Kafak Authentication&Authorization

最新推荐文章于 2024-05-04 01:30:16 发布
最新推荐文章于 2024-05-04 01:30:16 发布
阅读量151 收藏
点赞数
文章标签: 大数据
原文链接:https://my.oschina.net/guol/blog/823209
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

    当kafka中有敏感数据,或者不想kafka中的数据被不可控因素污染的时候,就需要考虑kafka的安全性了,kafka的安全机制主要分为两部分:身份认证(Authentication)和权限控制(Authorization),本文就这两部分进行测试。

身份认证(Authentication)

    Kafka目前支持SSL、SASL/Kerberos、SASL/PLAIN三种认证机制,为例方便维护,以及最小化的性能损失,我们采用SASL/PLAIN这种方式。

    kafka服务端配置

        /etc/kafka/server.properties

broker.id=50
delete.topic.enable=true
listeners=SASL_PLAINTEXT://10.205.51.50:9092
advertised.listeners=SASL_PLAINTEXT://10.205.51.50:9092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.enabled.mechanisms=PLAIN
sasl.mechanism.inter.broker.protocol=PLAIN
num.network.threads=3
num.io.threads=8
socket.send.buffer.bytes=102400
socket.receive.buffer.bytes=102400
socket.request.max.bytes=104857600
log.dirs=/var/lib/kafka
num.partitions=1
num.recovery.threads.per.data.dir=1
log.retention.hours=168
log.segment.bytes=1073741824
log.retention.check.interval.ms=300000
zookeeper.connect=10.205.51.50:2181
zookeeper.connection.timeout.ms=6000
confluent.support.metrics.enable=true
confluent.support.customer.id=anonymous

            ps:security.inter.broker.protocol还可以选择SASL_SSL模式。

        /etc/kafka/kafka_server_jaas.conf

KafkaServer {
   org.apache.kafka.common.security.plain.PlainLoginModule required
   username="admin"
   password="admin"
   user_admin="admin"
   user_producer="producer"
   user_consumer="consumer"
   user_dalu="dalu";
};

            简单介绍一下jaas的配置,配置定义了四个用户:admin、producer、consumer、dalu。username和password两个配置项是用于broker之间的内部通讯的,在上面的例子中admin是用于broker内部通讯的。user_{xxx}='yyy'配置项才是设置外部通讯用户的,表示定义了一个xxx用户,密码是yyy。具体参照confluent

        /usr/bin/kafka-run-class

271 KAFKA_SASL_OPTS='-Djava.security.auth.login.config=/etc/kafka/kafka_server_jaas.conf'
272 # Launch mode
273 if [ "x$DAEMON_MODE" = "xtrue" ]; then
274   nohup $JAVA $KAFKA_HEAP_OPTS $KAFKA_JVM_PERFORMANCE_OPTS $KAFKA_GC_LOG_OPTS $KAFKA_SASL_OPTS $KAFKA_JMX_OPTS $KAFKA_LOG4J_OPTS -cp $CLASSPATH $KAFKA_OPTS "$@" > "$CONSOLE_OUTPUT_FILE" 2>&1 < /dev/null &
275 else
276   exec $JAVA $KAFKA_HEAP_OPTS $KAFKA_JVM_PERFORMANCE_OPTS $KAFKA_GC_LOG_OPTS $KAFKA_SASL_OPTS $KAFKA_JMX_OPTS $KAFKA_LOG4J_OPTS -cp $CLASSPATH $KAFKA_OPTS "$@"
277 fi

    服务端创建test2 topic

kafka-topics --create --zookeeper 10.205.51.50 --partitions 1 --replication-factor 1 --topic test2

    kafka客户端配置(以dalu用户进行连接)

        /etc/kafka/kafka_client_jaas.conf

KafkaClient {
  org.apache.kafka.common.security.plain.PlainLoginModule required
  username="dalu"
  password="dalu";
};

