Kafka+zookeeper安装及sasl认证(二)

已于 2023-08-25 16:58:16 修改
阅读量4.1k 收藏 5
点赞数 2
分类专栏: kafka安装及安全认证 文章标签: java 后端 kafka
于 2022-03-31 17:10:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43700739/article/details/123816688
版权

kafka安全认证sasl

一、环境

kafka_2.13-2.8.0,zookeeper-3.6.3(这里不是用kafka自带的zookeeper)

二、修改配置文件

1、zookeeper配置(三台操作一样)
(1)为zookeeper添加SASL支持,在conf下配置文件zoo.cfg添加

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000

(2)conf下新建jaas.conf文件,为Zookeeper添加账号认证信息,具体位置不固定,只要后面zkEnv配置正确的路径就可以。

Server {
  org.apache.zookeeper.server.auth.DigestLoginModule required
  user_admin="kafka_zk"
  user_kafka="kafka_zk";
};

username和paasword是zk集群之间的认证密码。
user_kafka=“kafka_zk"定义了一个用户"kafka”,密码是"kafka_zk"。
(3)导入kafka的相关jar

kafka-clients-2.8.0.jar
lz4-java-1.7.1.jar
slf4j-api-1.7.30.jar
slf4j-log4j12-1.7.30.jar
snappy-java-1.1.8.1.jar

(4)修改 zkEnv.sh

SERVER_JVMFLAGS=" -Djava.security.auth.login.config=/data1/apache-zookeeper-3.6.3/conf/zk_server_jaas.conf "

2、kafka配置文件
(1)在config下增加kafka_server_jaas.conf

KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="admin"
    user_admin="admin"
    user_kafka="kafka_zk";
};

Client {
  org.apache.kafka.common.security.plain.PlainLoginModule required
    username="kafka"
    password="kafka_zk";
};

说明:KafkaServer中的username和password是用于节点间的连接认证,节点初始化连接到其他的节点,在上面配置中,admin用户为broker间的通讯使用的账号和密码。
user_userName定义了所有连接到 broker和 broker验证的所有的客户端连接包括其他 broker的用户密码,user_admin 表示的是用户名为admin,后面的双引号中表示为密码,在这里设置了两个账号,一个为admin,一个为kafka。在使用生产者和消费者连接kakfa的topic时,需要拿用户名和密码与这个做验证。也可以另外根据不同业务部门需求创建独立的账号密码。
Client中是kafka作为用户使用zk的认证信息,这里的username和password一定要和zk_server_jaas.conf的配置对的上。(由于这里不是用的自带的zookeeper,所以需要增加这部分配置,如果使用自带zookeeper,就不用配置)
(2)在config下增加kafka_client_jaas.conf

KafkaClient {
        org.apache.kafka.common.security.plain.PlainLoginModule required
        username="kafka"
        password="kafka_zk";
};

KafkaClient中的username和password是客户端用来配置客户端连接broker的用户使用,通俗来讲,该配置为生产者或者消费者连接kafka时需要用到的用户名和密码

(3)增加kafka_zoo_jaas.conf

Server {
    org.apache.zookeeper.server.auth.DigestLoginModule required
    user_kafka="kafka_zk";
};

(4)修改server.properties配置文件

listeners=SASL_PLAINTEXT://ip:9092
security.inter.broker.protocol = SASL_PLAINTEXT
sasl.enabled.mechanisms = PLAIN
sasl.mechanism.inter.broker.protocol = PLAIN
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
allow.everyone.if.no.acl.found=true
advertised.listeners=SASL_PLAINTEXT://ip:9092
super.users=User:kafka

添加sasl认证说明

super.users=User:kafka 设置kafka为超级用户

(5)修改kafka启动脚本,在bin/kafka-server-start.sh中

exec $base_dir/kafka-run-class.sh $EXTRA_ARGS kafka.Kafka "$@"

修改为

exec $base_dir/kafka-run-class.sh $EXTRA_ARGS -Djava.security.auth.login.config=/usr/local/kafka_2.13-2.8.0/config/kafka_server_jaas.conf kafka.Kafka "$@"

启动kafka

配置kafka client端认证

在kafka安装目录config下创建kafka_client_jaas.conf,内容如下

KafkaClient {
  org.apache.kafka.common.security.plain.PlainLoginModule required
  username="kafka"
  password="kafkapasswd";
};

修改producer脚本启动参数 vi kafka-console-producer.sh

exec $(dirname $0)/kafka-run-class.sh kafka.tools.ConsoleProducer "$@"

