kafka sasl_ssl配置

已于 2022-09-29 14:12:18 修改
阅读量2.4k 收藏 1
点赞数 2
分类专栏: kafka 文章标签: ssl https 网络协议
于 2022-09-29 10:41:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/totoro1992/article/details/127089412
版权

一、切换到存储证书的路径

我这里在家目录中的创建了ssl文件夹
mkdir ssl && cd ssl

二、生成服务端密钥库

keytool -keystore server.keystore.jks -alias localhost -validity 365 -genkey

验证证书:

keytool -list -v -keystore server.keystore.jks

三、创建CA 并将CA导入到truststore中

生成CA:
openssl req -new -x509 -keyout ca-key -out ca-cert -days 365

将CA导入到truststore中:
keytool -keystore server.truststore.jks -alias CARoot -import -file ca-cert
keytool -keystore client.truststore.jks -alias CARoot -import -file ca-cert

四、从KeyStore导出证书,并用上述步骤生成的CA来签名生成的证书:

导出证书:
keytool -keystore server.keystore.jks -alias localhost -certreq -file cert-file

签名:
openssl x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out cert-signed -days 365 -CAcreateserial -passin pass:ka123456

 五、将证书导入KeyStore

keytool -keystore server.keystore.jks -alias CARoot -import -file ca-cert
keytool -keystore server.keystore.jks -alias localhost -import -file cert-signed

六、生成客户端密钥库

keytool -keystore client.keystore.jks -alias localhost -validity 365 -keyalg RSA -genkey

七、配置zookeeper认证:

1、zookeeper是homebrew安装kafka是安装,配置文件路径为:/usr/local/opt/kafka/libexec/config/,在此目录下创建zookeeper-server-jaas.conf配置文件,定义了两个用户,可提供给生产者和消费者使用,格式为:user_用户名="用户密码",内容如下:

Server {
  org.apache.zookeeper.server.auth.DigestLoginModule required
  user_admin="qaz!@#QAZ"
  user_kafka="qaz123!@#QAZ";
};

2、zookeeper配置文件zookeeper.properties中新增SASL认证配置,如下:

dataDir=/usr/local/var/lib/zookeeper
# the port at which the clients will connect
clientPort=2181
# disable the per-ip limit on the number of connections since this is a non-production config
maxClientCnxns=0
# Disable the adminserver by default to avoid port conflicts.
# Set the port to something non-conflicting if choosing to enable this
admin.enableServer=false
# admin.serverPort=8080
authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000

3、在/usr/local/opt/zookeeper/libexec/bin/zkEnv.sh脚本中新增jvm参数,让其启动时加载jaas配置文件

export SERVER_JVMFLAGS="-Xmx${ZK_SERVER_HEAP}m $SERVER_JVMFLAGS -Djava.security.auth.login.config=/usr/local/opt/kafka/libexec/config/zookeeper-server-jaas.conf"

# default heap for zookeeper client
ZK_CLIENT_HEAP="${ZK_CLIENT_HEAP:-256}"
export CLIENT_JVMFLAGS="-Xmx${ZK_CLIENT_HEAP}m $CLIENT_JVMFLAGS"

八、配置kafka安全认证:

1、在/usr/local/opt/kafka/libexec/config目录下创建kafka-server-jaas.conf和kafka-client-jaas.conf配置文件,内容如下:

kafka-server-jaas.conf:
KafkaServer {
  org.apache.kafka.common.security.plain.PlainLoginModule required
  username="admin"
  password="qazQAZ123!@#"
  user_admin="qazQAZ123!@#"
  user_kafka="qaz!@#123";
};

Client {
  org.apache.kafka.common.security.plain.PlainLoginModule required
  username="kafka"
  password="qaz123!@#QAZ";
};



kafka-client-jaas.conf:
KafkaClient {
        org.apache.kafka.common.security.plain.PlainLoginModule required
        username="kafka"
        password="qaz!@#123";
};

