Kafka认证权限配置(动态添加用户)

最新推荐文章于 2024-05-24 15:54:37 发布
VIP文章 最新推荐文章于 2024-05-24 15:54:37 发布
阅读量6.6k 收藏 9
点赞数 2
文章标签: 大数据 java 数据库
原文链接:http://www.cnblogs.com/huxi2b/p/10437844.html
版权

  之前写过一篇Kafka ACL使用实战,里面演示了如何配置SASL PLAIN + ACL来为Kafka集群提供认证/权限安全保障,但有一个问题经常被问到:这种方案下是否支持动态增加/移除认证用户——这里给出明确的答案:不可以!因为所有认证用户信息全部配置在静态的jaas文件中,故无法在不重启broker的情况下实现用户增减。这一次我以Kafka 2.1.0版本为例演示配置SASL SCRAM + ACL来实现如何动态增减用户,另外也想完善和优化上一篇中的一些不足之处(比如说不用再修改初始的.sh脚本,改用环境变量的方式来使设置生效)。

1. 环境准备

Kafka服务器:一台云主机,4 core,8GB RAM,1Gbps带宽

Kafka客户端:另一台云主机

客户端与服务器通过内网交互

2. 集群拓扑

启动两台Kafka服务器,由于我只在一台云主机上演示,故上面启动两个broker实例。客户端这边使用console-producer和console-consumer脚本来模拟客户端程序。

3. 创建用户

  我们使用kafka-configs.sh来创建用户,Kafka的SCRAM实现机制会把用户认证信息保存在Zookeeper中。假设我要创建3个用户admin, writer, reader分别用于实现Kafka broker间通讯、生产消息和消费消息。下面我们开始具体的配置:首先启动Zookeeper,但不要启动Kafka broker,ZK启动成功后执行以下命令去创建3个用户:

创建writer用户,密码是writer-pwd: 

$ bin/kafka-configs.sh --zookeeper 172.21.0.9:2181 --alter --add-config 'SCRAM-SHA-256=[iterations=8192,password=writer-pwd],SCRAM-SHA-512=[password=writer-pwd]' --entity-type users --entity-name writer

Completed Updating config for entity: user-principal 'writer'.

创建reader用户,密码是reader-pwd:  

$ bin/kafka-configs.sh --zookeeper 172.21.0.9:2181 --alter --add-config 'SCRAM-SHA-256=[password=reader-pwd],SCRAM-SHA-512=[password=reader-pwd]' --entity-type users --entity-name reader
Completed Updating config for entity: user-principal 'reader'.

创建admin用户,密码是admin:

$ bin/kafka-configs.sh --zookeeper 172.21.0.9:2181 --alter --add-config 'SCRAM-SHA-256=[password=admin],SCRAM-SHA-512=[password=admin]' --entity-type users --entity-name admin
Completed Updating config for entity: user-principal 'admin'.

3个测试用户都创建好了,下面我们使用kafka-configs.sh查看一下writer用户的信息:

$ bin/kafka-configs.sh --zookeeper 172.21.0.9:2181 --describe --entity-type users --entity-name writer
Configs for user-principal 'writer' are SCRAM-SHA-512=salt=dTlvNzl4Y3BvZ3BuMmx5ODY0aWlzN2RsZg==,stored_key=Yc02SwxDkAKDQH01W98bkJLJcVO24q9vR5tS0nWaq5Jg2Z7DtzwrOt6J2Cr8Oib+dHq7TUIeG+NLiCAMnRlfVg==,server_key=Tu+iiosvJrDemOvjaDdzrh2GhLRg6r9zoTRDdvXZCMA7n7+D8DYsUz6Gnugcczsnz5Ut/jkkklEOXYRXIqOLCg==,iterations=4096,SCRAM-SHA-256=salt=Y2dpcnB4aTU5NWNwMDZjNmFvbHluMWJpOQ==,stored_key=GGMhtO1PhxZFpEHOaDiqA4AM16Ma19nky1UV/gFoC1s=,server_key=L0R1xkcULaWcGMu6TdtWi5mf5lu1VTS8imWvKPlM3i4=,iterations=8192

里面包含了writer用户加密算法SCRAM-SHA-256以及SCRAM-SHA-512对应的盐值(salt)、ServerKey和StoreKey等,总之都是S

