kafka SSL加密 —— 筑梦之路

最新推荐文章于 2024-06-07 16:43:58 发布
最新推荐文章于 2024-06-07 16:43:58 发布
阅读量418 收藏 2
点赞数 8
分类专栏: 大数据 文章标签: kafka ssl 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34777982/article/details/138849941
版权

生成SSL证书文件脚本

#!/bin/bash
################################## 设置环境变量 ##############################
BASE_DIR=/mnt/disk/test                           # SSL各种生成文件的基础路径
CERT_OUTPUT_PATH="$BASE_DIR/certificates"         # 证书文件生成路径
PASSWORD=kafka1234567                             # 密码
KEY_STORE="$CERT_OUTPUT_PATH/kafka.keystore"      # Kafka keystore文件路径
TRUST_STORE="$CERT_OUTPUT_PATH/kafka.truststore"  # Kafka truststore文件路径
KEY_PASSWORD=$PASSWORD                            # keystore的key密码
STORE_PASSWORD=$PASSWORD                          # keystore的store密码
TRUST_KEY_PASSWORD=$PASSWORD                      # truststore的key密码
TRUST_STORE_PASSWORD=$PASSWORD                    # truststore的store密码
CLUSTER_NAME=test-cluster                         # 指定别名
CERT_AUTH_FILE="$CERT_OUTPUT_PATH/ca-cert"        # CA证书文件路径
CLUSTER_CERT_FILE="$CERT_OUTPUT_PATH/${CLUSTER_NAME}-cert"      # 集群证书文件路径
DAYS_VALID=365                                    # key有效期
D_NAME="CN=ChengDu, OU=YourDept, O=YourCompany, L=Beijing, ST=Beijing, C=CN" # distinguished name
##############################################################################mkdir -p $CERT_OUTPUT_PATH

echo "1. 创建集群证书到keystore......"
keytool -keystore $KEY_STORE -alias $CLUSTER_NAME -validity $DAYS_VALID -genkey -keyalg RSA \
-storepass $STORE_PASSWORD -keypass $KEY_PASSWORD -dname "$DNAME"

echo "2. 创建CA......"
openssl req -new -x509 -keyout $CERT_OUTPUT_PATH/ca-key -out "$CERT_AUTH_FILE" -days "$DAYS_VALID" \
-passin pass:"$PASSWORD" -passout pass:"$PASSWORD" \
-subj "/C=CN/ST=Beijing/L=Beijing/O=YourCompany/CN=Xi Hu"

echo "3. 导入CA文件到truststore......"
keytool -keystore "$TRUST_STORE" -alias CARoot \
-import -file "$CERT_AUTH_FILE" -storepass "$TRUST_STORE_PASSWORD" -keypass "$TRUST_KEY_PASS" -noprompt

echo "4. 从key store中导出集群证书......"
keytool -keystore "$KEY_STORE" -alias "$CLUSTER_NAME" -certreq -file "$CLUSTER_CERT_FILE" -storepass "$STORE_PASSWORD" -keypass "$KEY_PASSWORD" -noprompt

echo "5. 签发证书......"
openssl x509 -req -CA "$CERT_AUTH_FILE" -CAkey $CERT_OUTPUT_PATH/ca-key -in "$CLUSTER_CERT_FILE" \
-out "${CLUSTER_CERT_FILE}-signed" \
-days "$DAYS_VALID" -CAcreateserial -passin pass:"$PASSWORD"

echo "6. 导入CA文件到keystore......"
keytool -keystore "$KEY_STORE" -alias CARoot -import -file "$CERT_AUTH_FILE" -storepass "$STORE_PASSWORD" \
 -keypass "$KEY_PASSWORD" -noprompt

echo "7. 导入已签发证书到keystore......"
keytool -keystore "$KEY_STORE" -alias "${CLUSTER_NAME}" -import -file "${CLUSTER_CERT_FILE}-signed" \
 -storepass "$STORE_PASSWORD" -keypass "$KEY_PASSWORD" -noprompt

生成的文件说明: 

  • ca-cert:CA文件,不要把该文件拷贝到别的broker机器上!
  • test-cluster-cert-signed:CA已签发的Kafka证书文件,不要把该文件拷贝到别的broker机器上!
  • test-cluster-cert:Kafka认证文件(包含公钥和私钥),不要把该文件拷贝到别的broker机器上!
  • kafka.keystore:Kafka的keystore文件,所有clients端和broker机器上都需要!
  • kafka.truststore:Kafka的truststore文件,所有clients端和broker机器上都需要!

