【Kafka集群】Kafka针对用户做ACL权限控制

已于 2023-05-22 15:04:42 修改
阅读量3.7k 收藏 2
点赞数 1
分类专栏: 消息中间件 文章标签: kafka java 大数据
于 2023-05-18 11:15:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luomao2012/article/details/130742338
版权

在 Kafka 3.3.1 中,可以使用 ACL(Access Control List)控制用户对 topic 的访问权限。以下是一些基本示例:

  1. 创建一个名为 my-topic 的 topic

在命令行中执行以下命令创建一个名为 my-topic 的 topic:

kafka-topics.sh --create --zookeeper localhost:2181 --replication-factor 1 --partitions 1 --topic my-topic
  1. 设置 ACL

a. 在文件system-acls.properties或配置文件KafkaServer或者其他支持的外部ACL模块中设置ACLs规则,例如,我们可以通过修改/config/server.properties 配置文件来添加全局的访问控制规则:

authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer 
allow.everyone.if.no.acl.found=true 

#定义默认ACL规则,允许所有人都可以对topic进行读写操作,这很不安全,请不要在生产环境中使用 
super.users=User:admin

其中 SimpleAclAuthorizerr 是一种内置的 ACL 校验器,User:admin 是一组超级管理员。如果没有在配置文件中指定 super.users,则只有在 Zookeeper 上配置了访问控制时才会应用 ACL 规则。

b. 为特定用户或组添加 ACL 规则

假设我们要给组开发者(developers)授予对 my-topic 的读写权限,我们可以通过以下命令添加 ACL 规则:

kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --add \
--allow-principal User:developers --operation Read --operation Write --topic my-topic

现在,开发人员组可以对该 topic 进行读写操作。如果你需要撤销授权(删除 ACL),则可以使用以下命令:

kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --remove \
--allow-principal User:developers --operation Read --operation Write --topic my-topic
  1. 验证 ACL 规则

验证ACL规则的最简单方法是尝试读取或写入某个受保护的 topic。例如,在 java 中可以使用 KafkaProducerKafkaConsumer API 来测试:

Properties props = new Properties();
props.put("bootstrap.servers", "localhost:9092");
props.put("group.id", "test-group");
props.put("key.serializer", "org.apache.kafka.common.serialization.StringSerializer");
props.put("value.serializer", "org.apache.kafka.common.serialization.StringSerializer");

// 创建 Kafka 生产者对象并发送消息
KafkaProducer<String, String> producer = new KafkaProducer<>(props);
for (int i = 0; i < 100; i++) {
    Future<RecordMetadata> result = producer.send(new ProducerRecord<>("my-topic", Integer.toString(i), Integer.toString(i)));
    System.out.println(result.get().toString());
}
producer.close();

// 创建 Kafka 消费者对象并订阅 Topic
KafkaConsumer<String, String> consumer = new KafkaConsumer<>(props);
TopicPartition tp = new TopicPartition("my-topic", 0);
consumer.assign(Arrays.asList(tp));
consumer.seekToBeginning(Collections.singletonList(tp));

// 读取消息
while (true) {
    ConsumerRecords<String, String> records = consumer.poll(Duration.ofMillis(100));
    for (ConsumerRecord<String, String> record : records) {
        System.out.printf("offset = %d, key = %s, value = %s%n", record.offset(), record.key(), record.value());
    }
}

参考资料

Kafka系列(五)、开启SASL安全认证以及配置ACL权限控制_sasl_mechanism_王义凯_Rick的博客-CSDN博客

kafka权限控制 - 简书

Kafka SASL/SCRAM+ACL实现动态创建用户及权限控制

Kafka 权限管理实战(最全整理)

