kafka连接外网加密内网不加密的配置方式

已于 2022-08-25 18:26:20 修改
阅读量2.7k 收藏 6
点赞数 4
分类专栏: kafka 文章标签: kafka
于 2022-08-24 16:05:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35847311/article/details/126506479
版权

kafka的版本为2.12-2.8.0

(一)加密处理需求

  1. 只对kakfa外网端口进行加密处理。
  2. kafka的内部端口端口不需要加密处理。
  3. kafka的broker之间通讯不需要加密处理。
  4. zookeeper之间不需要加密处理。

(二)kafka配置

kafka中jaas.config配置

        新建kafka_server_jaas.conf文件,该文件为kafka服务使用。

KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    serviceName="kafka"
    username="admin"
    password="admin123"
    user_admin="admin123"
    user_client="123456";
};

        serviceName:定义服务的名称

        username:定义内部连接使用的用户名

        password:定义内部连接使用的用户名对应的密码。

        user_admin:定义用户名和密码,根据上面配置来看,user_admin中admin为用户名,后面的admin123为密码。

        user_client:定义用户名和密码,根据上面配置来看,user_client中client为用户名,后面的123456为密码。

        新建kafka_client_jaas.conf文件,该文件为客户端使用:

KafkaClient {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="client"
    password="123456";
};

        username:为KafkaServer中的定义的用户名

        password:为KafkaServer定义用户名的密码

修改kafka的配置文件server.properties

        修改配置文件kafka/config/server.properties

#在文件中增加如下配置
# 配置listener名字和协议的映射(所以它是一个key-value的map),key是“listener名字”,value是“协议名称”
listener.security.protocol.map=LOCAL:PLAINTEXT,INTERNAL:PLAINTEXT,EXTERNAL:SASL_PLAINTEXT
# 监听端口,根据上面定义的listener名称定义对应的端口
listeners=LOCAL://172.16.180.42:9091,INTERNAL://kafka1:19091,EXTERNAL://kafka1:29091
# 定义对外的端口信息。
advertised.listeners=INTERNAL://kafka1:19091,EXTERNAL://kafka1:29091
# 定义sasl的mechanisms
sasl.enabled.mechanisms=PLAIN
#定义内部broker使用的通讯协议
inter.broker.listener.name=INTERNAL
#完成身份验证的类
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer

#当没有找到ACL配置时,允许所有的访问操作。
allow.everyone.if.no.acl.found=true

        其中最重要的就是 listeners 和 advertised.listeners :集群启动时监听listeners配置的地址,并将 advertised.listeners 配置的地址写到Zookeeper里面,作为集群元数据的一部分。我们可以将客户端(生产者/消费者)连接Kafka集群进行操作的过程分成2步:

  1. 通过 listeners 配置的连接信息(ip/host)连接到某个Broker(broker会定期获取并缓存zk中的元数据信息),获取元数据中 advertised.listeners 配置的地址信息。
  2. 通过第1步获取的 advertised.listeners 连接信息和Kafka集群通信(读/写)。

        根据上面配置我们要把EXTERNAL对应的端口代理出去,并且使用账户密码的方式进行验证连接。所以我们对EXTERNAL配置的时候ip尽量使用hostName的方式。因为你配置的ip不一定是客户端直接使用的ip,就是说你这里配置本机的内网ip为192.16.1.102。但是客户端使用的时候可能使用公网的ip:xxx.xx.xxx.xx。这样会造成连接失败的问题。所以我们使用hostName配置的方式。在客户端使用的时候也用hostName的方式配置。

        根据上面配置得到:内部端口使用19091免密连接。外部端口使用19092使用秘钥连接。

修改kafka的启动脚本kafka-server-start.sh

首先把kafka_server_jaas.conf放到kafka/config下。

编辑kafka/bin/kafka-server-start.sh

#在顶部增加
export KAFKA_OPTS="-Djava.security.auth.login.config=/kafka/config/kafka_server_jaas.conf"

(三)连接测试

        测试使用kafka自带脚本来测试。

        在kafka/bin下有两个脚本:kafka-console-consumer.sh和kafka-console-producer.sh分别对应消费端和生产端。

        首先把kafka_client_jaas.conf放到kafka/conf下,配置上面两个脚本增加如下:

#在上面两个脚本上部增加如下声明
export KAFKA_OPTS="-Djava.security.auth.login.config=kafka/conf/kafka_client_jaas.conf"

生产者启动如下:

