Kafka配置安全认证

最新推荐文章于 2024-02-27 19:04:42 发布
最新推荐文章于 2024-02-27 19:04:42 发布
阅读量5.7k 收藏 18
点赞数 5
分类专栏: kafka 文章标签: kafka java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42057890/article/details/117564848
版权

Kafka配置安全认证

提示:为了对数据的安全考虑,在对kafka进行读取数据时需要添加安全认证,在摸索了大量博主的博客后,自己终于把这安全认证给安排了,废话不多说,往下走。

文章目录

 

一、环境

        我使用的kakfa版本为 kafka_2.13-2.8.0.tgz,并且我没有安装zookeeper,使用的是kafka自带的zookeeper。

 

二、修改kafka/config下配置文件

        为了不对已配置好的源文件进行修改,因此各位可以重新拷贝一份kafka的安装代码进行修改,本人是直接复制一份需要修改的文件,然后再在该文件中修改及测试。

1.添加kafka_server_jaas.conf

       在 kafka/config 目录下, 添加 kafka_server_jaas.conf 文件,并将以下内容添加到文件中。

KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="admin"
    user_admin="admin"
    user_alice="alice";
};

       在KafkaServer部分,username和password是broker用于初始化连接到其他的broker,在上面配置中,admin用户为broker间的通讯使用的账号和密码。

       user_userName定义了所有连接到 broker和 broker验证的所有的客户端连接包括其他 broker的用户密码,user_admin 表示的是用户名为admin,后面的双引号中表示为密码,在这里设置了两个账号,一个为admin,一个为alice。在使用生产者和消费者连接kakfa的topic时,需要拿用户名和密码与这个做验证。

 

2.添加kafka_client_jaas.conf

       在 kafka/config 目录下, 添加 kafka_client_jaas.conf 文件,并将以下内容添加到文件中。

KafkaClient {
 	org.apache.kafka.common.security.plain.PlainLoginModule required
	username="alice"
	password="alice";
};

        在KafkaClient部分,username和password是客户端用来配置客户端连接broker的用户使用,通俗来讲,该配置为生产者或者消费者连接kafka时需要用到的用户名和密码。

      若与1中设置的用户名和密码不一致,则会出现以下情况,表示用户名或密码不一致,连接失败:

 

3.添加kafka_zoo_jaas.conf

       在 kafka/config 目录下, 添加 kafka_client_jaas.conf 文件,并将以下内容添加到文件中。

Server {
    org.apache.zookeeper.server.auth.DigestLoginModule required
    user_admin="admin";
};

       该配置为zookeeper集群之间连接时需要的用户名和密码。

 

4.producer-jaas.properties、consumer-jaas.properties

       将 producer.properties 和 consumer.properties 重新复制了一份并重命名,并在该两配置文件中添加以下两行代码,表示生产者和消费者需要使用安全认证。

security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN

 

5、zookeeper-jaas.properties

       将 zookeeper.properties 文件拷贝一份并重命名,在文件中添加如下代码,开启验证。

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl

 

6.server-jaas.properties

       将 server.properties 文件拷贝一份并重命名,在文件中添加如下代码,开启验证,一定要记住同样字段的名字不能存在两份,不然会报错。

host.name=ip
listeners=SASL_PLAINTEXT://ip:端口
advertised.listeners=SASL_PLAINTEXT://ip:端口
security.inter.broker.protocol=SASL_PLAINTEXT    
sasl.enabled.mechanisms=PLAIN    
sasl.mechanism.inter.broker.protocol=PLAIN    
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
allow.everyone.if.no.acl.found=true
super.users=User:admin

 

三、修改kafka/bin下配置文件

        切换到 bin 目录下。

1.kafka-console-consumer-jaas.sh、kafka-console-producer-jaas.sh

       将 kafka-console-consumer.sh 和 kafka-console-producer.sh 文件拷贝一份并重命名,在 KAFKA_HEAP_OPTS 属性处添加以下参数,参数指定的路径需要注意,别跟着我写,按你们自己的来。

-Djava.security.auth.login.config=/usr/kafka/config/kafka_client_jaas.conf

结果如下:

 

2.kafka-server-start-jaas.sh

       将 kafka-server-start.sh 文件拷贝一份并重命名,在 KAFKA_HEAP_OPTS 属性处添加以下参数,注意这里指定的是server这个配置文件。

-Djava.security.auth.login.config=/usr/kafka/config/kafka_server_jaas.conf

结果如下:

 

3.zookeeper-server-start-jaas.sh

       将 zookeeper-server-start.sh 文件拷贝一份并重命名,在 KAFKA_HEAP_OPTS 属性处添加以下参数,注意这里指定的是server这个配置文件。

-Djava.security.auth.login.config=/usr/kafka/config/kafka_zoo_jaas.conf

结果如下:

 

四、启动测试

1.启动zookeeper环境

./bin/zookeeper-server-start-jaas.sh ./config/zookeeper-jaas.properties

2.启动kafka环境

./bin/kafka-server-start-jaas.sh ./config/server-jaas.properties

3.启动生产者

./bin/kafka-console-producer-jaas.sh --broker-list ip:9092 --topic test --producer.config ./config/producer-jaas.properties

