pulsar2.9.2开启jwt认证(基于k8s)

于 2024-06-13 13:14:13 发布
阅读量687 收藏 14
点赞数 7
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59685732/article/details/139633539
版权

1、进入目前运行的broker容器,执行如下命令,创建private.key和public.key,放在conf文件夹下

bin/pulsar tokens create-key-pair --output-private-key ./conf/jwt-private.key --output-public-key ./conf/jwt-public.key

2、使用私钥来创建一个管理员用户的Token,保存好

  bin/pulsar tokens create --private-key ./conf/jwt-private.key --subject admin

        使用私钥来创建一个普通用户的Token: (最后的1y代表一年的有效期,不设置为长期)

bin/pulsar tokens create --private-key ./conf/jwt-private.key --subject test-user --expiry-time 1y

3、将private.key和public.key存到宿主机上

docker cp 90818242bcdb:/pulsar/conf/jwt-private.key /secret/jwt-private.key
docker cp 90818242bcdb:/pulsar/conf/jwt-public.key /secret/jwt-public.key

4、将public.key新建secret

# 编码 jwt-public.key 文件为 Base64(如果还未编码)  
ENCODED_KEY=$(base64 /secret/jwt-public.key | tr -d '\n')  
  
# 使用 kubectl 创建一个 Secret  
kubectl create secret generic pulsar-jwt-public-key-secret --from-literal=jwt-public-key=$ENCODED_KEY -n pulsar

5、修改configMap中的认证配置 pulsar-broker中data新增

        Proxy 对于 Broker 来说也是一个客户端,他是进行了前置的校验等操作,转发给broker

        此处需要配置proxyRoles的角色,可以设置为超级管理员,也可以单独配置权限。

        配置上之后,broker对于proxy转发过来的数据,需要鉴定client的token,也需要鉴定proxy的token。

  authenticationEnabled: 'true'
  authorizationEnabled: 'true'
  authenticationRefreshCheckSeconds: 60
  authenticationProviders: 'org.apache.pulsar.broker.authentication.AuthenticationProviderToken'
  brokerClientAuthenticationPlugin: 'org.apache.pulsar.client.impl.auth.AuthenticationToken'
  brokerClientAuthenticationParameters: '{"token":"eyJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJhZG1pbiJ9.UUlFnlvhcPHMWPNAebzWwt6R71MxKgUIKZEZA3WeJ7d74AY2O5vFit6CcF4QyMyJri8EAzLDidkrkxmRwJ0egzqmEZLYDtKtAwBSKBrucoOzsZ-gTu_escnt_Qtzpa7QGcE2KX7wpW3-2BuolBrnmaipQqoZrq54Zlse2qA9bJgObJmXAMvIAO6tmZEHqtsWCzZV1jfXjiHE8SlESeVQ8TpvoyUzD6R2Bx36LEGRACNYxs_k0E2FO0cSflWB3sCS7mOE8ksqstNLdiN54ECfIk3AlQ0ahkvRk8b4Gweq0Vv2E87NBIFVYpYKyDFiUTlVcRaCr0RQk96J6T2qVsoTfg"}'
  authenticateOriginalAuthData: 'true'
  superUserRoles: 'admin,proxy-role'
  tokenPublicKey: '/pulsar/secret/jwt-public.key'
  proxyRoles: proxy-role

6、修改configMap  pulsar-proxy的配置(在使用到proxy的集群中,认证必须在proxy也配置)

注意forwardAuthorizationCredentials必须设置为true,否则proxy则不会将clinet的token转发给broker,broker会报错javax.naming.AuthenticationException: No anonymous role, and no authentication provider configured。

其次brokerClientAuthenticationParameters的token需要配置为proxy-role的token

  authenticationEnabled: 'true'
  authenticationProviders: org.apache.pulsar.broker.authentication.AuthenticationProviderToken
  authenticationRefreshCheckSeconds: '60'
  authorizationEnabled: 'true'
  brokerClientAuthenticationParameters: >-
    {"token":"eyJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJwcm94eS1yb2xlIn0.Vg7e_ahDTGCoQRKKSBGTdRhND8xI0aKG05Q1KVfETD_-rWQjoRGP_0fuxmBqFmMPNpXXKGg3-q8lbVnav7sJIwEJ-7CfsYfJiOd4f1KoP6xqWYIrkYh80Ktc0k9ZeO4zpA9uIJvdrJVzEghiS-BHXmkS7jqM35GlZM4-PxZFCqHQxgt2AlLl18ZJSYNFYfpbl7ZmI2XpAHdaeRth70JPW_hD2xE4uy8vyTpPtxB0N8kKkBhsmE8HGTo5drRyQugCaGto6WApaRrnQiu5JVeGYCAk7kFLnXO7Gt8H-r6Zv_I02gLNs31Jcfw54cADNNUx3qIhMZlIakszf0cRWx3_FQ"}
  brokerClientAuthenticationPlugin: org.apache.pulsar.client.impl.auth.AuthenticationToken
  brokerServiceURL: 'pulsar://pulsar-broker:6650'
  brokerWebServiceURL: 'http://pulsar-broker:8080'
  clusterName: pulsar
  configurationStoreServers: 'pulsar-zookeeper:2181'
  forwardAuthorizationCredentials: 'true'
  httpNumThreads: '8'
  servicePort: '6650'
  statusFilePath: /pulsar/status
  tokenPublicKey: /pulsar/secret/jwt-public.key
  webServicePort: '80'
  zookeeperServers: 'pulsar-zookeeper:2181'

