【Kafka】Kafka的复杂SASL用法

最新推荐文章于 2024-06-24 07:30:00 发布
最新推荐文章于 2024-06-24 07:30:00 发布
阅读量475 收藏 7
点赞数 8
文章标签: kafka 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/metaldong/article/details/135703544
版权

上一篇文章中介绍了Kafka的SASL配置和SSL配置,其中SASL我们是只配了一个地址,但是在很多大型公司中,往往会使用更复杂一点的配置,来完成内外网通信的部署。
本篇主要设计到以下内容:
1.listener name的使用方法
2.listener涉及内外网访问的配置

1.listener name配置说明

Kafka 支持PLAINTEXT,SSL,SASL_PLAINTEXT,``SASL_SSL四种安全协议(不区分大小写),且通过listeners配置,可以同时监听多个端口listeners配置项通过逗号,分割来指定多个listener。每个listener可以使用不同的安全协议。listeners中的每个listener配置格式为:

{LISTENER_NAME}://{hostname}:{port}

LISTENER_NAME通常是一个描述性名称,用于定义listener的目的。通常有两种常规用法:

1.1 客户端和Broker端使用不同Listener

例如,许多配置为客户端流量使用单独的listener,因此可能在配置中将相应的LISTENER_NAMECLIENT

listeners= CLIENT://localhost:9092,BROKER://:9093

每个listener使用的安全协议在配置项listener.security.protocol.map中指定。例如来自客户端的通信使用SSL,broker相互之间的通信使用PLIANTEXT,则配置如下

listener.security.protocol.map = CLIENT:SSL,BROKER:PLAINTEXT
# Broker之间的连接用 BROKER监听器
inter.broker.listener.name=BROKER

1.2 提供不同安全协议的Listener

如果每个listener单独使用不同的安全协议,则可以直接使用安全协议作为LISTENER_NAME。例如

listeners= SSL://localhost:9092,PLAINTEXT://localhost:9093
#以下两项都是默认配置
#inter.broker.listener.name=PLAINTEXT
#security.inter.broker.protocol=PLAINTEXT

在上述例子中,可以通过inter.broker.listener.name=PLAINTEXT来指定broker间的通信时使用的listener。但是该配置项并没有设置,因为inter.broker.listener.name未配置时会使用security.inter.broker.protocol来指定broker使用的listener,不过该配置项的默认值为PLAINTEXT,所以也没有进行配置。

1.3 关于ListenerName的建议

配置多个listener时,建议配置listenerLISTENER_NAME,可以明确的描述listener的作用。

2.listener涉及内外网访问的配置

2.1 Broker和客户端均在内网访问

当你的broker和客户端都在一个内部局域网的时候,所有的请求都是通过内部网络可达。只需要配置一个内网网址即可。

listeners=PLAINTEXT://内网ip:端口

2.2 Broker和客户端都可以进行外网访问

2.2.1 有外网网卡

这种场景比较少,当你的broker都有外网网卡的时候,所有请求都可以走外网抵达,可以进行如下配置即可:

listeners=PLAINTEXT://外网ip:端口

2.2.2 没有外网网卡

很多时候,我们都不会直接提供外网网卡而是通过其他入口转发到内部,比如你的客户端需要从外网访问broker时,可以进行如下配置:

listeners=PLAINTEXT://内网ip:端口1
advertised.listeners=PLAINTEXT://外网ip:端口1

可以使用相同的端口号,advertised.listeners是提供给客户端拿到的地址,当客户端从外网往返该端口时,请求会被转发到内部网络的地址中去。

2.3 Broker和客户端的访问同时有内外网

上面的配置我们可以实现内外网的访问,但是在内外网我们很多时候希望使用不同的安全策略,这种时候前面的方式就很难实现。我们可以将lisenerName划分为内网和外网,选取不同的安全策略。

2.3.1 有外网网卡

当我们的机器本身有外网网卡的情况下,我们可以如下配置:

listener.security.protocol.map=INTERNAL:PLAINTEXT,EXTERNAL:PLAINTEXT
listeners=INTERNAL://内网ip:端口1,EXTERNAL://外网ip:端口2
advertised.listeners=INTERNAL://内网ip:端口1,EXTERNAL://外网ip:端口2
inter.broker.listener.name=INTERNAL