 

4.启动消费者

./bin/kafka-console-consumer-jaas.sh --bootstrap-server ip:9092 --topic test --from-beginning --consumer.config ./config/consumer-jaas.properties

 

成功。

 

若此时修改kafka_client_jaas.conf 文件中的用户名或者密码。

再次通过生产者或者消费者访问时会报错:

 

 

五、其它

1.为用户 alice 在 test(topic)上添加读写的权限

./bin/kafka-acls.sh --authorizer-properties zookeeper.connect=ip:2181 --add --allow-principal User:alice --operation Read  --operation Write --topic test

 

2.为账号为admin密码为admin的用户创建证书

./bin/kafka-configs.sh --zookeeper ip:2181 --alter --add-config 'SCRAM-SHA-256=[password=admin],SCRAM-SHA-512=[password=admin]' --entity-type users --entity-name admin

 

六、Java代码测试

       本人主要是用来在java上访问kafka时能用到这个安全认证功能,关键代码如下。

// 配置文件读取,读取访问kafka需要的账号和密码
System.setProperty("java.security.auth.login.config", "/etc/auditsys/soar/kafka_client_jaas.conf");

Properties properties = new Properties();

properties.setProperty("zookeeper.connect", "ip:2181");
properties.setProperty("bootstrap.servers", "ip:9092");
properties.setProperty("group.id", "test");
properties.put("enable.auto.commit", "true");
properties.put("key.deserializer", "org.apache.kafka.common.serialization.StringDeserializer");
properties.put("value.deserializer", "org.apache.kafka.common.serialization.StringDeserializer");
properties.put("security.protocol", "SASL_PLAINTEXT");
properties.put("sasl.mechanism", "PLAIN");

FlinkKafkaConsumer myConsumer = new FlinkKafkaConsumer("test", new JSONKeyValueDeserializationSchema(true),
                properties);

DataStream<ObjectNode> sourceStream = env.addSource(myConsumer);

sourceStream......(其它的流式处理)

env.execute("read from kafka");

 

 

