实战Kafka ACL机制

最新推荐文章于 2024-09-19 09:49:26 发布
最新推荐文章于 2024-09-19 09:49:26 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: spring springboot spark springcloud mysql 文章标签: kafka ACL JAVA 架构师 程序员
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javarrr/article/details/84765186
版权
本文介绍了Kafka从0.9版本开始引入的安全机制,包括身份认证和ACL(Access Control Lists)操作。详细讲解了SSL和SASL(包括Kerberos、PLAIN、SCRAM)认证流程,并提供了配置示例。同时,阐述了如何使用kafka-acls.sh脚本进行ACL的查看、创建、授权和删除,强调了在处理核心业务数据时ACL的重要性。
摘要由CSDN通过智能技术生成

1.概述
  在Kafka0.9版本之前,Kafka集群时没有安全机制的。Kafka Client应用可以通过连接Zookeeper地址,例如zk1:2181:zk2:2181,zk3:2181等。来获取存储在Zookeeper中的Kafka元数据信息。拿到Kafka Broker地址后,连接到Kafka集群,就可以操作集群上的所有主题了。由于没有权限控制,集群核心的业务主题时存在风险的。

2.内容
2.2 身份认证
  Kafka的认证范围包含如下:

Client与Broker之间

Broker与Broker之间

Broker与Zookeeper之间

当前Kafka系统支持多种认证机制,如SSL、SASL(Kerberos、PLAIN、SCRAM)。

2.3 SSL认证流程
  在Kafka系统中,SSL协议作为认证机制默认是禁止的,如果需要使用,可以手动启动SSL机制。安装和配置SSL协议的步骤,如下所示:

在每个Broker中Create一个Tmp密钥库

创建CA

给证书签名

配置Server和Client

执行脚本如下所示:

 1#! /bin/bash
 2# 1.Create rsa
 3keytool -keystore server.keystore.jks -alias dn1 -validity 365 -genkey -keyalg RSA
 4# 2.Create CA
 5openssl req -new -x509 -keyout ca-key -out ca-cert -days 365
 6# 3.Import client
 7keytool -keystore client.truststore.jks -alias CAROOT -import -file ca-c
最低0.47元/天 解锁文章
kafka存储机制.docx
11-02
Kafka 存储机制详解 Kafka 是一个分布式、分区的、多副本的、多订阅者、基于 zookeeper 协调的分布式日志系统,也可以当做 MQ 系统。它常见用于 web/nginx 日志、访问日志、消息服务等等。下面将从 Kafka 文件存储...
Kafka集群】Kafka针对用户做ACL权限控制
后端研发工程师Marion的博客
05-18 4603
Kafka 3.3.1 中,可以使用 ACL(Access Control List)控制用户对 topic 的访问权限。在命令行中执行以下命令创建一个名为my-topic其中是一种内置的 ACL 校验器,User:admin是一组超级管理员。如果没有在配置文件中指定 super.users,则只有在 Zookeeper 上配置了访问控制时才会应用 ACL 规则。b. 为特定用户或组添加 ACL 规则现在,开发人员组可以对该 topic 进行读写操作。
Kafka SASL认证与ACL配置
u010100623的博客
04-30 2004
SASL/PLAIN,这种方式其实就是一个的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,等等!建议大家用SASL/SCRAM的方式 ,这种方式 用户名/密码是存储在zookeeper中,能够。该种认证方式还会使用sha256或sha512对,安全性相对会高一些。本文主要介绍SASL/PLAIN。
Kafka中如何配置和管理ACL(访问控制列表)?
最新发布
qq_33240556的博客
09-19 572
Apache Kafka 使用访问控制列表(ACLs)来提供细粒度的安全性,允许你定义哪些用户可以对特定的主题、消费者组或集群执行何种操作。
kafka Acl权限管理
weixin_40496191的博客
04-16 5872
文章目录一、背景二、操作指令三、ACL权限整合springboot四、Acl整合java代码 一、背景 实现对主题的订阅控制,动态分配客户端的读写权限。 二、操作指令 创建writer用户,密码是writer-pwd: ./kafka-configs.sh --zookeeper 192.168.248.100:2181 --alter --add-config 'SCRAM-SHA-256=[iterations=8192,password=writer-pwd],SCRAM-SHA-512=[pas
Kafka安全(以SASL+ACL为例)
Yore - Home
03-15 1974
Kafka 引入的新认证机制,主要是为了实现与 OAuth2 框架的集成,Kafka 不提倡单纯使用 OAUTHBEARER,因为它生成的不安全 Json Web Token,必须配以 SSL 加密才能在生产环境中使用。主要是为 Kerberos 使用,如果当前已有 Kerberos 认证,只需要为集群中每个 Broker 和访问用户申请 Principle ,然后在 Kafka 配置文件中开启 Kerberos 的支持即可。ZK服务地址可以使用Kafka自带的,也可以使用已部署在的ZK。
Kafka SASL安全认证机制ACL用户权限控制
10-08 2012
自0.9.0.0.版本引入Security之后,Kafka一直在完善security的功能,以提高kafka集群的安全性。当前Kafka security主要包含3大功能:认证(authentication)、信道加密(encryption)和授权(authorization)。
图解 Kafka实战指南
03-29
### 图解Kafka实战指南知识点详述 #### 一、Kafka简介 **Kafka** 起初由LinkedIn采用Scala语言开发,后捐赠给Apache基金会,现已成为一款广泛应用于分布式流处理平台的成熟软件。它凭借高吞吐量、可持久化存储、...
kafka实战pdf
05-07
《Apache Kafka实战》这本书是关于分布式流处理平台Kafka的深度实践指南,旨在帮助读者深入理解和熟练运用KafkaKafka是由LinkedIn开发并开源的一种高吞吐量、分布式的发布订阅消息系统,现在已经成为大数据领域不...
Apache Kafka实战.pdf
02-21
《Apache Kafka实战》这本书深入浅出地介绍了Apache Kafka这一分布式流处理平台的各个方面,旨在帮助读者掌握Kafka的实际应用和核心概念。Kafka是一个高吞吐量、低延迟的消息发布订阅系统,常用于构建实时数据管道和...
纽约时报Kafka架构实战
01-27
《纽约时报Kafka架构实战》一文探讨了大型媒体机构如何利用Apache Kafka构建高效、可靠的发布管道,以满足内容发布和检索的需求。纽约时报作为拥有丰富历史内容的媒体,其内容生成系统复杂,需要及时、准确地将新...
kafka acl配置
热门推荐
ahzsg1314的专栏
01-06 1万+
1、环境查看 指令,确认环境无授权信息 [root@zdh167 bin]# ./kafka-acls.sh --list --authorizer-properties zookeeper.connect=localhost:2181/kafka  [root@zdh167 bin]#  2、授权用户集群管理权限 [root@zdh167 bin]# ./kafka-acls.sh -
Kafka 安全认证及权限控制
小王是个弟弟
07-20 1万+
作者:wjun 平台:MacOS 版本:Kafka 2.4.1 、Zookeeper 3.6.2 一、Zookeeper 配置 SASL 若只关注 kafka 的安全认证,不需要配置 Zookeeper 的 SASL,但 kafka 会在 zk 中存储一些必要的信息,因此 zk 的安全认证也会影响到 kafka ???????????? 1.1 新建 zoo_jaas.conf 文件 zoo_jaas.conf文件名、文件所在路径没有特殊要求,一般放置在${ZOOKEEPER_HOME}/conf目录下
kafka的访问控制
hncscwc的博客
08-10 1891
【概述】通常情况下,Kafka部署后都是自己的业务进行生产消费,但也有一些情况,比如通过kafka和第三方对接,甚至是多个三方对接;或者是多用户使用同一套kafka集群,各自使用不同的topic。在这种场景下,一般不希望不同的用户能访问彼此的数据,因此需要进行权限控制,这就会用到Kafka中的ACLKafka中的ACL定义为:来自指定主机(Host)的指定用户(User...
Kafka ACL(SASL/SCRAM-SHA-256)动态权限管理【windows】
三年喂的博客
03-15 2764
Window系统下配置Kafka ACL SASL/SCRAM-SHA-256 模式动态权限管理
kafka学习笔记八kafka的权限管理之ACL权限控制
hwhanwan的专栏
08-29 1万+
kafka的权限管理之ACL权限控制 1.broker acl configuration 2.producer acl write 3.consumer acl read 4.programming acl (consumer & producer)   一、配置 broker sasl(acl) configuration 1.1 分别复制server.properties...
Kafka部署全攻略——认证机制ACL权限控制简介
bbsxb520的博客
06-20 328
KAFKA的认证机制介绍,和ACL常用操作举例
kafka acl
Ronnie的专栏
07-31 456
kafka_server_jaas.conf中指定读写用户,如下; 这里admin是管理员,一个专门写入的用户,一个只读用户 使用kafka-acl为指定的用户赋予某个topic的写、读权限。 ./kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zook...
kafka acl怎么使用
04-01
KafkaACL(Access Control List)用于控制Kafka集群中的客户端对topic、group、cluster等资源的访问权限。使用ACL可以保证集群的安全性。 以下是使用Kafka ACL的步骤: 1. 配置Kafka的server.properties文件,启用ACL: ``` authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer ``` 2. 创建ACL配置文件,指定具体的权限: ``` # 只允许test-topic的生产者写入数据 Topic:test-topic,Producer:Alice,Write # 只允许test-topic的消费者Bob消费数据 Topic:test-topic,Consumer:Bob,Read # 允许test-topic的所有用户读写 Topic:test-topic,User:*,Allow,Write,Read # 禁止所有Topic的所有用户读写 Topic:*,User:*,Deny,Write,Read ``` 3. 通过kafka-acls.sh命令行工具设置ACL: ``` # 给Alice授权在test-topic中写入数据 bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --add --allow-principal User:alice --operation Write --topic test-topic # 给Bob授权在test-topic中读取数据 bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --add --allow-principal User:bob --operation Read --topic test-topic # 给所有用户授权在test-topic中读写数据 bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --add --allow-principal User:* --operation Write --operation Read --topic test-topic # 禁止所有用户在所有Topic中读写数据 bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --add --deny-principal User:* --operation Write --operation Read --topic * ``` 4. 验证ACL是否生效: ``` # 查看test-topic的ACL bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --list --topic test-topic # 查看Alice的授权信息 bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --list --principal User:alice # 查看Bob在test-topic中的权限 bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --list --topic test-topic --principal User:bob ``` 以上就是使用Kafka ACL的基本步骤。注意,ACL配置和设置需要谨慎操作,避免出现安全漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值