在Kafka3.7.0中进行SASL_SCRAM认证配置_不使用自带zookeeper

最新推荐文章于 2024-07-15 13:41:12 发布
最新推荐文章于 2024-07-15 13:41:12 发布
阅读量626 收藏 8
点赞数 20
文章标签: zookeeper debian 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010782920/article/details/140094740
版权

在Kafka3.7.0中进行SASL_SCRAM认证配置_不使用自带zookeeper

1. 启动Zookeeper

​ 这里不使用kafka安装包自带的zookeeper,从官网下载apache-zookeeper-3.8.0-bin.tar.gz这个版本使用

​ 另外注意./conf/zoo.cfg这个配置文件内容,dataDir配置,这个存放zookeeper的快照文件,这个路径默认值固定,如果相关机器历史上有配置过zookeeper并且没有修改此配置,那本次配置的zookeeper启动时会加载历史的数据日志文件(不想修改,且确定历史数据不重要的情况下,可以删除该目录下的数据)。

# the directory where the snapshot is stored.
dataDir=/data/bigdata/zookeeper/data

​ 在没有设置任何权限的配置下启动Zookeeper:

./bin/zkServer.sh start ./conf/zoo.cfg

2 创建SCRAM证书

2.1 创建broker通信用户admin

​ 在使用sasl之前必须先创建,否则启动报错

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --alter --add-config 'SCRAM-SHA-256=[password=admin-succ],SCRAM-SHA-512=[password=admin-succ]' --entity-type users --entity-name admin

2.2 创建生产用户producer

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --alter --add-config 'SCRAM-SHA-256=[iterations=8192,password=producer-succ],SCRAM-SHA-512=[password=producer-succ]' --entity-type users --entity-name producer

2.3 创建消费用户:consumer

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --alter --add-config 'SCRAM-SHA-256=[iterations=8192,password=consumer-succ],SCRAM-SHA-512=[password=consumer-succ]' --entity-type users --entity-name consumer

​ SCRAM-SHA-256/SCRAM-SHA-512是对密码加密的算法,二者有其一即可。

3 维护SCRAM证书

3.1 查看SCRAM证书

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --describe --entity-type users --entity-name producer

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --describe --entity-type users --entity-name consumer

3.2 删除SCRAM证书

bin/kafka-configs.sh --zookeeper localhost:2181 --alter --delete-config 'SCRAM-SHA-512' --delete-config 'SCRAM-SHA-256' --entity-type users --entity-name producer

4 服务端配置

​ 在用户证书创建完毕之后开始Kafka服务端的配置

4.1 创建JAAS文件

​ 进入kafka/config文件夹,执行以下命令:

cat > kafka_server_jaas.conf << EOF
KafkaServer {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="admin"
    password="admin-succ";
};
EOF

4.2 启动加载jaas配置文件

​ 进入kafka/bin文件夹,在 kafka-server-start.sh 最上方添加(路径换成自己的)

export KAFKA_OPTS=" -Djava.security.auth.login.config=/home/bigdata/apps/kafka/config/kafka_server_jaas.conf"

4.3 配置server.properties【config/server.properties】

​ 将下面配置添加至其中

#认证配置
listeners=SASL_PLAINTEXT://:9092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=SCRAM-SHA-256
sasl.enabled.mechanisms=SCRAM-SHA-256

#ACL配置
allow.everyone.if.no.acl.found=false
super.users=User:admin
authorizer.class.name=kafka.security.authorizer.AclAuthorizer

​ 可以根据自己的需求选择SASL_SSL或SASL_PLAINTEXT, PLAINTEXT为不加密明文传输,性能好一点。

​ 另外注意,log.dirs配置,这个存放kafka的数据日志文件,这个路径默认值固定,如果相关机器历史上有配置过kafka并且没有修改此配置,那本次配置的kafka启动时会加载历史的数据日志文件(不想修改,且确定历史数据不重要的情况下,可以删除该目录下的数据)。

# A comma separated list of directories under which to store log files
log.dirs=/tmp/kafka-logs。

4.4 配置完后重启Zookeeper,再启动Kafka

./bin/zkServer.sh stop

./bin/zkServer.sh start ./conf/zoo.cfg
 
nohup sh ./bin/kafka-server-start.sh ./config/server.properties  >/dev/null 2>&1 &

5 客户端配置

5.1 创建的三个用户的三个JAAS文件

kafka_client_scram_admin_jaas.conf
kafka_client_scram_producer_jaas.conf
kafka_client_scram_consumer_jaas.conf