修改为

exec $(dirname $0)/kafka-run-class.sh -Djava.security.auth.login.config=/data1/kafka_2.13-2.8.0/config/kafka_client_jaas.conf kafka.tools.ConsoleProducer "$@"

在kafka安装目录config下创建 sasl_client.conf 写入以下内容

security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN

同样的使用kafka-console-consumer.sh kafka-topics.sh 这些脚本都需要按照kafka-console-producer.sh 一样修改启动参数 指定sasl_client.conf配置文件
如创建topic 先修改kafka-topics.sh (本人为做此修改)

exec $(dirname $0)/kafka-run-class.sh  kafka.admin.TopicCommand "$@"
 
改为
 
exec $(dirname $0)/kafka-run-class.sh -Djava.security.auth.login.config=/data1/kafka_2.13-2.8.0/config/kafka_client_jaas.conf  kafka.admin.TopicCommand "$@"
 
---------------------------------------------------------------------------
 
或者直接添加
export KAFKA_OPTS="-Djava.security.auth.login.config=/data1/kafka_2.13-2.8.0/config/kafka_client_jaas.conf"

创建topic

[root@FLMG-146 bin]# ./kafka-topics.sh --create --zookeeper ip1:2181,ip2:2181,ip3:2181 --replication-factor 1 --partitions 1 --topic test