2、在kafka启动脚本(/usr/local/opt/kafka/libexec/bin/kafka-server-start.sh)配置环境变量,指定jaas.conf文件,增加如下代码:

-Djava.security.auth.login.config=/usr/local/Cellar/kafka/3.2.0/libexec/config/kafka-server-jaas.conf

3、修改kafka配置文件:/usr/local/opt/kafka/libexec/config/server.properties

九、java端代码

将步骤三生成的客户信任库client.truststore.jks复制到到java项目中,以便client可以信任这个CA

生产者:

// 1. 创建 kafka 生产者的配置对象
Properties props = new Properties();

// 2. 给 kafka 配置对象添加配置信息:bootstrap.servers
props.put(ProducerConfig.BOOTSTRAP_SERVERS_CONFIG, "127.0.0.1:9093");  props.put(ProducerConfig.KEY_SERIALIZER_CLASS_CONFIG,StringSerializer.class.getName());
props.put(ProducerConfig.VALUE_SERIALIZER_CLASS_CONFIG, StringSerializer.class.getName());
props.put(CommonClientConfigs.SECURITY_PROTOCOL_CONFIG,"SASL_SSL");
props.put(SaslConfigs.SASL_MECHANISM,"PLAIN"); props.put(SaslConfigs.SASL_JAAS_CONFIG,"org.apache.kafka.common.security.plain.PlainLoginModule required username='kafka' password='qaz!@#123';");
props.put(SslConfigs.SSL_ENDPOINT_IDENTIFICATION_ALGORITHM_CONFIG,"");      props.put(SslConfigs.SSL_TRUSTSTORE_LOCATION_CONFIG,DEFAULT_BASE_CONF_PATH+"client.truststore.jks");
props.put(SslConfigs.SSL_TRUSTSTORE_PASSWORD_CONFIG,"ka123456");
// 3. 创建 kafka 生产者对象
KafkaProducer<String, String> producer = new KafkaProducer<>(props);
System.out.println("开始发送数据");

String msg = "Hello World";
// 4. 调用 send 方法,发送消息
producer.send(new ProducerRecord<String, String>("topic1","value ",msg));
// 5. 关闭资源
producer.close();

消费者:

String filePath = file.getAbsolutePath();
// 1.创建消费者的配置对象
Properties props = new Properties();
// 2.给消费者配置对象添加参数
props.put(ConsumerConfig.BOOTSTRAP_SERVERS_CONFIG, "127.0.0.1:9093");
// 配置序列化 必须
props.put(ConsumerConfig.KEY_DESERIALIZER_CLASS_CONFIG, StringDeserializer.class.getName());
props.put(ConsumerConfig.VALUE_DESERIALIZER_CLASS_CONFIG, StringDeserializer.class.getName());

// 配置消费者组(组名任意起名) 必须
props.put(ConsumerConfig.GROUP_ID_CONFIG, "test-group1");
props.put(ConsumerConfig.AUTO_OFFSET_RESET_CONFIG,"earliest");
props.put(ConsumerConfig.ENABLE_AUTO_COMMIT_CONFIG,false);  //关闭自动提交
props.put(ConsumerConfig.MAX_POLL_RECORDS_CONFIG,1);
props.put(CommonClientConfigs.SECURITY_PROTOCOL_CONFIG,"SASL_SSL");
props.put(SaslConfigs.SASL_MECHANISM,"PLAIN");  
     props.put(SaslConfigs.SASL_JAAS_CONFIG,"org.apache.kafka.common.security.plain.PlainLoginModule required username='kafka' password='qaz!@#123';");

props.put(SslConfigs.SSL_ENDPOINT_IDENTIFICATION_ALGORITHM_CONFIG,"");      props.put(SslConfigs.SSL_TRUSTSTORE_LOCATION_CONFIG,filePath+"/conf/client.truststore.jks");
props.put(SslConfigs.SSL_TRUSTSTORE_PASSWORD_CONFIG,"ka123456");