Kafka基于Kraft下的权限控制_kafka kraft sasl_songjxin的博客-CSDN博客

【kafka】SSL和ACL的配置 - 知乎

深入浅出 SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)

fabric kafka配置SSL+ACL - 简书

kafka+zookeeper集群模式配置SSL认证 – 俗话曰的博客

Kafka 如何给集群配置Scram账户认证_Smallc0de的博客-CSDN博客

后端研发Marion
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kafka部署全攻略——认证机制及ACL权限控制简介
bbsxb520的博客
06-20 227
KAFKA的认证机制介绍,和ACL常用操作举例
使用sasl的kafka集群的搭建使用
03-15
搭建基于sasl的安全认证的kafka集群,并配置acl,使用户能分权分域接受发送消息
kafka topic和topic权限操作
qq_17328759的博客
03-27 8024
topic创建及权限配置
Kafka SASL认证与ACL配置
u010100623的博客
04-30 683
SASL/PLAIN,这种方式其实就是一个的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,等等!建议大家用SASL/SCRAM的方式 ,这种方式 用户名/密码是存储在zookeeper中,能够。该种认证方式还会使用sha256或sha512对,安全性相对会高一些。本文主要介绍SASL/PLAIN。
kafka Acl权限管理
weixin_40496191的博客
04-16 5659
文章目录一、背景二、操作指令三、ACL权限整合springboot四、Acl整合java代码 一、背景 实现对主题的订阅控制,动态分配客户端的读写权限。 二、操作指令 创建writer用户,密码是writer-pwd: ./kafka-configs.sh --zookeeper 192.168.248.100:2181 --alter --add-config 'SCRAM-SHA-256=[iterations=8192,password=writer-pwd],SCRAM-SHA-512=[pas
Kafka SASL安全认证机制与ACL用户权限控制
10-08 1671
自0.9.0.0.版本引入Security之后,Kafka一直在完善security的功能,以提高kafka集群的安全性。当前Kafka security主要包含3大功能:认证(authentication)、信道加密(encryption)和授权(authorization)。
Kafka SASL/SCRAM+ACL实现动态创建用户权限控制
FaN()
01-26 9301
文章目录SASL_SCRAM+ACL实现动态创建用户权限控制使用SASL / SCRAM进行身份验证1. 创建SCRAM Credentials创建broker建通信用户(或称超级用户)创建客户端用户fanboshi查看SCRAM证书删除SCRAM证书2. 配置Kafka Brokers客户端配置kafka-console-producerkafka-console-consumerACL配置授...
Kafka安全认证授权配置
qq_41203483的博客
11-17 7850
Kafka安全认证授权配置一 概述1.1 Kafka权限分类1.2 实现方式二 安全认证授权配置2.1 zookeeper配置2.1.1 引入kafka依赖包2.1.2修改ZK配置文件2.1.3 创建jaas文件2.1.4 修改zkEnv.sh2.1.5 启动zk2.2 Kafka配置2.2.1 创建超级用户2.2.2 创建jaas文件2.2.3 修改kafka配置文件2.2.4启动kafka三 测试连接3.1 生产者测试3.2 消费者测试3.3 beats工具连接3.4 logstash消费 一 概述
一键搭建kafka集群支持SASL安全认证以及配置ACL权限,支持多IP和公网IP配置,支持界面化监控和操作以及最细粒度的授权
10-12
一键搭建kafka集群支持开启SASL安全认证以及配置ACL权限控制,支持多IP和公网IP配置,支持集群、topic、消费组、消息、限流、acl、副本表盘监控显示创建topic和用户以及最细粒度的授权。 非常简单的使用,只需要...
Spring Boot集群管理工具KafkaAdminClient使用方法解析
08-24