7、修改pulsar-broker的statefulset设置,将secret映射至/pulsar/secret/jwt-public.key

      volumes:
        - name: pulsar-jwt-public-key
          secret:
            secretName: pulsar-jwt-public-key-secret
            items:
              - key: jwt-public-key
                path: "jwt-public-key"

      containers:
          volumeMounts:
            - name: pulsar-jwt-public-key
              mountPath: "/pulsar/secret/jwt-public.key.base64"
              subPath: "jwt-public-key"
              readOnly: true

          #再args里将base64文件解码
  base64 -d /pulsar/secret/jwt-public.key.base64 > /pulsar/secret/jwt-public.key;

8、同理,修改pulsar-proxy的statefulset的配置,保证存到容器中的public.key相同

9、在pulsar-toolset中使用pulsar-admin连接,需要配置conf/cluster.conf的配置

        配置成超级管理员的token

authPlugin=org.apache.pulsar.client.impl.auth.AuthenticationToken

  authParams=token:eyJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJhZG1pbiJ9.UUlFnlvhcPHMWPNAebzWwt6R71MxKgUIKZEZA3WeJ7d74AY2O5vFit6CcF4QyMyJri8EAzLDidkrkxmRwJ0egzqmEZLYDtKtAwBSKBrucoOzsZ-gTu_escnt_Qtzpa7QGcE2KX7wpW3-2BuolBrnmaipQqoZrq54Zlse2qA9bJgObJmXAMvIAO6tmZEHqtsWCzZV1jfXjiHE8SlESeVQ8TpvoyUzD6R2Bx36LEGRACNYxs_k0E2FO0cSflWB3sCS7mOE8ksqstNLdiN54ECfIk3AlQ0ahkvRk8b4Gweq0Vv2E87NBIFVYpYKyDFiUTlVcRaCr0RQk96J6T2qVsoTfg

10、使用java连接

        在3.0.0之后,这里的连接token需要与proxy-role不同

PulsarClient pulsarClient = PulsarClient.builder()
                .serviceUrl("pulsar://10.0.0.27:30980")
                .authentication(AuthenticationFactory.token("eyJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJhZG1pbiJ9.UUlFnlvhcPHMWPNAebzWwt6R71MxKgUIKZEZA3WeJ7d74AY2O5vFit6CcF4QyMyJri8EAzLDidkrkxmRwJ0egzqmEZLYDtKtAwBSKBrucoOzsZ-gTu_escnt_Qtzpa7QGcE2KX7wpW3-2BuolBrnmaipQqoZrq54Zlse2qA9bJgObJmXAMvIAO6tmZEHqtsWCzZV1jfXjiHE8SlESeVQ8TpvoyUzD6R2Bx36LEGRACNYxs_k0E2FO0cSflWB3sCS7mOE8ksqstNLdiN54ECfIk3AlQ0ahkvRk8b4Gweq0Vv2E87NBIFVYpYKyDFiUTlVcRaCr0RQk96J6T2qVsoTfg"))
                .build();

参考文章

Apache Pulsar学习笔记12: 开启基于JWT的身份认证_pulsar的role-CSDN博客

[Pulsar] 使用Proxy进行认证和鉴权_Apache Pulsar_Zike Yang_InfoQ写作社区

升级到 Pulsar3.0 后深入了解 JWT 鉴权-腾讯云开发者社区-腾讯云 (tencent.com)