// 创建消费者对象
KafkaConsumer<String, String> consumer = new KafkaConsumer<>(props);
// 注册要消费的主题(可以消费多个主题)
ArrayList<String> topics = new ArrayList<>();
topics.add("topic1");
consumer.subscribe(topics);
System.out.println("准备接收数据.........");
// 拉取数据打印
while (true) {
    ConsumerRecords<String, String> records = consumer.poll(Duration.ofSeconds(10));
    for(ConsumerRecord<String,String> record : records){
        String value = record.value();
        System.out.println(value);
    }
    if(records.count() > 0) {
        //手动异步提交offset,当前线程提交offset不会阻塞,可以继续处理后面的程序逻辑
        consumer.commitAsync(new OffsetCommitCallback() {
            @Override
            public void onComplete(Map<TopicPartition, OffsetAndMetadata> offsets, Exception exception) {
                if (exception != null) {
                    System.err.println("Commit falide for" + offsets);
                    System.err.println("Commit falide exception" + exception.getStackTrace());
                }
            }
         });
    }
}

totoro1992
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kafka2.x版本配置SSL进行加密和身份验证
heming20122012的专栏
03-19 1876
与步骤 1 中存储每台机器自己的身份的密钥库不同,客户机的信任库存储客户机应信任的所有证书。您可以使用单个 CA 对集群中的所有证书进行签名,并让所有计算机共享信任该 CA 的同一信任库。因此,只要 CA 是真实且受信任的颁发机构,客户端就可以高度保证它们连接到真实的计算机。部署一个或多个支持 SSL 的代理的第一步是为集群中的每台计算机生成密钥和证书。完成第一步后,群集中的每台计算机都有一个公钥-私钥对,以及一个用于标识计算机的证书。生成的 CA 只是一个公钥-私钥对和证书,它旨在对其他证书进行签名。
Kafka SASL_SSL双重认证
weixin_44783506的博客
02-05 3617
kafka提供了多种安全认证机制,主要分为SASL和SSL两大类。在 Kafka 中启用 SASL_SSL 安全协议时,SASL 用于客户端和服务器之间的身份验证,SSL 则用于加密和保护数据的传输。不仅提供身份验证,还提供加密和数据保护的功能。因工作需要,需要在测试环境搭建一套基于SASL_SSL协议的kafka环境。坑比较多,经过两天的研究终于搞定了,特在此记录下。
Kafka SASL_SSL集群认证
麦田里的守望者-蒋中洲【相信相信的力量】
05-23 1457
公司需要对kafka环境进行安全验证,目前考虑到的方案有Kerberos和SSLSASL_SSL,最终考虑到安全和功能的丰富度,我们最终选择了SASL_SSL方案。到此为止,SSL的证书生成和签发完成,可以在当前目录下看到server.keystore.jks和server.truststore.jks文件,最后将这些签发的证书上传到剩下的两台kafka机器上的。证书的生成只需要在任意一台机器上实现,然后将生成的证书拷贝到其余的机器上即可。本次案例生成的在141这台机器上。1)生成keystore。
kafka ssl sasl_ssl 配置
weixingjunzhe的博客
11-21 3615
ssl参考资料: https://www.cnblogs.com/enhance/p/11233164.html http://kafka.apache.org/documentation/#security_ssl http://www.javacoder.cn/?p=867 https://www.cnblogs.com/lt-blogs/p/7154345.html 一、kafka ssl 配置 #两台机器 kafka_2.11-2.2.0.tgz centos7.7 kafka ...