        /usr/bin/kafka-run-class

271 KAFKA_SASL_OPTS='-Djava.security.auth.login.config=/etc/kafka/kafka_client_jaas.conf'
272 # Launch mode
273 if [ "x$DAEMON_MODE" = "xtrue" ]; then
274   nohup $JAVA $KAFKA_HEAP_OPTS $KAFKA_JVM_PERFORMANCE_OPTS $KAFKA_GC_LOG_OPTS $KAFKA_SASL_OPTS $KAFKA_JMX_OPTS $KAFKA_LOG4J_OPTS -cp $CLASSPATH $KAFKA_OPTS "$@" > "$CONSOLE_OUTPUT_FILE" 2>&1 < /dev/null &
275 else
276   exec $JAVA $KAFKA_HEAP_OPTS $KAFKA_JVM_PERFORMANCE_OPTS $KAFKA_GC_LOG_OPTS $KAFKA_SASL_OPTS $KAFKA_JMX_OPTS $KAFKA_LOG4J_OPTS -cp $CLASSPATH $KAFKA_OPTS "$@"
277 fi

        /etc/kafka/{producer.properties,consumer.properties}追加以下内容

security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN

    kafka客户端连接

        原始方法启动producer:

kafka-console-producer --broker-list 10.205.51.50:9092 --topic test2

            可以看到当启动命令后,出现了大量的无法连接到服务端的状况,下面我们以认证方法启动:

kafka-console-producer --broker-list 10.205.51.50:9092 --topic test2 --producer.config /etc/kafka/producer.properties

       

        启动consumer:

kafka-console-consumer --bootstrap-server 10.205.51.50:9092 --topic test2 --consumer.config /etc/kafka/consumer.properties

 

权限控制(Authorization)

    kafka自带的ACL机制,可以针对topic的访问权限进行细化。

    kafka服务端配置

        /etc/kafka/server.properties

broker.id=50
delete.topic.enable=true
listeners=SASL_PLAINTEXT://10.205.51.50:9092
advertised.listeners=SASL_PLAINTEXT://10.205.51.50:9092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.enabled.mechanisms=PLAIN
sasl.mechanism.inter.broker.protocol=PLAIN
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
super.users=User:admin
num.network.threads=3
num.io.threads=8
socket.send.buffer.bytes=102400
socket.receive.buffer.bytes=102400
socket.request.max.bytes=104857600
log.dirs=/var/lib/kafka
num.partitions=1
num.recovery.threads.per.data.dir=1
log.retention.hours=168
log.segment.bytes=1073741824
log.retention.check.interval.ms=300000
zookeeper.connect=10.205.51.50:2181
zookeeper.connection.timeout.ms=6000
confluent.support.metrics.enable=true
confluent.support.customer.id=anonymous

        在访问控制的基础上增加authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer,super.users=User:admin两行配置。

    为用户 producer 在 test(topic)上添加写的权限

kafka-acls --authorizer-properties zookeeper.connect=10.205.51.50:2181 --add --allow-principal User:producer --operation Write --topic test

    为用户 consumer 在 test(topic)上添加写的权限

kafka-acls --authorizer-properties zookeeper.connect=10.205.51.50:2181 --add --allow-principal User:consumer --operation Read --topic test

    对于 topic 为 test 的消息队列,拒绝来自 ip 为10.205.51.48账户为dalu进行 read 操作,其他用户都允许

kafka-acls --authorizer-properties zookeeper.connect=10.205.51.50:2181 --add --allow-principal User:* --allow-host * --deny-principal User:dalu --deny-host 10.205.51.48 --operation Read --topic test

    为dalu添加all,以允许来自 ip 为10.205.51.49或者10.205.51.48的读写请求

kafka-acls --authorizer-properties zookeeper.connect=10.205.51.50:2181 --add --allow-principal User:dalu --allow-host 10.205.51.49 --allow-host 10.205.51.48 --operation Read --operation Write --topic test

        ps:以上四种方法都能很好的对topic进行权限控制,不过在生产环境中部署如此严格的策略,对于维护者来说,也是一项很烦恼的事,在非如此安全的策略下,我们可以使用角色权限。

 

    查看test2 topic当前权限

kafka-acls --authorizer-properties zookeeper.connect=10.205.51.50:2181 --list --topic test2

   

    为producer用户赋权

kafka-acls --authorizer-properties zookeeper.connect=10.205.51.50:2181 --add --allow-principal User:producer --producer --topic test2

