Zookeeper & Kafka 开启安全认证的配置

已于 2023-07-19 10:43:46 修改
阅读量8.4k 收藏 30
点赞数 6
分类专栏: java 文章标签: kafka java-zookeeper zookeeper
于 2022-08-10 00:24:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhjlhj123123/article/details/126257810
版权

导语: zookeeper 和 kafka 在默认情况下,是没有开启安全认证的,那么任意客户端可以在不需要任何身份认证的情况下访问zookeeper和kafka下的各节点,甚至可以进行节点的增加,修改以及删除的动作。注意,前面的动作是基于客户端能访问服务端所在的网络,如果进行了物理隔绝或者做了防火墙限制,那前述内容就不一定成立。但是,在某些对安全加固要求比较严格的客户或者生产环境中,那就必须开启安全认证才行。除了最基本的身份认证以外,还有针对每个节点的权限访问,但本文不涉及该话题。

进入正题,先从zookeeper开始配置,zookeeper官网提供了认证配置的参考,点击下方官网地址,即可查看详情。配置分两种情况:

  1. 客户端和服务端的双向认证
  2. 服务端与服务端的双向认证

如果是非集群模式下,仅配置客户端和服务端的双向认证即可。集群模式下,则需要客户端和服务端的认证以及zookeeper服务器之间的双向认证。

以下是各配置的详细内容:

zookeeper

一. 配置 Client-Server 双向认证(官网地址)

该功能于 3.4.0 开始引入,低于 3.4.0 的版本的zookeeper则应先升级。

1. 配置zookeeper服务端

Zookeeper 使用的是Java自带的认证和授权服务(简称:JAAS),详细内容请看官网,该链接是 Java 8 的 JAAS 的介绍。

  • 准备jaas 配置文件,包含客户端和服务端,为了简单,使用 DIGEST-MD5 认证方式。其他认证方式,请参考上面提供的官网链接。

比如新建文件server.jaas.conf,内容如下:

Server {
       # 使用摘要认证模块
       org.apache.zookeeper.server.auth.DigestLoginModule required
       # 用户名:super,密码:adminsecret
       user_super="adminsecret"
       # 用户名:bob,密码:bobsecret
       user_bob="bobsecret";
};

注意:上面的*.jaas.conf文件中的注释需要删掉,否则会导致程序启动失败;大括号里面,最后一行的分号(;)必须得存在,否则会出现找不到认证配置的错误

  • Server 端修改配置 zoo.cfg(kafka自带的配置文件名为zookeeper.properties)
# 强制进行SASL认证
sessionRequireClientSASLAuth=true

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
  • 修改 zookeeper 的启动脚本,增加jvm参数,比如使用的是kafka自带的zookeeper,则可修改 kafka/bin/kafka-run-class.sh 文件的最后一段内容:
#  新增变量SERVER_JVMFLAGS
SERVER_JVMFLAGS="-Djava.security.auth.login.config=/{path}/server.jaas.conf"

# Launch mode
if [ "x$DAEMON_MODE" = "xtrue" ]; then
  nohup "$JAVA" $SERVER_JVMFLAGS $KAFKA_HEAP_OPTS $KAFKA_JVM_PERFORMANCE_OPTS $KAFKA_GC_LOG_OPTS $KAFKA_JMX_OPTS $KAFKA_LOG4J_OPTS -cp "$CLASSPATH" $KAFKA_OPTS "$@" > "$CONSOLE_OUTPUT_FILE" 2>&1 < /dev/null &
else
  exec "$JAVA" $SERVER_JVMFLAGS $KAFKA_HEAP_OPTS $KAFKA_JVM_PERFORMANCE_OPTS $KAFKA_GC_LOG_OPTS $KAFKA_JMX_OPTS $KAFKA_LOG4J_OPTS -cp "$CLASSPATH" $KAFKA_OPTS "$@"
fi

/{path}/server.jaas.conf, {path} 是 server.jaas.conf 文件存放的绝对路径

2. 配置客户端

新建client.jass.conf,内容如下:

Client {
       # 使用摘要认证模块,与 server.jaas.conf 保持一致
       org.apache.zookeeper.server.auth.DigestLoginModule required
       # 用户:bob,与 server.jaas.conf 保持一致
       username="bob"
       # 密码:bobsecret,与 server.jaas.conf 保持一致
       password="bobsecret";
};