#使用免密的方式连接19091
./kafka-console-producer.sh --bootstrap-server kafka1:19091 --topic test 
#使用加密的方式连接29091
./kafka-console-producer.sh --bootstrap-server kafka1:29091 --topic test --producer-property security.protocol=SASL_PLAINTEXT --producer-property sasl.mechanism=PLAIN

消费者启动如下:

#使用免密的方式连接19091
./kafka-console-consumer.sh --bootstrap-server kafka1:19091 --topic test 
#使用加密的方式连接29091
./kafka-console-consumer.sh --bootstrap-server kafka1:29091 --topic test --consumer-property security.protocol=SASL_PLAINTEXT --consumer-property sasl.mechanism=PLAIN

参考文章:

Kafka的监听地址配置_Java小海.的博客-CSDN博客_kafka监听

du拉松
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
单机上部署kafka3.5,并配置sasl认证
univers1的博客
08-26 1025
今天我要跟大家分享一下如何在单机上部署kafka3.5,并配置sasl认证(plaintext模式)。kafka是一个分布式的消息队列,可以用来处理大量的数据流。sasl是一种安全认证机制,可以保证kafka的通信安全。下面我会分几个步骤来介绍这个过程。
kafka连接数据查看工具
最新发布
06-21
kafka连接工具 kafka数据查看工具 kafka消息连接查看
Kafka 配置用户名密码例子
09-10
Kafka 目前支持SSL、SASL/Kerberos、SASL/PLAIN三种认证机制 ,我拿第三种进行了 配置 。你可以直接下载 运行并测试
Kafka 安全认证及权限控制【详解】
qq_27480007的博客
07-05 7837
Kafka 安全认证及权限控制,Kafka使用SASL_PLAINTEXT用户认证及权限
docker部署kafka&访问通过python
仅进行技术交流,不代写代码及其他
05-17 583
项目开发需要使用kafka作为消息中间件,并使用python开发消费者端接收消息,参考:https://zhuanlan.zhihu.com/p/279784873,这里记录下整个配置流程,并可以访问。zookeeper_ip 是 容器zookeeper 的ip地址,可用通过查看docker的network确定ip,根据name找到zookeeper 的ip地址。在不同终端里先启动消费者,然后启动生产者。bridge的network id。查看一下kafka版本。
Kafka Manager与Kafka SASL+ACL配置
bao_since的博客
04-10 3098
根据需求,给 Kafka 集群配置不使用 Kerberos 的 SASL+ACL 。Kafka 配置部分参考资料比较充足,这里参考了胡夕老师的《Apache Kafka 实战》中相关章节,配置过程顺利。Kafka Manager监控配置了 SASL Kafka 集群部分的资料比较少,在认证部分出现较多问题,最终配置出一个“能用”版本。Kafka_2.11-1.0.0 kafka-manager-...
kafka sasl认证配置及其client实现
yinxuep的博客
06-23 5672
1、kafka sasl认证配置 配置环境 1.1 单机+身份验证配置(SASL/PLAIN认证方式) 1.1.1 服务端配置 1、服务器节点下配置服务器JASS文件,命名为kafka_server_jaas.conf #cd /opt/modules/kafka_2.11-2.0.0/config #vi kafka_server_jaas.conf Kafka...
Kafka 安全认证及权限控制
小王是个弟弟
07-20 9864
作者:wjun 平台:MacOS 版本:Kafka 2.4.1 、Zookeeper 3.6.2 一、Zookeeper 配置 SASL 若只关注 kafka 的安全认证,不需要配置 Zookeeper 的 SASL,但 kafka 会在 zk 中存储一些必要的信息,因此 zk 的安全认证也会影响到 kafka ???????????? 1.1 新建 zoo_jaas.conf 文件 zoo_jaas.conf文件名、文件所在路径没有特殊要求,一般放置在${ZOOKEEPER_HOME}/conf目录下
kafka连接工具客户端.rar
01-14
5. **安全配置**:在企业环境中,Kafka往往需要配置SSL加密和SASL认证以确保数据安全。这些客户端工具通常也支持安全连接,允许用户输入认证信息,以便在安全的Kafka集群中进行操作。 6. **数据迁移和备份**:部分...
seatunnel2.3.1的kafka连接器jar包
06-20
seatunnel2.3.1的kafka连接器jar包,seatunnel2.3.1的kafka连接器jar包,seatunnel2.3.1的kafka连接器jar包,seatunnel2.3.1的kafka连接器jar包,seatunnel2.3.1的kafka连接器jar包
flink连接kafka
01-20