启动命令zookeeper和kafka
(1)切换到zookeeper bin,目录下

./zkServer start

前台打印日志的方式启动

./zkServer.sh start-foreground

(2)kafka启动

./kafka-server-start.sh -daemon ../config/server.properties
Dylan_666888
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
kafka+安装包+自用
06-28
Kafka基础知识】 ...提供的“Kafka资料”压缩包应该包含了更多关于Kafka安装配置、使用和进阶教程,帮助你深入理解和应用Kafka。记得阅读官方文档和社区资源,以获取最新的信息和技术支持。
zookeeper增加权限登录验证
11-19
针对zookeeper的安全漏洞,增加了对访问ip地址的限制。
kafka安装部署-前面部分
wt6002的博客
09-03 319
step 1: 下载代码 你可以登录Apache kafka 官方下载。http://kafka.apache.org/downloads.html 下载和自己系统匹配的 Step 2: 启动服务 运行kafka需要使用Zookeeper,所以你需要先启动Zookeeper,如果你没有Zookeeper,你可以使用kafka自带打包和配置好的Zookeeper(PS:在kafka包里)。 在和kafka一个目录bin文件夹下面; //这是前台启动,启动以后,当前就无法进行其他操作(不推.
实战:kafkazookeeper SASL+ACL实现动态权限认证、授权
u011618288的博客
02-18 6617
kafka基于SASL/SCRAM 集合zookeeper SASL,实现安全认证、权限校验ACL。
2024年最全Apache zookeeper kafka 开启SASL安全认证(2),技术详细介绍
2401_84281629的博客
05-11 363
ZK客户端命令行查看:Client {EXTRAA​RGS−Djavasecurityauthloginconfighomelighthousekafka2​.12−2.2.1/configkafkas​erverj​aasconfkafkaK。
ZookeeperKafka内置)单独添加SASL认证及ACL
Sayai的专栏
07-16 1212
通常,我们会给Kafka增加SASL以加强对kafka的安全访问,以满足漏扫对于kafka的访问安全漏扫要求。但漏扫的时候也会同样会对Kafka集群中的zk集群进行扫描。所以zk集群同样涉及到要配置kafka的安全认证
zookeeper开启SASL,并且设置kafka如何连接
chou_kawaii的博客
09-02 4902
zookeeper开启sasl认证
Zookeeper kafka集群 密码认证
m0_62999427的博客
03-19 1795
zookeeper kafka kafka可视化
开启zookeeper的安全认证功能,并配置kafkazookeeper的身份验证
热门推荐
zhang5324496的博客
12-21 2万+
目录 1-- 为啥需要开启zookeeper认证 2-- 如何开启zookeeper认证 2.1-- 修改文件 zoo.cfg, 开启认证功能 2.2-- 创建 jaas.conf文件,配置认证的用户和密码(例子的文件路径为 /etc/zookeeper/jaas.conf) 2.3-- 设置jaas.conf的权限,权限是 zookeeper 组件的用户,假设组件zookeeper的拥有使用者名为 zkp,所需组为root 2.4-- 更新zookeeper的JVM flags 2.5...
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:...
Kafka+Debezium+Mirror跨DC同步搭建.docx
12-22
SASL认证Zookeeper类似,需要在Kafka配置文件`server.properties`中配置相关参数,并确保与Zookeeper认证机制兼容。 **跨DC同步** 跨数据中心(DC)同步是通过Kafka的MirrorMaker或MirrorMaker 2实现的。...
Kafka安装文档和安装
02-23
- **安全性**:Kafka支持SSL和SASL等安全协议,可以实现认证和加密通信。 - **集群扩展**:通过增加更多的代理节点来提升集群的处理能力。 - **数据保留策略**:根据业务需求配置主题的数据保留时间或大小,以控制...
kafka整套安装文件.rar
10-23
在生产环境中,可能需要为KafkaZookeeper配置SSL加密通信,以及设置权限控制(SASL、SSL等),确保数据传输的安全性。 8. **扩展性** Kafka支持水平扩展,可以通过添加更多的broker节点来提高吞吐量和容错性。 ...
ZookeeperKafka安装配置
andy_puth的博客
04-09 930
最近学习大数据环境搭建,今天的是分布式集群的搭建工作,今天的是zookeeperKafka安装配置部署。
kafka开启SSL认证(包括内置zookeeper开启SSL)
m0_37817986的博客
11-09 1617
zookeeperkafka的SSL开启都可独立进行。
Kafka JAAS Plain SASL 安全认证配置
坚持的旅程
07-27 1万+
1. 为zookeeper添加 jaas 文件 zookeeper { org.apache.kafka.common.security.plain.PlainLoginModule required username="geting" password="geting"; };
Apache zookeeper kafka 开启SASL安全认证,花2万块买的教程
m0_60635245的博客
04-07 325
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
JVM原理(十一):JVM虚拟机六种必需对类进行初始化的情况
最新发布
zuodingquan666的博客
07-03 531
Java虚拟机把描述类的数据从Class文件加载到内存,并对数据进行校验、转换解析和初始化,最终形成可以被虚拟机直接使用的Java类型,这个过程被称作虚拟机的类加载机制。Java天生可以动态扩展的语言特性就是依赖运行期间动态加载和动态链接这个特点实现的。
kafka2.7 安装设置SASL_PLAINTEXT
04-05
SASL_PLAINTEXT是一种Kafka的安全机制,可以在传输数据时进行身份验证和加密。下面是在Kafka2.7中设置SASL_PLAINTEXT的步骤: 1. 安装Kafka2.7 首先需要安装Kafka2.7,可以根据自己的操作系统下载安装包或使用源代码编译安装。 2. 配置KafkaKafka配置文件中,需要添加以下配置项: ``` listeners=SASL_PLAINTEXT://localhost:9092 security.inter.broker.protocol=SASL_PLAINTEXT sasl.mechanism.inter.broker.protocol=PLAIN ``` 这些配置项将启用SASL_PLAINTEXT,并指定Kafka监听的地址和端口。 3. 配置认证机制 在Kafka配置文件中,还需要指定认证机制。例如,可以使用PLAIN认证机制进行身份验证。需要添加以下配置项: ``` sasl.enabled.mechanisms=PLAIN sasl.mechanism.inter.broker.protocol=PLAIN sasl.server.callback.handler.class=io.confluent.kafka.security.authenication.plain.PlainServerCallbackHandler security.inter.broker.protocol=SASL_PLAINTEXT ``` 4. 创建用户和密码 在Kafka中,需要为每个用户创建用户名和密码。可以使用kafka-configs.sh工具创建用户和密码。例如,以下命令将创建用户名为“admin”,密码为“admin”的用户: ``` bin/kafka-configs.sh --zookeeper localhost:2181 --alter --add-config 'SCRAM-SHA-256=[password=admin],SCRAM-SHA-512=[password=admin]' --entity-type users --entity-name admin ``` 5. 重启Kafka 完成以上步骤后,需要重启Kafka以使配置生效。 6. 测试SASL_PLAINTEXT 可以使用Kafka的命令行工具(kafka-console-producer.sh和kafka-console-consumer.sh)测试SASL_PLAINTEXT是否生效。例如,以下命令将在SASL_PLAINTEXT模式下启动一个生产者: ``` bin/kafka-console-producer.sh --broker-list localhost:9092 --topic test --producer.config config/producer.properties ``` 在控制台中输入消息后,可以使用以下命令在SASL_PLAINTEXT模式下启动一个消费者来接收消息: ``` bin/kafka-console-consumer.sh --bootstrap-server localhost:9092 --topic test --from-beginning --consumer.config config/consumer.properties ``` 如果一切正常,应该能够成功发送和接收消息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值