KafkaAdminClient 是 Spring Boot 集群管理工具中的一部分,主要用于管理和检视 Kafka 集群中的Topic、Broker、ACL 等对象。下面将详细介绍 KafkaAdminClient 的使用方法和原理。 创建 Topic KafkaAdminClient ...
kafka-gitops::rocket:管理Apache Kafka主题并通过所需的状态文件生成ACL
03-21
Kafka GitOps是一个Apache Kafka资源编码工具,它使您可以从版本控制代码中自动管理Apache Kafka主题和ACL。它使您可以通过使用所需的状态文件来定义主题和服务,这与Terraform和其他作为代码的基础结构工具非常相似...
kafkaer:基于模板的Kafka topicclusterACL管理
02-05
当前功能: 建立主题更新现有主题的配置和分区更新特定代理的配置更新整个Kafka集群的配置创建/更新访问控制列表(ACL) 删除工具创建的所有主题删除主题时,从架构注册表中删除所有架构两种使用方式:可执行罐从...
Kafka部署全攻略——基于SASL_SCRAM认证的ACL权限控制
bbsxb520的博客
06-28 269
基于SASL_SCRAM认证的ACL权限控制
Kafka 集群配置SASL+ACL
qq_39458487的博客
03-28 4943
Kafka 集群配置SASL+ACL 一、简介 在Kafka0.9版本之前,Kafka集群时没有安全机制的。Kafka Client应用可以通过连接Zookeeper地址,例如zk1:2181:zk2:2181,zk3:2181等。来获取存储在Zookeeper中的Kafka元数据信息。拿到Kafka Broker地址后,连接到Kafka集群,就可以操作集群上的所有主题了。由于没有权限控制集群核心的业务主题时存在风险的。 本文主要使用SASL+ACL 二、技术关键点 配置文件 修改broker启动所需
Zookeeper(Kafka内置)单独添加SASL认证及ACL
Sayai的专栏
07-16 1145
通常,我们会给Kafka增加SASL以加强对kafka的安全访问,以满足漏扫对于kafka的访问安全漏扫要求。但漏扫的时候也会同样会对Kafka集群中的zk集群进行扫描。所以zk集群同样涉及到要配置kafka的安全认证。
kafka常用命令总结
yiweiyi329的博客
09-19 1335
1、返回topic列表 ./kafka-topics.sh --list --zookeeper localhost:2181 2、创建topic ./kafka-topics.sh --zookeeper localhost:2181 --create --topic kafka_test --partitions 60 --replication-factor 3 3、查看指定to...
解决Kafka3.4版本授权认证失效的问题
c2978663496的博客
09-01 570
Kafka版本:3.4.1授权认证方式:SASL Plaintext。
记录一个flink跑kafka connector遇到的问题
最新发布
yuanlaishidahuaa的博客
06-16 462
将报错粘到网上,说是我分区数据坏了,kafka解析不了,所以把对应的这个topicA删除,重建一次,再往里写数据就好了。上面這幾個是bug中我找的关于问题的关键点。
kafka 开通acl ssl
07-25
你可以通过以下步骤来为 Kafka 开通 ACL(访问控制列表)和 SSL: 1. 生成 SSL 证书和私钥: - 使用 OpenSSL 工具生成自签名证书和私钥。 - 或者,您可以使用第三方证书颁发机构(CA)签署的证书和私钥。 2. 配置 Kafka 服务器: - 在 Kafka 服务器上配置 SSL 加密,包括指定 SSL 证书和私钥的路径。 - 启用 SSL 监听器,并指定 SSL 监听器的端口。 3. 配置 KafkaACL: - 创建一个 ACL 文件,其中包含您想要为 Kafka 主题、分区或其他资源设置的权限规则。 - 将 ACL 文件配置为 Kafka 服务器的一部分,以便它可以加载并应用这些权限规则。 4. 重启 Kafka 服务器: - 重新启动 Kafka 服务器以加载 SSL 配置和 ACL 配置。 完成上述步骤后,您的 Kafka 集群将使用 SSL 进行安全通信,并根据 ACL 配置来控制访问权限。请注意,这只是一个基本的概述,实际的配置步骤可能因您的环境和需求而有所不同。您可能需要参考 Kafka 和您使用的 SSL 工具的文档以获取更详细的指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值