Qino_
关注
  • 7
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Pulsar 中使用 JWT 进行身份认证
傅腾的专栏
06-28 1428
Pulsar 使用标准的 库支持使用 JWT 做身份认证,同时也提供了 JWT 客户端,可以方便的制作密钥和生成 token。JSON Web Token(RFC-7519)是在 Web 应用中常用的一种认证方案。形式上这个 token 只是一个 JSON 字符串,并做了 base64url 编码和签名。一个 JWT 的 token 字符串包含三个部分,例如:xxxxx.yyyyy.zzzzz(通过点来分隔): token 内容的查看和验证 我们可以去 https://jwt.io/ 查看 Token 的
K8s 中部署企业级发布订阅消息系统 Apache Pulsar
云原生实验室
01-14 2224
时间过得比较久了,在开始今天的学习之前先回顾一下前面已经学习的 13 节的内容。阶段复习Pulsar 是一个支持多租户的、高性能的、分布式的 Pub-Sub 消息系统。了解 Pulsar ...
kuberetes下部署pulsar消息队
最新发布
sinat_31632437的博客
01-04 1350
快速部署pulsar
pulsar kop在k8s部署实践
FizzX1的博客
08-24 1047
pulsar kop在k8s部署实践
k8s集群部署pulsar(standalone)
weixin_45112997的博客
06-20 1299
k8s集群部署pulsar(standalone)
中子:基于C nifs的Apache Pulsar客户端
03-04
一个使用其C / C ++客户端(2.6.0)和nifs的简单的Apache pulsar客户端。 使用了persistent_term API,因此这需要OTP 21+,因此需要1.10+。 警告ack_all无法与shared订阅一起正常使用。 安装 def deps do [ { ...
function-stream:基于Apache Pulsar的事件流开发平台
08-03
函数流函数流是一个基于Apache Pulsar的分布式事件驱动应用开发平台。 目标是促进用户开发流媒体应用程序。 Function Stream 基于 pulsar 函数提供的现有特性,为分布式事件驱动应用的开发提供了更多便利。 用户可以...
基于 Apache Pulsar 和 Apache Flink 进行批流一体的弹性数据处理.pdf
12-08
Apache Pulsar 和 Apache Flink 是两个在大数据处理领域中广泛应用的开源项目。Apache Pulsar 是一个先进的、分布式的消息传递系统,而 Apache Flink 是一个强大的流处理和批处理引擎。这篇文档讨论了如何结合这两个...
Apache Pulsar管理工具Pulsar Manager的介绍和使用
11-15
Apache Pulsar 是 Apache 软件基金会顶级项目,是下一代云原生分布式消息流平台,集消息、存储、轻量化函数式计算为一体,采用计算与存储分离架构设计,支持多租户、持久化存储、多机房跨区域数据复制,具有强一致性...
pulsar-inspector-connector:用于Pulsar功能的调试工具Pulsar连接
04-15
脉冲星检查器连接器 安装Pulsar k8s集群 在Linux上,可以使用Microk8。 Minikube是另一个受欢迎的选择 在Ubuntu 20.10上安装Microk8s sudo snap install --classic microk8s sudo usermod -a -G microk8s $USER # logout & login to make microk8s group effective # this was required to get microk8s traffic to work, might be requires after every reboot sudo iptables -P FORWARD ACCEPT # install microk8s addons microk8s enable host-access microk8s ena
pulsar在docker-compose中运行及超级管理API使用
04-04 2094
pulsar在docker-compose中运行及超级管理API使用. pulsar的admin-api调用. 包含功能: 创建tenant,namespace,token,role,permission 见 https://github.com/windsome/ms-pulsar-admin 项目目标 创建租户, 及租户相关的namespace,role,token,permission 删除租户, 删除所有相关. tenant/namespace/topic组织结构 消息由msgpush用户发出
Pulsar集群和PulsarManager添加JWT认证
铁打的键盘也能敲出优雅的生活
07-20 1278
Pulsar集群和PulsarManager添加JWT认证
pulsar-在kubernetes中部署pulsar
kozazyh的专栏
09-18 2338
参考:https://pulsar.apache.org/docs/en/deploy-kubernetes/
初试Pulsar---私有云离线安装部署Pulsar
jona9595的博客
08-25 1442
前一段时间了解了Pulsar这个开源项目,感觉是一个替换kafka的好东西!它具体的特性各位自行搜索吧! 为了自己项目尝试使用Pulsar,我决定进行部署实验。但是,目前网上看到的都是在公网上公有云部署Pulsar的说明,没有人在私有Kubernetes集群离线部署Pulsar。 一般的大型企业公司都有自己的私有云,禁止连接外网使用,为此我重新查看了官方文档,终于搞定了在私有云部署Pulsar集群。 本文章将指导使用 Helm 将 Apache Pulsar 快速地安装及运行在私有部署的 Kubernet.
Pulsar知识整理
zidongxiangxi的博客
11-25 3269
关键特性 Pulsar 的单个实例原生支持多个集群,可跨机房在集群间无缝地完成消息复制。 极低的发布延迟和端到端延迟。 可无缝扩展到超过一百万个 topic。 简单的客户端 API,支持 Java、Go、Python 和 C++。 支持多种 topic 订阅模式(独占订阅、共享订阅、故障转移订阅)。 通过 Apache BookKeeper 提供的持久化消息存储机制保证消息传递 。 基于 Pulsar Functions 的 serverless connector 框架 Pu
Pulsar初入门(一)
xiaoxin1024的博客
07-06 4270
目录 简介: 架构: 一、Messaging Concepts(消息概念) Producer 模式: 压缩: Batching Consumer 模式: client: ack 死信主题: topics: namespace 订阅模式: 独占: 故障转移: 共享: Key_shared 多topic订阅 分区主题: 路由模式: 订购保证: mes...
下一代分布式消息队列Apache Pulsar从入门到实现
Hadoop技术博文
07-29 8741
本文来自:https://github.com/aCoder2013/blog/issues/23(点击下面阅读原文即可进入)Pulsar简介Apache Pulsar是...
移动云AMQP消息队列设计:基于Pulsar的实现与应用
"基于Pulsar架构的移动云AMQP消息队列设计与应用" 本文主要探讨了中国移动云能力中心如何利用Apache Pulsar构建基于Pulsar架构的移动云AMQP消息队列,以满足客户需求和提升服务质量。Apache Pulsar是一个强大的云...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值