 配置broker端参数

• listeners=PLAINTEXT://:9092,SSL://:9093   # 这里为Kafka broker配置了两个listeners,一个是明文传输;另一个使用SSL加密进行数据传输
• advertised.listeners=PLAINTEXT://公网IP:9092,SSL://公网IP:9093  # 因为是云上环境,如果clients通过公网(或外网)去连接broker,那么advertiesd.listeners就必须配置成所在机器的公网IP
• ssl.keystore.location=/mnt/disk/test/certificates/kafka.keystore # 提供SSL keystore的文件
• ssl.keystore.password=kafka1234567 # 提供keystore密码
• ssl.truststore.location=/mnt/disk/test/certificates/kafka.truststore # 提供SSL truststore的文件
• ssl.truststore.password=kafka1234567 # 提供truststore密码
• ssl.key.password=kafka1234567        # keystore中的私钥密码
• ssl.client.auth=required             # 设置clients也要开启认证

启动服务并测试创建topic

$ bin/kafka-topics.sh --zookeeper localhost:2181 --create --topic test --partitions 1 --replication-factor 1
Created topic "test".

配置clients端参数

1. 配置producer.config

bootstrap.servers=kafka1:9093                            # 指定9093端口,即使用SSL监听器端口
security.protocol=SSL
ssl.truststore.location=/Users/xxx/Downloads/kafka.truststore # 指定truststore文件
ssl.truststore.password=kafka1234567   
ssl.keystore.password=kafka1234567
ssl.keystore.location=/Users/xxx/Downloads/kafka.keystore # 指定keystore文件

2. 测试生产消息

$ bin/kafka-console-producer.sh --broker-list kafka1:9093 --topic test --producer.config producer.config 
>hello, world
>hello, Kafka
>a test message
......

3. 配置consumer.config

security.protocol=SSL
group.id=test-group
ssl.truststore.location=/Users/xxx/Downloads/kafka.truststore # 指定truststore文件 
ssl.truststore.password=kafka1234567 
ssl.keystore.password=kafka1234567
ssl.keystore.location=/Users/xxx/Downloads/kafka.keystore # 指定keystore文件

4. 测试消费消息

$ bin/kafka-console-consumer.sh --bootstrap-server kafka1:9093 --topic test --from-beginning --consumer.config consumer.config 
hello, world
hello, Kafka
a test message

