在Kafka2.7.2中进行SASL_PLAIN认证配置
1. SASL配置
1.1 server.properties
将下面配置添加至其中
#这里一定要用本地ip
listeners=SASL_PLAINTEXT://192.168.1.162:9092
#这里绑定外网地址
advertised.listeners=SASL_PLAINTEXT://192.168.1.162:9092
# 使用的认证协议
security.inter.broker.protocol=SASL_PLAINTEXT
#SASL机制
security.inter.broker.protocol= SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
# 完成身份验证的类
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
# 如果没有找到ACL(访问控制列表)配置,则允许任何操作
allow.everyone.if.no.acl.found=true
super.users=User:admin
1.2 配置jaas
1.2.1 配置 kafka_server_jaas.conf
将下面配置放入 kafka_server_jaas.conf, 其中username和password是配置zoookeeper内部节点间认证的用户,user_admin=“yxkafka”; 实际上是创建了一个admin用户 密码为你填写的 “yxkafka”,这个用户用来认证生产者和消费者是否能连接kafka
KafkaServer{
org.apache.kafka.common.security.plain.PlainLoginModule required
username="admin"
password="yxkafka"
user_admin="yxkafka";
};
1.2.2 配置 kafka_zookeeper_jaas.conf
将以下配置放入 kafka_zookeeper_jaas.conf, 注意用户名密码和上面配置的要一致
Server{
org.apache.kafka.common.security.plain.PlainLoginModule required
username="admin"
password="yxkafka"
user_admin="yxkafka";
};
1.3 启动加载jaas配置文件
1.3.1 配置 kafka-server-start.sh
进入kafka/bin文件夹,在 kafka-server-start.sh 最上方添加(路径换成自己的)
export KAFKA_OPTS=" -Djava.security.auth.login.config=/data/bigdata/apps/kafka/config/kafka_server_jaas.conf"
1.3.2 配置 zookeeper-server-start.sh
进入kafka/bin文件夹,在 zookeeper-server-start.sh 最上方添加(路径换成自己的)
export KAFKA_OPTS="-Djava.security.auth.login.config=/data/bigdata/apps/kafka/config/kafka_zookeeper_jaas.conf"
1.4 配置kafka-console-consumer.sh和 kafka-console-producer.sh启动文件
1.4.1 配置 kafka-console-consumer.sh
在最上方加上(路径换成自己的)
export KAFKA_HEAP_OPTS="-Xmx512M -Djava.security.auth.login.config=/data/bigdata/apps/kafka/config/kafka_client_jaas.conf"
1.4.2 配置 kafka-console-producer.sh
在最上方加上(路径换成自己的)
export KAFKA_HEAP_OPTS="-Xmx512M -Djava.security.auth.login.config=/data/bigdata/apps/kafka/config/kafka_client_jaas.conf"
1.5 配置consumer.properties和producer.properties文件
将下面配置添加至其中
security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN
1.5.1 配置 consumer.properties
在最上方加上(路径换成自己的)
bootstrap.servers=192.168.1.162:9092
# consumer group id
group.id=test-consumer-group
security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN
1.5.2 配置 producer.properties
在最上方加上(路径换成自己的)
bootstrap.servers=192.168.1.162:9092
# specify the compression codec for all data generated: none, gzip, snappy, lz4, zstd
compression.type=none
security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN
1.6 创建配置文件command_config.properties
该文件其实也是配置的连接Kafka的用户配置文件,但是该文件用于kafka-acls.sh,kafka-configs.sh等文件,同样的名称和路径可自定义,我这里还是把该文件放到解压的config目录中,内容如下:
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="yxkafka";
security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN
2. SASL测试命令
2.1 可以参考如下测试
cd kafka/bin
./kafka-topics.sh --create --bootstrap-server 192.168.1.162:9092 --topic test --partitions 1 --replication-factor 1 --command-config ../config/command_config.properties
./kafka-topics.sh --list --bootstrap-server 192.168.1.162:9092 --command-config ../config/command_config.properties
./kafka-console-consumer.sh --bootstrap-server 192.168.1.162:9092 --topic test --from-beginning --consumer.config ../config/consumer.properties
./kafka-console-producer.sh --bootstrap-server 192.168.1.162:9092 --topic test --producer.config ../config/producer.properties