Ambari下开启Kerberos使用kafka对接OGG数据

最新推荐文章于 2023-03-27 10:28:51 发布
最新推荐文章于 2023-03-27 10:28:51 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: 大数据 文章标签: Ambari kafka kerberos OracleGoldenGate
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27516311/article/details/88239669
版权

软件安装环境

组件版本
源端OGG12.3.0.1.4
目标端OGG12.3.0.1.2
AmbariHDP-2.6.4.0
Kerberos1.10.3-10
kafka0.10.1
zookeeper3.4.6

一. Ambari下开启Kerberos使用kafka

一般对于新加入分布式系统的组件开启Kerberos只需要经过3步:1.生成用户对应的keytab文件;2.编写指定keytab文件位置和登录用户的配置文件jaas.conf;3.在组件启动时加上JVM参数,用于告诉虚拟机采取的认证策略和jaas.conf的文件路径;

1. 创建Kerberos用户和keytab文件

在Ambari下安装kafka和zookeeper后会自动生成keytab文件,访问kafka和zookeeper还需要创建一个客户端对应的keytab文件。
在IPA机器上用以下命令生成客户端keytab文件

[root@freeipa keytabs]#ipa user-add kafkauser@COM
[root@freeipa keytabs]#kadmin.local
xst -norandkey -k /etc/security/keytabs/clientkafka.service.keytab kafkauser@COM
xst /etc/security/keytabs/clientkafka.service.keytab kafkauser@COM
xst -norandkey -k /etc/security/keytabs/clientkafka.service.keytab kafkauser@COM

将生成的keytab文件拷贝到各个主机的/etc/security/keytabs/文件夹下

2. 修改jaas文件(在Ambari中kafka配置项修改)

在Ambari环境下开启Kerberos后会自动在JVM参数中加入配置,所以只需要修改jaas.conf文件即可。
修改kafka_jaas.conf文件

KafkaServer {
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
keyTab="{{kafka_keytab_path}}"
storeKey=true
useTicketCache=false
serviceName="{{kafka_bare_jaas_principal}}"
principal="{{kafka_jaas_principal}}";
};
Client {
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
keyTab="{{kafka_keytab_path}}"
storeKey=true
useTicketCache=false
serviceName="zookeeper"
principal="{{kafka_jaas_principal}}";
};

修改kafka_client_jaas.conf文件

KafkaClient {
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
storeKey=true
client=true
serviceName="kafka"
keyTab="/etc/security/keytabs/clientkafka.service.keytab"
principal="kafkauser@COM";
};

3. ACL授权

kafka采用了ACL授权机制,对单独的用户赋予细粒度的topic操作权限,用以保证消息的安全性。Ambari在开启Kerberos后会默认打开kafka的ACL授权。

用户授权

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=dc-server07.com:2181,dc-server11.com:2181,dc-server12.com:2181 --add --allow-principal User:kafkauser --operation All --topic test

生产者ACL授权

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=dc-server07.com:2181,dc-server11.com:2181,dc-server12.com:2181 --allow-principal User:kafkauser --producer --topic=*  --add

消费者ACL授权

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=dc-server07.com:2181,dc-server11.com:2181,dc-server12.com:2181 --allow-principal User:kafkauser --consumer --topic=* --group=* --add

4. 命令行测试kafka

Ambari环境下开启Kerberos使用生产者消费者命令行跟普通环境下不同,需要在最后加上–security-protocol PLAINTEXTSASL

Ambari下kafka使用生产者命令行

bin/kafka-console-producer.sh --broker-list dc-server11:6667,dc-server07:6667,dc-server05:6667 --topic test --security-protocol PLAINTEXTSASL

Ambari下kafka使用消费者命令行

bin/kafka-console-consumer.sh --bootstrap-server dc-server11:6667,dc-server07:6667,dc-server05:6667 --topic test --security-protocol PLAINTEXTSASL

5. 客户端Java代码示例

import org.apache.kafka.clients.consumer.ConsumerRecord;
import org.apache.kafka.clients.consumer.ConsumerRecords;
import org.apache.kafka.clients.consumer.KafkaConsumer;
import org.apache.kafka.common.serialization.StringDeserializer;
import java.util.Arrays;
import java.util.Properties;
public class KafkaConsumerApp {
    public static void main(String[] args) {
        System.setProperty("java.security.krb5.conf","d:/krb5.conf");
        System.setProperty("java.security.auth.login.config","d:/kafka_client_jaas.conf");
        Properties properties = new Properties();
        properties.put("bootstrap.servers",KafkaProperties.BOOTSTART_SERVERS);
        properties.put("group.id",KafkaProperties.GROUP_ID);
        properties.put("key.deserializer", StringDeserializer.class.getName());
        properties.put("value.deserializer", StringDeserializer.class.getName());
        properties.put("request.required.acks", "1");
        properties.put("security.protocol", "SASL_PLAINTEXT");
        properties.put("security.inter.broker.protocol", "SASL_PLAINTEXT");
        KafkaConsumer consumer = new KafkaConsumer(properties);
        consumer.subscribe(Arrays.asList("test_hello"));
        for(;;){
            ConsumerRecords<String,String> list = consumer.poll(100);
            for(ConsumerRecord<String,String> record : list){
                System.out.println("res:"+record.value());
            }
        }
    }
}
public class KafkaProperties {
    public static final String TOPIC = "test_ogg";
    public static final String GROUP_ID = "test_group";
    public static final String BOOTSTART_SERVERS = "10.121.8.11:6667,10.121.8.5:6667,10.121.8.7:6667";
}