注意:上面的*.jaas.conf文件中的注释需要删掉,否则会导致程序启动失败;大括号里面,最后一行的分号(;)必须得存在,否则会出现找不到认证配置的错误

  • 修改 客户端 的启动脚本,增加jvm参数,参考上面的方法进行修改即可,下面列出变量的格式。
CLIENT_JVMFLAGS="-Djava.security.auth.login.config=/{path}/client.jaas.conf"

/{path}/client.jaas.conf, {path} 是 server.jaas.conf 文件存放的绝对路径

二. 配置 Server-Server 双向认证(官网地址)

该配置仅适用于集群的情况

该功能于 3.4.10 开始引入,低于 3.4.10 的版本则应先升级。

1. 修改zoo.conf(kafka自带的配置文件名为zookeeper.properties)

增加如下配置:

quorum.auth.enableSasl=true
quorum.auth.learnerRequireSasl=true
quorum.auth.serverRequireSasl=true
quorum.auth.learner.saslLoginContext=QuorumLearner
quorum.auth.server.saslLoginContext=QuorumServer
quorum.cnxn.threads.size=20
2. 修改server.jaas.conf文件

增加如下配置:

QuorumServer {
       org.apache.zookeeper.server.auth.DigestLoginModule required
       user_test="test";
};
 
QuorumLearner {
       org.apache.zookeeper.server.auth.DigestLoginModule required
       username="test"
       password="test";
};

好了,zookeepeer以及客户端的配置都完成之后,我们再来配置kafka,kafka同样包含客户端和服务端的配置,请看下文。

kafka

1. 修改server.properties文件

# kafka所在主机的ip地址
listeners=SASL_PLAINTEXT://ip:9092

security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN

2. 客户端增加以下属性

如果客户端使用了producer.properties和consumer.properties文件,则添加以下属性至各自的文件中。

security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN

如果客户端并未配置producer.properties和consumer.properties文件,因此需要在创建producer和consumer的代码中加上如上两个属性,代码大致如下:

    props.put(SECURITY_PROTOCOL_CONFIG, "SASL_PLAINTEXT");
    props.put("sasl.mechanism", "PLAIN");

kafka的配置也完成,重启所有服务,检查日志,是否启动正常,以及认证是否已生效。

3. kafka_topics.sh的使用

由于开启SASL后,使用kafka自带的脚本kafka-topics.sh查看topic时,如果按照未开启SASL的方式执行,命令如:

./kafka-topics.sh --bootstrap-server 127.0.0.1:9092 --list

会提示连接超时的错误。如下:

Error while executing topic command : Timed out waiting for a node assignment. Call: listTopics
[2022-10-18 10:08:32,274] ERROR org.apache.kafka.common.errors.TimeoutException: Timed out waiting for a node assignment. Call: listTopics
(kafka.admin.TopicCommand$)

因此,需要新增配置参数。新建一个名为topics.properties(或其他名字)的文件,配置参数如下:

security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN

这个配置和前面的producer.properties以及consumer.properties是一样的。在官网上,我没有找到这部分的描述,是通过阅读源码得来的。从kafka-topics.sh脚本中,可以看到源码的入口是:

kafka.admin.TopicCommand

根据 TopicCommand.scala 源码找到 main 方法的入口,因为我们命令中使用的是 --list参数,所以找到 topicService.listTopics(opts) 这一行,跟踪该行代码,可以看到listTopics 方法并没有与参数有关的代码,所以我们可以大胆猜测,参数应该是在 topicService 对象中。接下来就对 topicService 对象的初始化进行阅读,发现和参数有关的代码如下:

Admin.create(commandConfig)
...
KafkaAdminClient.createInternal()
...
channelBuilder = ClientUtils.createChannelBuilder(config, time, logContext);

// 与SASL有关的就是下面这段代码
public static ChannelBuilder createChannelBuilder(AbstractConfig config, Time time, LogContext logContext) {
        SecurityProtocol securityProtocol = SecurityProtocol.forName(config.getString(CommonClientConfigs.SECURITY_PROTOCOL_CONFIG));
        String clientSaslMechanism = config.getString(SaslConfigs.SASL_MECHANISM);
        return ChannelBuilders.clientChannelBuilder(securityProtocol, JaasContext.Type.CLIENT, config, null,
                clientSaslMechanism, time, true, logContext);
    }

从上面的代码得知,开启SASL后,需要用到两个参数:

CommonClientConfigs.SECURITY_PROTOCOL_CONFIG
SaslConfigs.SASL_MECHANISM

参数定义如下:

public static final String SECURITY_PROTOCOL_CONFIG = "security.protocol";
public static final String SASL_MECHANISM = "sasl.mechanism";