​ 进入kafka/config文件夹,执行以下命令:

cat > kafka_client_scram_admin_jaas.conf << EOF
KafkaClient {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="admin"
    password="admin-succ";
};
EOF

cat > kafka_client_scram_producer_jaas.conf << EOF
KafkaClient {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="producer"
    password="producer-succ";
};
EOF

cat > kafka_client_scram_consumer_jaas.conf << EOF
KafkaClient {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="consumer"
    password="consumer-succ";
};
EOF

5.2 在启动脚本中引入JAAS文件

​ 进入kafka/bin文件夹,在 kafka-console-producer.sh 最上方添加(路径换成自己的):

export KAFKA_HEAP_OPTS="-Xmx512M -Djava.security.auth.login.config=/home/bigdata/apps/kafka/config/kafka_client_scram_producer_jaas.conf"

​ 进入kafka/bin文件夹,在 kafka-console-consumer.sh 最上方添加(路径换成自己的):

export KAFKA_HEAP_OPTS="-Xmx512M -Djava.security.auth.login.config=/home/bigdata/apps/kafka/config/kafka_client_scram_consumer_jaas.conf"

5.3 配置consumer.properties和producer.properties

cat > consumer.properties << EOF
security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-256
group.id= test-consumer-group
EOF

cat > producer.properties << EOF
security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-256
EOF

5.4 创建配置文件command_config.properties

​ 该文件其实也是配置的连接Kafka的用户配置文件,但是该文件用于kafka-acls.sh,kafka-configs.sh等文件,同样的名称和路径可自定义,我这里还是把该文件放到解压的config目录中,内容如下:

sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="admin" password="admin-succ";
security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-256

cat > command_config.properties << EOF
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="admin" password="admin-succ";
security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-256
EOF

5.5 创建主题

bin/kafka-topics.sh --create --bootstrap-server 127.0.0.1:9092 --topic test --partitions 3 --replication-factor 1 --command-config ./config/command_config.properties

bin/kafka-topics.sh --list --bootstrap-server 127.0.0.1:9092 --command-config ./config/command_config.properties

5.6 对生产者赋予写的权限

bin/kafka-acls.sh --bootstrap-server 127.0.0.1:9092 -add --allow-principal User:producer --operation Write --topic test --command-config ./config/command_config.properties

5.7 查看权限

bin/kafka-acls.sh --bootstrap-server 127.0.0.1:9092 --list --topic test --command-config ./config/command_config.properties

5.8 对消费者赋予读的权限

bin/kafka-acls.sh --bootstrap-server 127.0.0.1:9092 --add --allow-principal User:consumer --operation Read --topic test --command-config ./config/command_config.properties

5.9 对消费者赋予组的权限

bin/kafka-acls.sh --bootstrap-server 127.0.0.1:9092 --add --allow-principal User:consumer --operation Read --topic test --group test-consumer-group --command-config ./config/command_config.properties

5.10 启动生产

bin/kafka-console-producer.sh --broker-list 127.0.0.1:9092 --topic test --producer.config config/producer.properties

5.11 启动消费者

bin/kafka-console-consumer.sh --bootstrap-server 127.0.0.1:9092 --topic test --from-beginning --consumer.config config/consumer.properties

6 使用ACL进行用户管理并进行队列相关操作

6.1 创建主题

./bin/kafka-topics.sh --create --bootstrap-server 127.0.0.1:9092 --topic tp_usera --partitions 3 --replication-factor 1 --command-config ./config/command_config.properties

6.2 添加用户

./bin/kafka-configs.sh --bootstrap-server 127.0.0.1:9092 --alter --add-config 'SCRAM-SHA-256=[password=abcd],SCRAM-SHA-512=[password=abcd]' --entity-type users --entity-name usera --command-config ./config/command_config.properties

6.3 给指定用户添加指定topic【读和写权限】

./bin/kafka-acls.sh --bootstrap-server 127.0.0.1:9092 --add --allow-principal User:usera  --operation Read --operation Write --topic tp_usera --command-config ./config/command_config.properties

6.4 给用户添加指定topic【消息生产权限】

./bin/kafka-acls.sh --bootstrap-server 127.0.0.1:9092 --add --allow-principal User:usera --producer --topic tp_usera --command-config ./config/command_config.properties

6.5 给用户添加指定topic【消息消费权限,并对消费者赋予组的权限】

./bin/kafka-acls.sh --bootstrap-server 127.0.0.1:9092 --add --allow-principal User:usera --consumer --topic tp_usera --group test-consumer-group --command-config ./config/command_config.properties

6.6 查看指定topic的开放权限信息(主要是查看对哪些用户开放了哪些权限)

./bin/kafka-acls.sh --bootstrap-server 127.0.0.1:9092 --list --topic tp_usera --command-config ./config/command_config.properties

6.7 创建的两个用户的两个JAAS文件

kafka_client_scram_producer_usera_jaas.conf
kafka_client_scram_consumer_usera_jaas.conf