2. **配置连接参数**:在Flink程序中,需要配置Kafka连接参数,包括Bootstrap Servers(Kafka集群的地址)、Topic(要读取或写入的主题)等。例如: ```java Properties properties = new Properties(); ...
kafka配置jaas安全
qq_41385719的博客
04-23 3410
Kafka配置SASL/PLAIN认证 1、安装zk,kafka 2、配置server.properties security.inter.broker.protocol=SASL_PLAINTEXT sasl.mechanism.inter.broker.protocol=PLAIN sasl.enabled.mechanisms=PLAIN listeners=SASL_PLAINT...
kafka配置SASL/PLAIN 安全认证
weixin_44280356的博客
08-29 2350
由上一步可发现,认证方式使用的是Kafka的认证类org.apache.kafka.common.security.plain.PlainLoginModule。上的说法是 Client,是kafka作为用户使用zk的认证信息,这里的username和password一定要和zk_server_jaas.conf的配置对的上。user_kafka=“kafkapasswd"定义了一个用户"kafka”,密码是"kafkapasswd",本次测试用户是kafka broker。在zkEnv.sh添加。
开启kafka密码认证
热门推荐
雅冰石的专栏
04-02 1万+
Kafka默认未开启密码认证,可以免密登录,太不安全,因此需要开启密码认证。 一 kafka认证方式类型 kafka提供了多种安全认证机制,主要分为SSL和SASL大类。其中SASL/PLAIN是基于账号密码的认证方式,比较常用 1.1 SSL 1.2 SASL 1.2.1 SASL/Kerberos 1.2.2 SASL/PLAIN 1.2.3 SASL/SCRAM 二 测试SASL/PLAIN进行身份验证 SASL/PLAIN是一种简单的用户名/密码身份..
hadoop生态的kerberos认证系列1-zookeeper
tiki的博客
12-17 1440
hadoop生态的kerberos认证一、zookeeper1.准备工作2.配置2.1创建服务端用户2.2导出凭证:2.3修改zookeeper的配置文件2.4生成jaas.conf文件2.5创建client的priincipal并导出2.6配置client-jaas.conf文件3.验证zk的kerberos 一、zookeeper 1.准备工作 停掉hadoop集群; 安装好kerberos认证服务; 2.配置 节点名为node,本文以单节点为例说明,集群一般也差不多,只要配置文件统一、凭证区分开即可(
Kafka配置JAAS
QinQinSmile的博客
02-24 2581
Kafka配置JAAS public static void main(String[] args) { Properties props = new Properties(); props.put(SaslConfigs.SASL_MECHANISM, "PLAIN"); props.put("sasl.jaas.config","org.apache.kafka.common.security.plain.PlainLoginModule required
Kafka安全认证授权配置
qq_41203483的博客
11-17 7895
Kafka安全认证授权配置一 概述1.1 Kafka的权限分类1.2 实现方式二 安全认证授权配置2.1 zookeeper配置2.1.1 引入kafka依赖包2.1.2修改ZK配置文件2.1.3 创建jaas文件2.1.4 修改zkEnv.sh2.1.5 启动zk2.2 Kafka配置2.2.1 创建超级用户2.2.2 创建jaas文件2.2.3 修改kafka配置文件2.2.4启动kafka三 测试连接3.1 生产者测试3.2 消费者测试3.3 beats工具连接3.4 logstash消费 一 概述
kafka之认证搭建
快乐的小豆子的专栏
01-24 2395
kafka及zookeeper安装 下载响应包,进行解压 新建jass.conf如 zookeeper与kafka都需要用到 分别将该文件复制到zookeeper与kafka相应配置文件同级 KafkaServer{ org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="ss" user_admin="ss" user_reader="reader" user_writer=
kafka集群配置
10-17
为了让 Kafka 集群可以被访问,需要进行以下配置: 1. 修改 Kafka 配置文件 server.properties,将 advertised.listeners 属性设置为 IP 地址和端口号,例如: ``` advertised.listeners=PLAINTEXT://192.168.1.100:9092 ``` 2. 如果 Kafka 集群使用了 ZooKeeper,还需要修改 ZooKeeper 配置文件 zoo.cfg,将 clientPort 属性设置为端口号,例如: ``` clientPort=2181 ``` 3. 如果 Kafka 集群使用了防火墙,需要开放访问的端口号,例如: ``` firewall-cmd --zone=public --add-port=9092/tcp --permanent firewall-cmd --reload ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值