这个就是我们前面定义的topics.properties文件里面的内容了。
配置参数定义好了,如何引用上述配置文件呢,我们继续从头开始扒源码:

// 入参是args
val opts = new TopicCommandOptions(args)
...
// topicService 对象的第一个参数是opts.commandConfig
val topicService = TopicService(opts.commandConfig, opts.bootstrapServer)
...
// 接下来看看opts.commandConfig的定义
def commandConfig: Properties = if (has(commandConfigOpt)) Utils.loadProps(options.valueOf(commandConfigOpt)) else new Properties()
// 上面的代码对 commandConfigOpt 进行判断,下面我们看下 commandConfigOpt 的定义:
private val commandConfigOpt = parser.accepts("command-config", "Property file containing configs to be passed to Admin Client. " +
      "This is used only with --bootstrap-server option for describing and altering broker configs.")
      .withRequiredArg
      .describedAs("command config property file")
      .ofType(classOf[String])
...
// 由此可知,命令行的参数是 --command-config

通过上面的源码走读,我们可以得出,开启SASL后,查看topic的命令应该如下:

./kafka-topics.sh --bootstrap-server 127.0.0.1:9092 --list --command-config="xxx/kafka/config/topics.properties"

topic能成功显示出来,即表示配置正确。

IT布道
关注
  • 6
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Kafka 配置用户名密码例子
09-10
在本文中,我们将深入探讨如何在Apache Kafka配置SASL/PLAIN认证机制,并通过具体的密码验证实现安全的通信。Kafka是一个分布式流处理平台,它在数据传输中扮演着重要角色,而安全性是其核心考量之一。SASL...
Kafka单机部署》配置文件
08-06
7. **安全性**:虽然单机部署不涉及复杂的集群安全,但可以了解Kafka支持SSL/TLS加密和SASL认证,这些配置在`server.properties`中开启。 8. **监控与调试**:Kafka提供了JMX(Java Management Extensions)接口,...
Apache zookeeper kafka 开启SASL安全认证
heming20122012的专栏
03-13 2050
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展和具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用。Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
Zookeeper使用
qq_47387991的博客
03-15 4516
ZooKeeper是一个集中的服务,用于维护配置信息、命名、提供分布式同步和提供组服务。所有这些类型的服务都以某种形式被分布式应用程序使用。每次它们被实现时,都会有大量的工作来修复不可避免的错误和竞争条件。由于实现这些服务的困难,应用程序最初通常会略过这些服务,这使得它们在出现更改时变得脆弱,并且难以管理。即使正确地执行了这些服务,在部署应用程序时,这些服务的不同实现也会导致管理复杂性。
2024年最新Apache zookeeper kafka 开启SASL安全认证_kafka开启认证
2401_84302369的博客
05-01 1301
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。使用kafka-console-producer.sh脚本测试生产者,由于开启安全认证和授权,此时使用console-producer脚本来尝试发送消息,那么消息会发送失败,原因是没有指定合法的认证用户,因此客户端需要做相应的配置,需要创建一个名为producer.conf的配置文件给producer程序使用。
kafka安装部署-前面部分
wt6002的博客
09-03 329
step 1: 下载代码 你可以登录Apache kafka 官方下载。http://kafka.apache.org/downloads.html 下载和自己系统匹配的 Step 2: 启动服务 运行kafka需要使用Zookeeper,所以你需要先启动Zookeeper,如果你没有Zookeeper,你可以使用kafka自带打包和配置好的Zookeeper(PS:在kafka包里)。 在和kafka一个目录bin文件夹下面; //这是前台启动,启动以后,当前就无法进行其他操作(不推.
实战:kafkazookeeper SASL+ACL实现动态权限认证、授权
u011618288的博客
02-18 6774
kafka基于SASL/SCRAM 集合zookeeper SASL,实现安全认证、权限校验ACL。
Kafka安全认证授权配置
qq_41203483的博客
11-17 7916