​ 进入kafka/config文件夹,执行以下命令:

cat > kafka_client_scram_producer_usera_jaas.conf << EOF
KafkaClient {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="usera"
    password="abcd";
};
EOF

cat > kafka_client_scram_consumer_usera_jaas.conf << EOF
KafkaClient {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="usera"
    password="abcd";
};
EOF

6.8 在启动脚本中引入JAAS文件

​ 进入kafka/bin文件夹,新增 kafka-console-producer-usera.sh 文件,注意最上方添加(路径换成自己的):

cp kafka-console-producer.sh kafka-console-producer-usera.sh
vi kafka-console-producer-usera.sh

​ 修改“KAFKA_HEAP_OPTS”所在的行为下面的内容:

export KAFKA_HEAP_OPTS="-Xmx512M -Djava.security.auth.login.config=/home/bigdata/apps/kafka/config/kafka_client_scram_producer_usera_jaas.conf"

​ 进入kafka/bin文件夹,新增 kafka-console-consumer-usera.sh 文件,注意最上方添加(路径换成自己的):

cp kafka-console-consumer.sh kafka-console-consumer-usera.sh
vi kafka-console-consumer-usera.sh

​ 修改“KAFKA_HEAP_OPTS”所在的行为下面的内容:

export KAFKA_HEAP_OPTS="-Xmx512M -Djava.security.auth.login.config=/home/bigdata/apps/kafka/config/kafka_client_scram_consumer_usera_jaas.conf"

6.9 启动生产者

./bin/kafka-console-producer-usera.sh --broker-list 127.0.0.1:9092 --topic tp_usera --producer.config config/producer.properties

6.10 启动消费者

./bin/kafka-console-consumer-usera.sh --bootstrap-server 127.0.0.1:9092 --topic tp_usera --from-beginning --consumer.config config/consumer.properties

