独的配置。每个Broker需要配置一个独立的JAAS(Java Authentication and Authorization Service)文件来指定其自己的认证方式和相应的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值