Kafka配置SSL安全认
m0_61332144的博客
02-28 2915
Kafka配置SSL安全认证
kafkasasl配置
atarik@163.com
02-27 2125
1、Kafka brokers的SASL配置 在broker中选择1个或多个支持的机制启用,kafka目前支持的机制有 GSSAPI 和 PLAIN 。 添加一个JAAS文件来配置选择的 GSSAPI(Kerberos)或 PLANIN。 JAAS配置文件位置作为JVM参数传递给每个broker代理。例如: - Djava.security.auth.login....
SASL_SSL jks鉴权验证方式
探索er的博客
12-08 859
SASL_SSL jks鉴权验证方式
Kafka配置SSL加密传输
qq_41527073的博客
11-04 8040
Kafka配置SSL加密传输 一、证书配置 1、生成证书 如我输入命令如下:依次是 密码—重输密码—名与姓—组织单位—组织名—城市—省份—国家两位代码—密码—重输密码,后面告警不用管,此步骤要注意的是,名与姓这一项必须输入域名,如 “localhost”,切记不可以随意写,我曾尝试使用其他字符串,在后面客户端生成证书认证的时候一直有问题。 keytool -keystore server.keystore.jks -alias localhost -validity 3650 -genkey Enter k
huaweicloudDocs#kafka#创建SASL_SSL用户1
07-25
创建SASL_SSL用户Kafka专享版实例开启SASL_SSL后,参考本章节创建SASL_SSL用户,并在Topic中为SASL_SSL用户设置不同的权限,以
最新版kafka kafka_2.13-2.5.1.tgz
08-13
- Kafka 2.x版本增强了安全特性,支持SSL/TLS加密和SASL身份验证,确保数据传输的安全。 8. **监控与管理**: - Kafka与Prometheus和Grafana等监控工具集成,可以可视化集群状态,便于性能调优和问题排查。 - ...
最新版kafka kafka_2.12-2.6.0.tgz
08-08
- **Enhanced Security**:增强了安全性,包括SASL/SSL加密和授权机制。 - **Producer Enhancements**:改进了生产者API,提高了吞吐量和性能。 - **Consumer Improvements**:优化了消费者API,支持更灵活的消费...
kafka配置SSL(shell脚本)
04-11
kafka配置SSL的前几步骤,写成shell脚本了,方便!博客参考:https://blog.csdn.net/qq_34021712/article/details/79902479
最新版kafka kafka_2.12-2.5.1.tgz
08-13
- 安装 Kafka 2.5.1,需要解压 `kafka_2.12-2.5.1` 压缩包,配置环境变量,并启动 Zookeeper 和 Kafka 服务。 - 配置文件 `server.properties` 包含了 Kafka 服务器的主要设置,如 broker ID、端口号、日志目录等...
最新版 kafka_2.13-2.7.0.tgz
12-23
2. 安全性增强:Kafka支持SSL/TLS加密和SASL身份验证,确保数据传输的安全。新版本可能会有新的安全特性或对现有安全机制的改进,比如更严格的权限控制。 3. 新的API和客户端库:Kafka提供了Java、Scala和C++等语言...
KafKa 开启 SASL 验证
41981DC的博客
08-12 2786
kafka 配置 sasl 权限认证
kafka 集群sasl认证_kafka集群开启sals认证,2024年最新大数据开发端简单易用的SPI框架
kOS0ym的博客
04-13 308
【代码】kafka 集群sasl认证_kafka集群开启sals认证,2024年最新大数据开发端简单易用的SPI框架。
Kafka配置动态SASL_SCRAM认证
冰之杍的博客
10-12 3772
(Kafka配置动态SASL_SCRAM认证)Kafka中需要加上认证,并动态新增用户,SASL/SCRAM验证可以支持
Kafka部署全攻略——基于SSLSASL_PLAIN安全认证实现
bbsxb520的博客
06-28 207
基于SSLSASL_PLAIN安全认证实现
SSLRec代码分析
最新发布
帆的博客
07-14 173
类,用于使用网格搜索方法进行超参数调优。它遍历超参数值的组合,根据配置构建和训练模型,并管理超参数的配置和记录。
kafka sasl_ssl证书
10-10
Kafka SASL_SSL证书是用于加密和认证Kafka集群中的客户端和服务端之间...在Kafka配置SASL_SSL证书需要生成服务端和客户端的证书,并将证书配置到对应的Kafka配置文件中。具体步骤可以参考Kafka官方文档中的相关章节。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值