二. Kerberos整合OGG对接kafka数据

1. 创建文件kafka_client_jaas.conf

在ogg根目录下的dirprm/文件夹下新建文件kafka_client_jaas.conf

内容为:

KafkaClient {
    com.sun.security.auth.module.Krb5LoginModule required
    useKeyTab=true
    storeKey=true
    client=true
    serviceName="kafka"
    keyTab="/etc/security/keytabs/clientkafka.service.keytab"
    principal="kafkauser@COM";
};

2. 编辑文件kafka.props

dirprm/文件夹下编辑kafka.props

在javawriter.bootoptions最后追加

-Djava.security.krb5.conf=/etc/krb5.conf -Djava.security.auth.login.config=/opt/ogg/dirprm/kafka_client_jaas.conf

3. 编辑文件custom_kafka_producer.properties

dirprm/文件夹下编辑custom_kafka_producer.properties,在最后追加

security.protocol=PLAINTEXTSASL
sasl.mechanism=GSSAPI
sasl.kerberos.service.name=kafka

 

End_Game
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数据:基于Docker离线部署2.7.4版本ambari及启用kerberos安全认证(物理机同理)
03-17
1.离线部署ambari 2.7.4及HDP大数据...3.开启kerberos权限认证服务,并提供相关Demo 4.支持HDFS、Spark、Yarn、MapReduce、Hive、Pig、 HBase、Zookeeper、Sqoop和Hcatalog等 5.很详细的文档,包括各种可能出现的Bug
21.OracleOGG同步数据到基于Kerberos认证的Kafka略有不同
weixin_43346403的博客
02-10 244
Oracle OGG同步数据到基于Kerberos认证的Kafka
ambari踩坑
wegvhyhhf的博客
03-27 52
可以先卸载kafka后启动zookeeper后在重新下载kafka就不会启动后直接挂掉。ambari 下载kafka后启动后直接就挂掉了。
Ambari开启Kerberos安全认证
康师傅没有眼泪
05-27 3058
一个 User 或者一个 Service 会用 Principal 到 认证服务器(AS)认证,AS会返回一个用 Principal Key 加密的 TGT(票据授权票据),这时候只有 AS 和 Principal 的使用者可以识别该TGT,User 或者 Service 会使用 Principal 的 Key 来解密 TGT, 并使用解密后的 TGT 去TGS 获取 Service Ticket。在 Kerberos 认证的集群中,只有拿着这个 Service Ticket 才可以访问真正的 Se
Ambari学习笔记-配置Hbase权限(开启Kerberos
snipercai的博客
04-28 1787
Ambari学习笔记-配置Hbase权限,开启Kerberos
Kerberos之配置HDP组件Kafka(四)
m0_48187193的博客
03-16 698
标题为Kerberos配置HDP组件 本节介绍如何配置Kerberos以对Ambari受管群集中的HDP组件进行强身份验证。 为Kerberos配置Kafka 本节介绍如何在Ambari管理的群集上为Kafka配置Kerberos安全性。 KafkaKerberos安全性是一项可选功能。 启用安全性后,功能包括: •对客户端与代理之间的连接(消费者,生产者)进行身份验证 •基于ACL的授权 Kerberos for Kafka先决条件 如果要为Kerberos配置Kafka,则群集必须满足一些先决条件,然
Ambari接管线上Hadoop游戏数据集群实践
02-25
生产环境中Hadoop使用的版本是v2.7.3,下面介绍其主要组件。首先HDFS采用了HAwithQJM的高可用架构,即采用StandbyNamenode热备、多节点协同同步Active/StandbyNamenodes(不同物理机器)之间元数据日志的方式,降低...
Ambari下Hive3.0升级到Hive4.0
03-25
在大数据领域,Apache Ambari 是一个用于 Hadoop 集群管理和监控的开源工具,而 Hive 是一个基于 Hadoop 的数据仓库系统,用于处理和分析大规模数据集。本话题聚焦于如何在 Ambari 环境下将 Hive 3.0 升级到 Hive ...
Ambari-Doris-使用客户端进行配置文件下载
最新发布
03-06
首先,要使用 Ambari 客户端下载 Doris 的配置文件,你需要确保已安装了 Ambari 客户端。通常,这个客户端是作为 Ambari Server 的一部分安装的,但也可以单独下载并安装。Ambari 客户端可以通过 Python 包管理器...