总结

       有什么问题还望大家指正,谢谢。

月下茶凉
关注
  • 5
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
使用sasl的kafka集群的搭建使用
03-15
搭建基于sasl的安全认证kafka集群,并配置acl,使用户能分权分域接受发送消息
单机节点Kafka配置SASL用户名密码认证
ez scope
06-13 1万+
伪分布式Kafka,只用一个节点,zookeeper也用集成在Kafka里的。首先得配置zookeeper的SASL,再配置Kafka broker的SASL。先启动zookeeper节点,再启动Kafka broker。最后测试consumer和读写。 Kafka版本2.11-0.10.0.0,集成的zookeeper为3.4.6。 一、Zookeeper 1、
Kafka安全模式之身份认证
最新发布
weixin_42556307的博客
02-27 1408
SASL-PLAIN方式是一个经典的用户名/密码的认证方式,其中用户名和密码是以明文形式保存在服务端的JAAS配置文件中的,当客户端使用PLAIN模式进行认证时,密码是明文传输的,因此安全性较低,但好处是足够简单,方便我们对其进行二次开发,在0.10版本引入。在kafka身份认证的过程中,需要的principal,keytab,ServiceName等信息均配置jaas文件中,因此保证认证的服务可以读取到正确的文件及正确的配置kafka安全模式下认证的核心。解决办法是找第三方提供。
Python通过kerberos安全认证操作kafka方式
12-17
如何通过Kerberos认证. 1.安装Kerberos客户端 CentOS: yum install krb5-workstation 使用which kinit查看是否安装成功; 2.拷贝Kerberos配置文件 conf目录下krb5.conf和kafka.keytab和jaas.conf拷贝到客户端机器的etc目录, 同时,krb5.conf中的kdc集群主机名和IP配置到客户端机器hosts配置文件中 3.Kinit客户端通过kerberos认证 获取Principal klist -kt kafka.keytab 4.安装python-gssapi pip install
一键搭建kafka集群支持SASL安全认证以及配置ACL权限,支持多IP和公网IP配置,支持界面化监控和操作以及最细粒度的授权
10-12
一键搭建kafka集群支持开启SASL安全认证以及配置ACL权限控制,支持多IP和公网IP配置,支持集群、topic、消费组、消息、限流、acl、副本表盘监控显示创建topic和用户以及最细粒度的授权。 非常简单的使用,只需要简单的输入服务器集群的IP地址、账号、密码,即可一键自动搭建配置好环境,包括各个界面化管理工具,生成kafka不同权限的测试用户,方便不同权限的管理。 如果还有疑问,详细介绍和使用说明可以参考发布的博客说明和介绍,或者私信作者进行解答。https://blog.csdn.net/u014374009/category_9409106.html
KAFKA SASL配置 记录
qq_31515997的博客
02-25 2174
kafka配置SASL 记录
kafka安装部署-前面部分
wt6002的博客
09-03 278
step 1: 下载代码 你可以登录Apache kafka 官方下载。http://kafka.apache.org/downloads.html 下载和自己系统匹配的 Step 2: 启动服务 运行kafka需要使用Zookeeper,所以你需要先启动Zookeeper,如果你没有Zookeeper,你可以使用kafka自带打包和配置好的Zookeeper(PS:在kafka包里)。 在和kafka一个目录bin文件夹下面; //这是前台启动,启动以后,当前就无法进行其他操作(不推.
Kafka 安全认证及权限控制
小王是个弟弟
07-20 9565
作者:wjun 平台:MacOS 版本:Kafka 2.4.1 、Zookeeper 3.6.2 一、Zookeeper 配置 SASL 若只关注 kafka安全认证,不需要配置 Zookeeper 的 SASL,但 kafka 会在 zk 中存储一些必要的信息,因此 zk 的安全认证也会影响到 kafka ???????????? 1.1 新建 zoo_jaas.conf 文件 zoo_jaas.conf文件名、文件所在路径没有特殊要求,一般放置在${ZOOKEEPER_HOME}/conf目录下
Kafka认证
Linux_cui的博客
12-09 4311
kafka认证
kafka安全认证与授权(SASL/PLAIN)
u011618288的博客
02-09 7745
快速搭建kafka SASL+ACL实现安全认证、授权 kafka SASL/PLAIN
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
kafka ssl 安全认证详细配置
06-23
kafka ssl 安全认证详细配置
Kafka ManagerKafka SASL+ACL配置
bao_since的博客
04-10 3049
根据需求,给 Kafka 集群配置不使用 Kerberos 的 SASL+ACL 。Kafka 配置部分参考资料比较充足,这里参考了胡夕老师的《Apache Kafka 实战》中相关章节,配置过程顺利。Kafka Manager监控配置了 SASL Kafka 集群部分的资料比较少,在认证部分出现较多问题,最终配置出一个“能用”版本。Kafka_2.11-1.0.0 kafka-manager-...
kafka添加安全验证配置
阿拉的博客
11-09 5904
spring kafka 添加安全验证配置 综合考虑性能影响、管理成本、安全等级要求,接入便利程度。 鉴权采用SASL+PLAINTEXT 方式。 每个集群会分配统一的访问账号及密码用于客户端访问。 服务端配置: 1. config 目录添加kafka_server_jaas.conf 配置文件, 内容: KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" p
Kafka SASL安全认证机制与ACL用户权限控制
10-08 1111
自0.9.0.0.版本引入Security之后,Kafka一直在完善security的功能,以提高kafka集群的安全性。当前Kafka security主要包含3大功能:认证(authentication)、信道加密(encryption)和授权(authorization)。
Kafka启用SASL_PLAINTEXT动态配置JAAS文件的几种方式
热门推荐
russle的专栏
07-14 2万+
Kafka是广泛使用消息服务,很多情况下关于认证部分我都是默认的配置,也就是不需要用户名/密码,也不配置证书。在内网或者在项目组内部可以,但是设计的跨部门时一般处于安全考虑都需要加上认证,防止kafka被误用,产生大量垃圾信息,干扰了正常业务的运行。 Kafka提供的多种认证方式,比如SASL, 本文主要介绍启用了SASL_PLAINTEXT时,如何在kafka client配置jaas文件,以...
Zookeeper & Kafka 开启安全认证配置
IT布道
08-10 7869
Zookeeper&Kafka 安全认证
kafka配置jaas配置的三种方式
梦想氧吧
07-24 6033
第一种 props.put(SaslConfigs.SASL_MECHANISM, "PLAIN"); props.put("sasl.jaas.config","org.apache.kafka.common.security.plain.PlainLoginModule required username=\"producer\" password=\"prod-sec\";"); 第二种 System.setProperty("java.security.auth.login.confi
kafka配置安全认证
11-24
以下是Kafka配置安全认证的步骤: 1. 为每个Kafka代理生成SSL密钥和证书。 2. 在Kafka服务器上启用SSL。在Kafka配置文件server.properties中,设置以下属性: ```shell listeners=SSL://:9093 ssl.keystore.location=<path_to_keystore_file> ssl.keystore.password=<keystore_password> ssl.key.password=<key_password> ssl.truststore.location=<path_to_truststore_file> ssl.truststore.password=<truststore_password> ssl.client.auth=required ``` 3. 在Kafka客户端上启用SSL。在Kafka客户端配置文件client-ssl.properties中,设置以下属性: ```shell security.protocol=SSL ssl.truststore.location=<path_to_truststore_file> ssl.truststore.password=<truststore_password> ssl.keystore.location=<path_to_keystore_file> ssl.keystore.password=<keystore_password> ssl.key.password=<key_password> ssl.endpoint.identification.algorithm= ``` 4. 使用SSL连接到Kafka代理。在Kafka客户端应用程序中,设置以下属性: ```shell bootstrap.servers=SSL://<kafka_broker_hostname>:9093 security.protocol=SSL ssl.truststore.location=<path_to_truststore_file> ssl.truststore.password=<truststore_password> ssl.keystore.location=<path_to_keystore_file> ssl.keystore.password=<keystore_password> ssl.key.password=<key_password> ssl.endpoint.identification.algorithm= ``` 5. 启动Kafka测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值