2.3.2 没有外网网卡

没有外网网卡的情况,我们就需要配置将外网的ip转发到内网:

listener.security.protocol.map=INTERNAL:PLAINTEXT,EXTERNAL:PLAINTEXT
listeners=INTERNAL://内网ip:端口1,EXTERNAL://内网ip2:端口2
advertised.listeners=INTERNAL://内网ip:端口1,EXTERNAL://外网ip:端口2
inter.broker.listener.name=INTERNAL
lakutony
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:...
Kafka开启SASL认证
萌兔兔MMQ!!
09-22 4564
;Client:用于broker和zookeeper之间的认证,对应zk_server_jass.conf的【user_admin=“admin”】配置KafkaServer:集群,broker之间用节点的username,password进行通讯KafkaServer:kafka客户端(producer,consumer)连接broker时,用该配置下user_[username]=[password]结构配置的账号密码登录Kafka-Producer配置JAAS。
kafka安全认证与授权(SASL/PLAIN)
u011618288的博客
02-09 8241
快速搭建kafka SASL+ACL实现安全认证、授权 kafka SASL/PLAIN
(一)Kafka 安全之使用 SASL 进行身份验证 —— JAAS 配置、SASL 配置
最新发布
流华追梦的专栏
06-24 1420
SASL 是用来认证 C/S 模式也就是服务器与客户端的一种认证机制,全称 Simple Authentication and Security Layer。这就是一种凭据认证方式。通俗的话来讲就是让服务器知道连接进来的客户端的身份是谁。比如凭借阅证到图书馆借书,而每个借阅证都有独立的 ID,通过 ID 定位谁是谁,而不是特别关心谁拿到了借阅证,只需要正确的借阅证即可。所以 SASL 就是服务器存储了客户端的身份证书和如何校验密码是否正确,而且仅在于身份认证过程,认证完毕后即可进行相关的服务操作。
安装 kafka 配置 sasl 认证
weixin_41565755的博客
01-23 6541
安装 kafka 配置 sasl 认证
kafka安装部署-前面部分
wt6002的博客
09-03 331
step 1: 下载代码 你可以登录Apache kafka 官方下载。http://kafka.apache.org/downloads.html 下载和自己系统匹配的 Step 2: 启动服务 运行kafka需要使用Zookeeper,所以你需要先启动Zookeeper,如果你没有Zookeeper,你可以使用kafka自带打包和配置好的Zookeeper(PS:在kafka包里)。 在和kafka一个目录bin文件夹下面; //这是前台启动,启动以后,当前就无法进行其他操作(不推.
kafka集群搭建、SASL配置
qq_34324703的博客
08-25 1872
9 在/tmp/zookeeper/下 新建 myid文件,内容填写节点数字 0 其他节点分别填写 1 和2。10 在kafka/conf/下新增 kafka_server_jaas.conf。8 新建/tmp/kafka-logs目录 和 /tmp/zookeeper目录。11 配置 consumer.properties。12 配置 producer.properties。1 安装kafka需要安装JDK。7 配置zookeeper。18 kafka命令汇总。17 修改bin下命令。
kafka-kraft SASL
01-08
生成JKS文件
使用sasl的kafka集群的搭建使用
03-15
搭建基于sasl的安全认证的kafka集群,并配置acl,使用户能分权分域接受发送消息
huaweicloudDocs#kafka#创建SASL_SSL用户1
07-25
创建SASL_SSL用户Kafka专享版实例开启SASL_SSL后,参考本章节创建SASL_SSL用户,并在TopicSASL_SSL用户设置不同的权限,以
KafKa 开启 SASL 验证
41981DC的博客
08-12 2808
kafka 配置 sasl 权限认证
Kafka部署全攻略——基于SSL的SASL_SCRAM安全认证实现
bbsxb520的博客
06-28 525
基于SSL的SASL_SCRAM安全认证实现
Kafka安全认证机制详解之SASL_PLAIN