   

    为consumer用户赋权

kafka-acls --authorizer-properties zookeeper.connect=10.205.51.50:2181 --add --allow-principal User:consumer --consumer --topic test -group test-group

    查看test2 topic当前权限

kafka-acls --authorizer-properties zookeeper.connect=10.205.51.50:2181 --list --topic test2

    producer用户的客户端发送信息

kafka-console-producer --broker-list 10.205.51.50:9092 --topic test2 -producer.config /etc/kafka/producer.properties

    确保consumer用户的客户端配置文件中group.id是之前申请的id:/etc/kafka/consumer.properties

#consumer group id
group.id=test-group

    consumer用户的客户端接收消息

kafka-console-consumer --bootstrap-server 10.205.51.50:9092 --topic test2 --consumer.config /etc/kafka/consumer.properties --from-beginning

 

    ps:不太好的方面是,当你以dalu用户消费/生产test2 topic的时候,虽然无法正常运行,但是系统没有任何报错,不太友好。

 

 

转载于:https://my.oschina.net/guol/blog/823209

weixin_34406061
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kafka安全 之 Authentication using SASL/PLAIN
飞朋的博客
12-31 1058
Table of Contents 配置 kafka broker 配置 kafka 客户端 在生产中使用SASL/PLAIN 完整样例 SASL/PLAIN是一种简单的用户名/密码身份验证机制,通常与 TLS 一起用于加密以实现安全身份验证。Kafka支持SASL/PLAIN的默认实现 用户名被用作配置acl等的认证主体。 配置 kafka broker 将一个适当修改过的 J...
kafka动态认证 自定义认证 安全认证-亲测成功
yinjl123456的博客
11-02 1078
Kafka默认是没有安全机制的,一直在裸奔。用户认证功能,是一个成熟组件不可或缺的功能。在0.9版本以前kafka是没有用户认证模块的(或者说只有SSL),好在kafka0.9版本以后逐渐发布了多种用户认证功能,弥补了这一缺陷(这里仅介绍SASL),认证机制是SASL/PLAIN。kafka的用户认证,是基于java的jaas。所以我们需要先添加jaas服务端的配置文件。注意最后一个属性后面需要加分号!
在需要 ClientId 鉴权的 Kafka 集群中,高效使用 Producer 和 Consumer 的方法_kafka clientid
最新发布
2401_84170337的博客
05-04 493
建议不配置,默认使用父pom中的版本。// 在这儿添加业务逻辑。
kafka 开启认证授权
卷心菜投手
10-10 3871
kafka Kraft 模式 用户名密码 认证
kafka安全认证与授权(SASL-PLAIN)
Innocence_0的博客
02-25 1208
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…这是通过在规则末尾添加“/L”来完成的。这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。
kafka权限认证 topic权限认证 权限动态认证-亲测成功
yinjl123456的博客
11-20 1613
1、Kafka的权限分类身份认证(Authentication):对client 与服务器的连接进行身份认证,brokers和zookeeper之间的连接进行Authentication(producer 和 consumer)、其他 brokers、tools与 brokers 之间连接的认证。上一篇博文介绍了连接的身份认证。权限控制(Authorization):实现对于消息级别的权限控制,clients的读写操作进行Authorization:(生产/消费/group)数据权限。
Kafak技术原理介绍
02-24
Kafak技术原理介绍
storm-kafak相关jar
11-14
标题中的"storm-kafka相关jar"指的是Apache Storm与Apache Kafka集成使用的特定Java库,这些库以JAR(Java Archive)格式提供。Apache Storm是一个开源的流处理系统,它能够实时处理数据流,而Apache Kafka是一个...
zookeeper+kafak安装包
06-27
在IT行业中,Zookeeper和Kafka是两个非常重要的组件,广泛应用于大数据处理和分布式系统管理。本安装包包含了Zookeeper 3.4.6和Kafka 0.9.0.0这两个版本,它们都是Apache软件基金会的重要项目,用于解决大规模分布式...