参考文档

(1):Kafka配置动态SASL_SCRAM认证

武舞悟
关注
  • 20
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kafka SASL_SSL双重认证
weixin_44783506的博客
02-05 3585
kafka提供了多种安全认证机制,主要分为SASL和SSL两大类。在 Kafka 启用 SASL_SSL 安全协议时,SASL 用于客户端和服务器之间的身份验证,SSL 则用于加密和保护数据的传输。不仅提供身份验证,还提供加密和数据保护的功能。因工作需要,需要在测试环境搭建一套基于SASL_SSL协议的kafka环境。坑比较多,经过两天的研究终于搞定了,特在此记录下。
Kafka SASL/SCRAM认证与ACL配置
u010100623的博客
05-11 856
Kafka SASL/SCRAM认证与ACL配置
Kafka配置SASL_PLAINTEXT权限。常用操作命令,创建用户,topic授权
u010479989的博客
03-15 1520
Kafka配置SASL_PLAINTEXT权限。常用操作命令,创建用户,topic授权
docker-compose部署kafkaSASL模式(密码校验模式)_system
2301_82241942的博客
06-19 749
Zookeeper作为Kafka的协调服务,负责管理集群的状态和配置。这个配置文件ZookeeperKafka都有详细的配置和环境变量设置,以适应特定的使用场景或安全需求。例如,SASL_PLAINTEXT是用于安全认证的协议,而SimpleAclAuthorizer则是一个简单的访问控制列表作者器,用于权限控制。这是一个Docker Compose文件,用于定义和运行多个Docker容器的应用。需要新建文件:server_jaas.conf,前两个是zk配置,后两个是kafka配置
Kafka SASL_SSL双重认证_kafka_ssl认证 csdn,大数据开发面试基础问题
kOS0ym的博客
04-13 446
截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**
huaweicloudDocs#kafka#创建SASL_SSL用户1
07-25
创建SASL_SSL用户Kafka专享版实例开启SASL_SSL后,参考本章节创建SASL_SSL用户,并在TopicSASL_SSL用户设置不同的权限,以
配置好的kafka_2.12-2.8.0 + SCRAM-SHA-256
12-02
在本文,我们将深入探讨Kafka配置SCRAM-SHA-256的工作原理以及如何在Kafka集群设置和使用它。 ### Kafka基本概念 Kafka作为一个消息队列,允许应用程序发布和订阅实时数据流。它以高吞吐量、持久化和容错...
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:...
Kafka配置参数详解 - 网络技术.rar_KAFKA broker_Kafka配置参数详解_kafka
09-14
在Apache Kafka,broker是消息间件的核心组件,它负责接收、存储和转发消息。`server.properties`配置文件是每个Kafka broker的核心配置文件,它定义了Kafka节点的行为和性能特性。本篇将深入探讨Kafka配置参数...
kafka最新版本3.1.0版本安装(使用zookeeper使用kraft)两种安装及日常维护命令,kafka 3.0
05-11
本指南将详细介绍如何在 Kafka 3.1.0 使用 Zookeeper 和 KRaft 模式进行安装,并提供日常维护所需的命令。 **一、安装准备** 1. **环境配置** 在安装 Kafka 之前,确保服务器满足以下条件: - Java 8 或更高...
zookeeper+kafka消息队列群集部署
最新发布
henanchenxuyuan的博客
07-15 860
所谓单点故障,就是在一个主从的分布式系统,主节点负责任务调度分发,从节点负责任务的处理,而当主节点发生故障时,整个应用系统也就瘫痪了,那么这种故障就称为单点故障。那我们的解决方法就是通过对集群master角色的选取,来解决分布式系统单点故障的问题。
分布式服务基于Zookeeper分布式锁的实现
LQzhang_11的博客
07-11 405
通过以上步骤和代码示例,我们了解了如何利用 ZooKeeper 实现分布式锁。ZooKeeper 提供的顺序节点和 Watche机制为实现高效、可靠的分布式锁提供了强大的支持。这种机制在分布式系统非常有用,能够有效地协调多个客户端对共享资源的访问。ZooKeeper分布式锁机制是一种协调多个客户端访问共享资源的方法。通过使用 ZooKeeper 的持久化节点和临时顺序节点,可以实现高效且可靠的分布式锁。下面是分布式锁的工作原理以及如何使用它的具体步骤。
zookeeper相关总结
沙漏
07-12 617
ZooKeeper 通过主从架构、ZAB 协议、Session 和 Watch 机制,实现了高可用、强一致性的分布式协调服务。它在分布式系统起到了关键作用,为配置管理、命名服务、分布式锁和领导者选举等场景提供了可靠的解决方案。ZooKeeper 是一个 CP 系统,在 CAP 定理优先保证一致性和分区容忍性。一致性:通过多数确认机制和 ZAB 协议确保数据一致性。分区容忍性:在网络分区时,通过选举新的 Leader 保持系统运行。可用性:在某些情况下会被牺牲,以确保系统的一致性和分区容忍性。
Windows 安装Zookeeper
小羊的 Blog
07-11 232
Windows 安装Zookeeper
数据建设实践之大数据平台(二)安装zookeeper
知行合一
07-11 304
安装zookeeper
kafka2.7 安装设置SASL_PLAINTEXT
04-05
SASL_PLAINTEXT是一种Kafka的安全机制,可以在传输数据时进行身份验证和加密。下面是在Kafka2.7设置SASL_PLAINTEXT的步骤: 1. 安装Kafka2.7 首先需要安装Kafka2.7,可以根据自己的操作系统下载安装包或使用源代码编译安装。 2. 配置KafkaKafka配置文件,需要添加以下配置项: ``` listeners=SASL_PLAINTEXT://localhost:9092 security.inter.broker.protocol=SASL_PLAINTEXT sasl.mechanism.inter.broker.protocol=PLAIN ``` 这些配置项将启用SASL_PLAINTEXT,并指定Kafka监听的地址和端口。 3. 配置认证机制 在Kafka配置文件,还需要指定认证机制。例如,可以使用PLAIN认证机制进行身份验证。需要添加以下配置项: ``` sasl.enabled.mechanisms=PLAIN sasl.mechanism.inter.broker.protocol=PLAIN sasl.server.callback.handler.class=io.confluent.kafka.security.authenication.plain.PlainServerCallbackHandler security.inter.broker.protocol=SASL_PLAINTEXT ``` 4. 创建用户和密码 在Kafka,需要为每个用户创建用户名和密码。可以使用kafka-configs.sh工具创建用户和密码。例如,以下命令将创建用户名为“admin”,密码为“admin”的用户: ``` bin/kafka-configs.sh --zookeeper localhost:2181 --alter --add-config 'SCRAM-SHA-256=[password=admin],SCRAM-SHA-512=[password=admin]' --entity-type users --entity-name admin ``` 5. 重启Kafka 完成以上步骤后,需要重启Kafka以使配置生效。 6. 测试SASL_PLAINTEXT 可以使用Kafka的命令行工具(kafka-console-producer.sh和kafka-console-consumer.sh)测试SASL_PLAINTEXT是否生效。例如,以下命令将在SASL_PLAINTEXT模式下启动一个生产者: ``` bin/kafka-console-producer.sh --broker-list localhost:9092 --topic test --producer.config config/producer.properties ``` 在控制台输入消息后,可以使用以下命令在SASL_PLAINTEXT模式下启动一个消费者来接收消息: ``` bin/kafka-console-consumer.sh --bootstrap-server localhost:9092 --topic test --from-beginning --consumer.config config/consumer.properties ``` 如果一切正常,应该能够成功发送和接收消息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值