Kafka安全认证授权配置一 概述1.1 Kafka的权限分类1.2 实现方式二 安全认证授权配置2.1 zookeeper配置2.1.1 引入kafka依赖包2.1.2修改ZK配置文件2.1.3 创建jaas文件2.1.4 修改zkEnv.sh2.1.5 启动zk2.2 Kafka配置2.2.1 创建超级用户2.2.2 创建jaas文件2.2.3 修改kafka配置文件2.2.4启动kafka三 测试连接3.1 生产者测试3.2 消费者测试3.3 beats工具连接3.4 logstash消费 一 概述
kafka 开启认证授权
卷心菜投手
10-10 4055
kafka Kraft 模式 用户名密码 认证
kafka配置文件
09-07
9. **Kafka安全配置** - SASL(Simple Authentication and Security Layer)和SSL/TLS用于实现用户认证和数据加密,确保数据传输安全。 在实际部署过程中,根据具体的业务需求和环境,可能还需要调整其他配置...
Zookeeper安装包(Window安装)
09-27
- 配置文件中可能需要开启权限认证,特别是生产环境中,以防止未授权访问。 - 为了数据安全,定期备份`data`目录,因为其中包含了Zookeeper的状态信息和事务日志。 - 考虑设置防火墙规则,只允许特定IP或网络访问...
kafka Windows安装
03-20
配置 Kafka 的 `server.properties` 文件,主要设置 broker.id、zookeeper.connect 等参数,指明 Kafka 服务器的标识和 Zookeeper 的连接地址。启动 Kafka 服务,同样在 Kafka 的 bin 目录下,执行 `kafka-server-...
Zookeeper中的客户端配置认证(zoo_client.conf)
多头注意力探索Now
07-03 2404
zk 客户端认证方式
Kafka增加安全验证安全认证,SASL认证,并通过spring boot-Java客户端连接配置
Avril___的博客
02-01 4733
公司Kafka一直没做安全验证,由于是诱捕程序故需要面向外网连接,需要增加Kafka连接验证,保证Kafka不被非法连接,故开始研究Kafka安全验证使用Kafka版本为2.4.0版本,主要参考官方文档。
开启zookeeper安全认证功能,并配置kafkazookeeper的身份验证
热门推荐
zhang5324496的博客
12-21 2万+
目录 1-- 为啥需要开启zookeeper认证 2-- 如何开启zookeeper认证 2.1-- 修改文件 zoo.cfg, 开启认证功能 2.2-- 创建 jaas.conf文件,配置认证的用户和密码(例子的文件路径为 /etc/zookeeper/jaas.conf) 2.3-- 设置jaas.conf的权限,权限是 zookeeper 组件的用户,假设组件zookeeper的拥有使用者名为 zkp,所需组为root 2.4-- 更新zookeeper的JVM flags 2.5...
Apache zookeeper kafka 开启SASL安全认证 —— 筑梦之路
筑梦之路
08-23 4683
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展和具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用。Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
zookeeper开启SASL,并且设置kafka如何连接
chou_kawaii的博客
09-02 5021
zookeeper开启sasl认证
kafka搭建部署(信任认证/口令认证)
Xmas-Shen
06-16 756
Kafka详细单机版搭建教程,包含信任认证和口令认证两种方式。由于在学习Kafka的过程中发现详细全面的Kafka搭建及Schema Registry搭建资料较少,踩坑较多,所以输出这篇记录我的Kafka搭建过程。
Kafka+zookeeper安装及sasl认证(二)
qq_43700739的博客
03-31 4251
kafka安全认证sasl 一、环境 kafka_2.13-2.8.0,zookeeper-3.6.3(这里不是用kafka自带的zookeeper) 二、修改配置文件 1、zookeeper配置 (1)为zookeeper添加SASL支持,在conf下配置文件zoo.cfg添加 authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider requireClientAuthScheme=sasl jaasLoginRe
zookeeperkafka单独配置
最新发布
07-06
ZookeeperKafka是Apache开源项目中的两个重要组件,它们通常一起部署并协同工作,但也可以分开独立配置。 **Zookeeper**是一个分布式协调服务,主要用于存储和同步元数据,例如集群状态、节点信息和配置等。它不是必需品,但在Kafka中扮演着关键角色,因为Kafka依赖于ZooKeeper来进行分发配置和协调。 **Kafka**则是一个高吞吐量、低延迟的分布式消息队列系统,用于实时处理大量流式数据。配置Kafka主要包括以下几个方面: 1. **Brokers**: 主要是设置服务器列表,每个Broker都包含一个复制主题的数据分区。 2. **Topics**: 配置需要创建的主题及其相关的分区数、副本因子等属性。 3. **Producer Configuration**: 生产者发送数据到Kafka的设置,如序列化器、acks等。 4. **Consumer Configuration**: 消费者从Kafka消费数据的配置,包括消费者组、offset管理策略等。 独立配置ZookeeperKafka时,你需要分别对这两个服务进行网络配置、数据持久化设置以及必要的服务监控。比如,对于Zookeeper,你需要配置文件zoo.cfg;对于Kafka,则有server.properties和producer/consumer.properties等配置文件。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值