springCloud集成kafak
03-17
在分布式系统中,消息中间件扮演着至关重要的角色,它能有效地解耦应用程序,提高系统的可扩展性和可靠性。Spring Cloud是构建微服务架构的一套工具集,而Kafka是一款高吞吐量、低延迟的分布式消息队列,常用于实时...
flume kafak实验报告.docx
07-07
大数据实时处理领域,Flume、Kafka 和 Spark Streaming 是常用的数据采集、传输与处理工具。本实验报告详细阐述了如何将这三个组件结合使用,构建一个高效的数据流处理系统。 一、Flume 与 Spark Streaming 的...
kafkaKafka broker进程实例异常,日志报错AuthFailed for /kafka
zx1414iang的博客
02-17 1505
查看后台server.log报异常AuthFailed for /kafka 【分析过程】 1、kafka启动的时候要去zk写元数据,写数据之前kafka作为zk的客户端要去kerberos进行认证,如果zk客户端的时钟和kerberos服务端超过5分钟,就会认证失败。最后报AuthFailed for /kafka错误。 2、经确认异常的broker节点确实和其他节点时钟不一致,并且超过了5分钟。 【问题根因】集群内节点时钟不一致 ...
Spring整合Kafka(六)----应用程序事件
Gabriel Wang的博客
01-16 774
默认情况下,应用程序上下文的event multicaster调用calling thread上的事件监听器。如果将multicaster更改为使用异步执行器,则在事件包含对consumer的引用时,不得调用任何consumer方法。ListenerContainerNoLongerIdleEvent 具有相同的属性,除了idleTime和paused。ListenerContainerPartitionNoLongerIdleEvent具有相同的属性,除了idleTime和paused。
链接KAFKA异常:Authentication failed during authentication due to invalid credentials with SASL mechanism
热门推荐
weixin_42498883的博客
07-14 1万+
Authentication failed during authentication due to invalid credentials with SASL mechanism
Kafka JAAS 安全认证流程
坚持的旅程
07-27 2993
 1. mechanism不在enable列表时,返回enabled_mechanisms 2. 在PLAIN 方式时,client 发来的信息是“[authzid] UTF8NUL authcid UTF8NUL passwd”,server根据server jaas文件里的username password来判断client发来的authcid和passwd正不正确。 代码在 or
Kafka安全认证授权配置
qq_41203483的博客
11-17 7895
Kafka安全认证授权配置一 概述1.1 Kafka的权限分类1.2 实现方式二 安全认证授权配置2.1 zookeeper配置2.1.1 引入kafka依赖包2.1.2修改ZK配置文件2.1.3 创建jaas文件2.1.4 修改zkEnv.sh2.1.5 启动zk2.2 Kafka配置2.2.1 创建超级用户2.2.2 创建jaas文件2.2.3 修改kafka配置文件2.2.4启动kafka三 测试连接3.1 生产者测试3.2 消费者测试3.3 beats工具连接3.4 logstash消费 一 概述
如何打造一套线上kafka集群安全环境
weixin_39034379的博客
07-09 2149
1.kafka安全简介 kafka社区在0.9.0.0版本正式添加了安全特性,并且在0.10.0.0版本中进一步完善。 Kafka的安全特性有如下几个方面: 1.连接认证。服务端与客户端、服务端之间、等等。支持两种认证机制SSL(等价于我们经常使用的TLS)和SASL 2.Zookeeper 与服务端的认证。 3.基于SSL的连接通道数据传输加密 4.客户端读写权限 5.支持可插拔的授权服务和与外部授权服务的集成。 认证(authentication)和授权(authorization) 认证:证明自
kafka用户认证与权限管理(SASL/PLAIN+ACL)
浪子天涯行世录
11-18 2368
Kafka 目前支持SSL、SASL/Kerberos、SASL/PLAIN三种认证机制 kafka的认证范围 kafka client 与 kafka server(broker) broker与broker之间 broker与zookeeper之间 zookpeer认证 在zookeeper安装根目录的conf目录下,创建zk_server_jaas.conf文件 Server {...
docker kafak
10-03
Docker Kafka是一种使用Docker容器来部署和运行Kafka的方法。通过使用Docker,我们可以轻松地在不同的环境中部署和管理Kafka。您可以在Docker Hub上找到Kafka的镜像,并使用以下命令进行安装和部署: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值