筑梦之路
关注
  • 8
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kafka重点解释——为什么真快
08-27
不同于其他介绍Kafka使用或者技术实现的文章,我会重点解释——为什么真快
Kafka vs RocketMQ—— Topic数量对单机性能的影响1
08-03
所以在实际产环境中,个Topic会设置成多分区的模式,来持多个消费者,参照下图:在互联企业的实际产环境中,Topic数量和分区都会较多,这就要求消息中间件在多T
Kafka配置SSL加密传输
qq_41527073的博客
11-04 7930
Kafka配置SSL加密传输 一、证书配置 1、生成证书 如我输入命令如下:依次是 密码—重输密码—名与姓—组织单位—组织名—城市—省份—国家两位代码—密码—重输密码,后面告警不用管,此步骤要注意的是,名与姓这一项必须输入域名,如 “localhost”,切记不可以随意写,我曾尝试使用其他字符串,在后面客户端生成证书认证的时候一直有问题。 keytool -keystore server.keystore.jks -alias localhost -validity 3650 -genkey Enter k
Apache zookeeper kafka 开启SASL安全认证 —— 筑梦之路
筑梦之路
08-23 4360
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展和具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用。Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
kafka处理大量消息积压tips —— 筑梦之路
筑梦之路
01-02 1416
场景:1. 如果是Kafka消费能力不足,则可以考虑增加 topic 的 partition 的个数,同时提升消费者组的消费者数量,消费数 = 分区数 (二者缺一不可)2. 若是下游数据处理不及时,则提高每批次拉取的数量。批次拉取数量过少(拉取数据/处理时间 < 生产速度),使处理的数据小于生产的数据,也会造成数据积压。方法:1. 增大partion数量,2. 消费者加了并发,服务, 扩大消费线程3. 增加消费组服务数量4. kafka单机升级成了集群。
外部访问K8S集群内部的kafka集群服务 —— 筑梦之路
筑梦之路
08-25 3049
如果直接在云厂商提供的实例上搭建 kafka 集群可以说很简单,一般不会有什么困难。当我们选择把 kafka 部署到 k8s 里,希望利用 k8s 提供的编排能力来帮助我们更方便的管理 kafka 集群。在这种情况下部署会变得复杂起来,主要两个问题。
kafka添加ssl认证
01-07
主要是生成证书: 请先安装java和openssl. 生成证书脚本ca.sh: #!/bin/bash #Step 1 keytool -keystore /var/soft/ca/server.keystore.jks -alias localhost -validity 365 -genkey #Step 2 openssl req -new -x509 ...
Kafka——性能逆天的存在
02-25
Kafka是LinkedIn开源出来的一款消息服务器,用scala语言实现;这货的性能是百万级的QPS(估计是挂载了多块磁盘),我随便写个测试程序就是十万级。在Kafka中消息是按照Topic进行分类的;每条发布到Kafka集群的消息都有...
Spark踩坑记——SparkStreaming+Kafka
02-25
在WeTest舆情项目中,需要对每天千万级的游戏评论信息进行词频统计,在生产者一端,我们将数据按照每天的拉取时间存入了Kafka当中,而在消费者一端,我们利用了sparkstreaming从kafka中不断拉取数据进行词频统计。...
命令行重置kafka消费最新数据 —— 筑梦之路
筑梦之路
01-09 1081
kafka消费能力不足,消息积压太多,现需要重置消费,使其消费最新的数据。
k8s 部署zookeeper-kafka集群 —— 筑梦之路
筑梦之路
03-30 3375
规划: 三个zookeeper 三个kafka 添加亲和性规则 #直接上yaml #zookeeper-deploy.yaml apiVersion: apps/v1 kind: StatefulSet metadata: name: zookeeper namespace: merry labels: {app.kubernetes.io/name: zookeeper, helm.sh/chart: zookeeper-5.22.2, app.kubernetes.io/ins.
logstash output到kafka 配置SSL 加密
hongchenshijie的博客
05-10 2052
文章目录1. 使用keytool来为集群的每台机器生成密钥和证书。1. 先执行下面的脚本2. 参数解释2. 配置kafka3. 遇到的问题4. 配置logstash输出到kafka的output 1. 使用keytool来为集群的每台机器生成密钥和证书。 1. 先执行下面的脚本 会要输入很多次密码建议密码都一样 #!/bin/bash #Step 1 #以下注意修改时间 默认时间365 keytool -keystore server.keystore.jks -alias localhost -va
docker-compose部署kafka3 —— 筑梦之路
筑梦之路
09-01 2103
【代码】docker-compose部署kafka3 —— 筑梦之路
大数据Hadoop之——Kafka安全机制(Kafka SSL认证实现)
匠人精神,持之以恒!
06-12 2576
Kafka0.9.0开始引入丰富的安全认证机制,实现基础安全用户认证,将kafka上云或进行多租户管理的必要步骤安全,目前kafka支持`SASL`、`SSL`、`Delegation Token`这三种认证机制。
kafka-生产者监听器(SpringBoot整合Kafka
小丁的博客
06-04 703
kafka-生产者监听器(SpringBoot整合Kafka
Kafka消费者api编写教程
v15220的博客
06-04 513
输入new KafkaConsumer(properties).var 回车选择消费者名称。输入new ArrayList().var 回车修改变量名为topics。>().var 回车选择变量名为topicsPartitions。输入new Properties().var 回车。输出台上可以看到输出的都是订阅的主题/分区的信息。输入new ArrayList
源码讲解kafka 如何使用零拷贝技术(zero-copy)
最新发布
神技圈子的博客
06-07 445
本文详细讲解零拷贝技术,以及kafka如何使用零拷贝及它的应用场景
MQ之初识kafka
still_five_Days的博客
06-03 611
MQ全称是Message Queue,直译过来叫消息队列,在消息的传输中用于保存消息的容器,主要是作为分布式应用之间实现异步通信的方式。主要由三部分组成,分别是 生产者、消息服务端和消费者生产者(Producer),是生产消息的一端,相当于消息的发起方,主要负责载业务信息的消息的创建。消息服务端(Server),是处理消息的单元,本质就是用来创建和保存消息队列,它主要负责消息的存储、投递以及跟消息队列相关的附加功能。消息服务端是整个消息队列最核心的组成部分。第三个是消费者(
kafka ssl 原理
06-03
Kafka SSL 是一种为 Kafka 提供安全传输的机制,它使用 SSL/TLS协议来加密和保护 Kafka Broker 和客户端之间的通信。其原理如下: 1. 证书生成:首先,需要生成 SSL 证书,包括证书颁发机构(CA)、Broker 服务器证书和客户端证书。 2. Broker SSL 配置:在 Kafka Broker 上配置 SSL 监听器,并设置证书路径、密码等参数。此时,Broker 会使用证书对客户端进行身份验证,并使用 SSL/TLS 协议加密数据传输。 3. 客户端 SSL 配置:在 Kafka 客户端上配置 SSL 监听器,并设置证书路径、密码等参数。客户端会使用证书对 Broker 进行身份验证,并使用 SSL/TLS 协议加密数据传输。 4. 交互过程:当客户端连接到 Broker 时,会首先进行 SSL 握手,交换证书和加密密钥等信息。之后,客户端和 Broker 之间的所有通信都会使用 SSL/TLS 协议进行加密和保护。 通过这种方式,Kafka SSL 实现了对数据传输的加密和身份验证,保障了 Kafka 系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值