最低0.47元/天 解锁文章
weixin_30367543
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:...
kafka鉴权动态添加用户搭建
langzi_hadoop的博客
01-11 1618
1.根据自己需要的版本下载 confluent下载网址如下: https://www.confluent.io/previous-versions/ 2.修改zookeeper.properties # Licensed to the Apache Software Foundation (ASF) under one or more # contributor license agreements. See the NOTICE file distributed with # this work.
linux kafka 创建用户
一种感觉的博客
03-28 3505
创建管理员 bin/kafka-configs.sh --zookeeper localhost:2181 --alter --add-config 'SCRAM-SHA-256=[password=admin-secret],SCRAM-SHA-512=[password=admin-secret]' --entity-type users --entity-name admin #创建客户端用户fanboshi bin/kafka-configs.sh --zookeeper localhost:21
用 JetBrains DataGrip 连接 Huawei openGauss
GSON的博客
04-25 295
DataGrip 连接GaussDB数据库的时候,会出现身份验证只能通过无验证或 pgpass 进行,而没有需要的用户名-密码的方式,也就无处填写 user 和 password。这是由于 openGauss 与 PostgreSQL 对于密码的 hash 方式不完全相同,SHA256 不兼容 PostgreSQL 的驱动。这样做是因为,DataGrip 只会要求用户填写已经在模板中出现的参数,比如。,它会根据模板的情况智能生成一个对应的填写表。
kafka 添加用户名 密码权限ASL/PLAIN ACL常用权限操作
hanglove_lucky的博客
04-02 3192
一、先配置用户(SASL/PLAIN) 1,kafka安装目录下的config下的server.properties 复制了 一份在复制上面进行改动 server-sasl.properties 修改文件 # 添加下面的配置 ip和端口改成自己需要 listeners=SASL_PLAINTEXT://localhost:9092 security.inter.broker.pro...
KafkaKafka 配置 SCRAM认证
九师兄
08-08 2399
PLAIN认证有个问题,就是不能动态新增用户,每次添加用户后,需要重启正在运行的Kafka集群才能生效。为此,在生产环境,这种认证方式不符合实际业务场景。而SCRAM不一样,使用SCRAM认证,可以动态新增用户添加用户后,可以不用重启正在运行的Kafka集群即可进行鉴权。 本篇文档中使用的是自己部署的zookeeper, zookeeper无需做任何特殊配置 1.准备 使用SASL / SCRAM进行身份验证,请先在不配置任何身份验证的情况下启动Kafka 2.创建SCRAM Credentials.
Python confluent kafka客户端配置kerberos认证流程详解
01-19
其中第一种SASL/GSSAPI的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的...
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
SpringKafka 动态配置监听消费 Example Code
04-25
本项目为基于 Spring Kafka动态配置消费者的 Demo,主要实现了以下功能: 1. 动态读取数据库配置连接 Kafka 地址 2. 动态创建 Kafka 消费者,并监听指定的 Topic 3. 可以通过调用接口动态启动或停止 Kafka 的消费...
kafka添加ssl认证
01-07
主要是生成证书: 请先安装java和openssl. 生成证书脚本ca.sh: #!/bin/bash #Step 1 keytool -keystore /var/soft/ca/server.keystore.jks -alias localhost -validity 365 -genkey #Step 2 openssl req -new -x509 ...
【仿RabbitMQ消息队列项目day2】使用muduo库中基于protobuf的应用层协议进行通信
weixin_74113106的博客
05-21 935
使用muduo库中基于protobuf的应用层协议进行通信
构建高效可靠的消息队列系统:设计与实现
喔的嘛呀的博客
05-19 1254
通过设置生产者发送的消息和队列本身的持久性,以及确保消息队列系统本身的持久性,我们可以在系统发生故障时保证消息不会丢失。这对于构建可靠、稳定的消息队列系统至关重要,特别是在面对复杂分布式系统的挑战时。通过采用异步消息传递、批量消息发送、选择高效的消息序列化方式以及配置消息队列的优化参数,我们可以有效降低消息传递的延迟,满足实时性的要求。在实际应用中,需要根据具体场景和需求进行更详细的优化和调整。
分布式锁2-Zookeeper分布式锁实战
qq_43676797的博客
05-19 543
使用curator操作Zookeeper进行实战;:Apache Curator包含一套高级API框架和工具类,它 是Apache ZooKeeper 的Java 客户端库。
工作中的相关问题
m0_49099215的博客
05-21 313
工作总结
计算机SCI期刊,IF=8+,专业性强,潜力新刊!
mshsci的博客
05-21 339
大数据杂志》发表了关于数据科学和数据分析的开放获取原创研究。深度学习算法和大数据的所有应用都受到欢迎。还考虑了调查文件和案例研究。
python:大文件分批/块导入数据库方式记录
积跬步,慕至千里的博客
05-23 438
对于数据文件比较大的数据,一次性串联sql进行入库,往往会受到数据库本身对sql长度的限制,从而需要分块或者分批次,将大数据文件一点一点的进行入库。特针对这种入库方式,进行一个简单记录,各类数据库入库后续均可参考下述实现分块的方式,进行分批入库数据。问题点其实主要是如何对数据进行分块。,从而实现分批入库。
基于Zookeeper的分布式锁
qq_42456324的博客
05-21 669
Java的多线程部分,我们知道如果在单个jvm进程中,多个线程之间同时访问一个资源,此时会有多线程的安全问题。为了解决这个线程安全的问题,我们可以使⽤“锁”来实现。但是,多个jvm进程之间如果同时访问一个资源呢?此时就需要一种更加高级的锁机制来处理种之间的资源安全问题,这就是分布式锁。
基于机器学习预测未来的二氧化碳排放量(随机森林和XGBoost)
最新发布
lhyandlwl的博客
05-24 1309
本文将使用Python对OWID提供的CO2排放数据集进行分析,并尝试构建机器学习模型来预测未来的CO2排放趋势。我们将探索数据集中的CO2排放情况,分析各国/地区的排放趋势,并利用机器学习算法来预测未来的CO2排放量。
kafka配置用户认证
11-16
以下是Kafka配置用户认证的步骤: 1. 首先,需要在Kafka服务器上创建一个Kafka用户,并为其设置密码。可以使用以下命令创建用户并设置密码: ```shell $ sudo kafka-configs.sh --zookeeper localhost:2181 --...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值