空城的博客
01-02 3030
上面配置是新增了两个用户,admin和tly,这两个用户都是普通用户,KafkaServer的username、password配置的用户和密码,是用来broker和broker连接认证。在本例,admin是代理broker间通信的用户。这个时候使用auth.conf已经不能创建topic了,使用admin.conf可以创建,因为admin账号和配置的超级管理员一致;使用权限配置并且超级用户是admin,这个用户和我们上面配置的列表的admin用户相互映射,每个机器都需要配置然后重启所有节点。
Kafka SASL ACL SSL 到底分别代表什么意思
青冬的博客
05-26 2884
看各类帖子都没能指出这些到底是什么意思,他们是冲突的,还是互相作用的,还是隔离的?本文讲解 `kafka` `SASL`、`ACL`、`SSL` 他们分别的作用以及含义。
Kafka SASL_SSL双重认证
weixin_44783506的博客
02-05 3765
kafka提供了多种安全认证机制,主要分为SASL和SSL两大类。在 Kafka 启用 SASL_SSL 安全协议时,SASL 用于客户端和服务器之间的身份验证,SSL 则用于加密和保护数据的传输。不仅提供身份验证,还提供加密和数据保护的功能。因工作需要,需要在测试环境搭建一套基于SASL_SSL协议的kafka环境。坑比较多,经过两天的研究终于搞定了,特在此记录下。
kafka内外网配置
窦再兴的博客
04-06 2809
看此文档,需要首先会安装kafka集群,zookeeper集群;熟悉组件命令; 三台kafka集群(设置加密通道): 192.168.1.86:9092 外网IP:19092 192.168.1.87:9092 外网IP:19093 192.168.1.88:9092 外网IP:19094 修改kafka server.properties 1. 修改86 kafka 内外网配置 listeners=INTERNAL://0.0.0.0:9092,EXT...
全面: kafka 使用 SASL/Kerberos,SASL/PLAIN认证,SASL/SCRAM 认证
紫蝶侠的博客
12-28 820
kafka使用SASL认证
windows安装kafka配置SASL-PLAIN安全认证
peter_qyq的博客
08-03 1159
confluent是平台化的工具,封装了kafka,让我们可以更方便的安装和使用监控kafka,作用类似于CDH对于Hadoop。confluent是由LinkedIn开发出的团队成员,基于这项技术创立了新公司ConfluentConfluent的产品也是围绕着Kafka做的。
kafka.kerberos.sasl.mechanism=GSSAPI
07-13
"kafka.kerberos.sasl.mechanism=GSSAPI"是Kafka的一项配置属性,用于指定Kafka与Kerberos集成时使用的SASL机制。 SASL(Simple Authentication and Security Layer)是一种通用的认证和安全层协议,可以与多种安全机制集成,包括Kerberos。GSSAPI(Generic Security Services Application Program Interface)是一个通用的安全服务接口,提供了与多种安全机制进行交互的能力。 在Kafka启用Kerberos认证时,需要配置相关的安全属性,其包括"kafka.kerberos.sasl.mechanism"。这个属性设置为"GSSAPI",表示Kafka与Kerberos集成时使用GSSAPI作为SASL机制。 GSSAPI基于令牌传递的方式进行认证,它使用安全凭证(Ticket-Granting Ticket)来验证客户端身份,并使用凭证来进行加密和解密操作。GSSAPI提供了强大的身份验证和安全授权机制,适用于许多安全场景。 需要注意的是,在启用Kafka与Kerberos集成时,需要正确配置Kerberos相关的属性(如krb5.conf、keytab文件等),以确保Kafka能够正常进行Kerberos认证和授权。 总结起来,"kafka.kerberos.sasl.mechanism=GSSAPI"配置属性指定了Kafka与Kerberos集成时使用GSSAPI作为SASL机制。这是一种通用的安全服务接口,提供了与Kerberos等安全机制进行交互的能力。在使用该配置时,需要正确配置Kerberos相关的属性,以确保Kafka能够成功进行Kerberos认证和授权。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值