【可视化工具】kafka-manager配置及安装Kerberos(Ambari-HDP)认证
康师傅没有眼泪
03-20 2472
为了简化开发者和服务工程师维护Kafka集群的工作,yahoo构建了一个叫做Kafka管理器的基于Web工具,叫做 Kafka Manager(已改名为 cmak)。 这个管理工具可以很容易地发现分布在集群中的哪些topic分布不均匀,或者是分区在整个集群分布不均匀的的情况。
Ambari学习笔记-安装Kerberos
snipercai的博客
04-18 1306
Ambari学习笔记-安装Kerberos
ambari启用kerberos
jzy3711的博客
10-03 2500
我这里测试集群,自定义安装了flink,hue,ES,presto等,应在未安装之前启用kerberos,因为amabri是不支持这个自定义kerberos的,需要自己在自定义是配置,或者后期添加配置,我这里是直接先停停掉,在安装的,但是测试集群很多人再用,停止前要和大家商量好。公司的测试集群是amabri安装的,HDP3.1.4版本,前面已经安装好了kerberos主从,现在要在集群上开启kerberos认证。集成kerberos后,kafka访问方式:(必须使用主机名,如果是ip会报错)
Ambari2.7.3+HDP3.1.0配置Kerberos互信
TT-Learning
07-09 1495
文章目录1.Kerberos互信配置前提1.1 配置两个Ambari2.7.3集群Kerberos认证跨域互信1.2 先决条件2.Kerberos互信配置步骤2.1 添加集群节点hosts2.1 向两个集群添加 principal2.2 添加票据名称解析规则2.3 票据名称解析规则测试3.在krb5.conf中配置信任关系3.1 配置capaths3.2 配置realms3.3 配置domain_realm3.4 重启Kerberos服务3.5 修改hdfs-site配置4.测试5.总结 1.Kerbero
Goldeengate实现kafka的sasl权限访问
Mr.理的博客
02-15 112
【代码】Goldeengate实现kafka的sasl权限访问。
记录ambari+kafka的listeners配置问题
qq_42422698的博客
01-07 1016
记录ambari+kafka的listeners配置问题 1 环境:ambari+kafka1.0.0.3.0 直接利用ambari+hdp环境安装了kafka服务。在ambari 的可视化界面 / Services / Kafka / Configs 有如下: listeners为 PLAINTEXT://localhost:9092 对应的每一台kafka-broker配置文件 server.properties 则显示: listeners=PLAINTEXT://*.*.*.*:9092
史上最全—kafka-manager配置及安装Kerberos(Ambari-HDP)认证
cz124560的博客
03-28 5300
史上最全—kafka-manager配置及安装Kerberos(Ambari-HDP)认证 本文用的Ambarikafka 配置kafka-manager。 CDH、开源也可以步骤一样。 kafka开启kerberos认证的。 kafka-manager作用: 管理多个集群 轻松检查群集状态(主题,消费者,偏移,代理,副本分发,分区分发) 运行首选副本选举 使用选项生成分区分配以选择要使用的代理 运行分区重新分配(基于生成的分配) 使用可选主题配置创建主题(0.8.1.1具有与0.8.2+不同
Kafka使用ambari安装遇到的问题
09-21 4888
Kafka使用ambari安装遇到的问题
ambarikafka的sasl配置
Ronnie的专栏
07-20 1486
由于内网环境,所以只是配置sasl+plaintext 1、新建一个kafka_server_jaas.conf,放置在/tmp/kafka/kafka_server_jaas.conf,内容如下: KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required    username="kafka"...
kafka开启kerberos认证
mine_1的专栏
02-22 4218
历时两天,断断续续的终于能正常producer和consumer了,记录下。 采用的是ambari,直接按照官方文档部署,需要更改的地方: 1、遇到这个错误: ERROR Error when sending message to topic test with key: null, value: 3 bytes with error: (org.apache.kafka.clients.p...
ambari怎么集群部署kafka
10-12
Ambari可以通过蓝图来轻松地部署Kafka集群。要部署Kafka集群,需要在Ambari中创建一个Kafka堆栈,然后将Kafka添加到该堆栈中。然后,您可以使用蓝图向导来配置Kafka集群。在蓝图中,您可以选择要安装的Kafka版本,设置ZooKeeper服务器的位置以及配置Kafka的所有其他设置。您还可以指定要在群集中使用Kafka代理的数量和位置。一旦设置完毕,您就可以使用Ambari中的部署选项来部署Kafka集群。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值