Kafka 安全机制

最新推荐文章于 2024-05-30 07:41:14 发布
最新推荐文章于 2024-05-30 07:41:14 发布
阅读量1.2k 收藏
点赞数
分类专栏: kafka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38424594/article/details/110877462
版权

Kafka 安全机制

kafka的安全机制是一个保护kafka的数据不对外暴露的一种策略,相当于隐藏了数据本身的接口,客户端消费数据的时候必须走安全机制才能正常有效的访问到数据本身,一般相对数据安全性要求较高或者订单,用户私密的信息的数据,建议开启,开启了以后,将会影响kafka的性能 20%左右.所以开启的时候慎重

服务端生成秘钥.

首先得找到一个存放秘钥的地址,一般要放在server端和kafka的data一起都可以,过程需要你的用户名和密码,以及城市国家,公司等一些信息

创建密钥仓库,用于存储证书文件
keytool -keystore server.keystore.jks -alias imoockafka -validity 100000 -genkey

创建CA
openssl req -new -x509 -keyout ca-key -out ca-cert -days 100000

将生成的CA添加到客户信任库
keytool -keystore client.truststore.jks -alias CARoot -import -file ca-cert

为broker提供信任库以及所有客户端签名了密钥的CA证书
keytool -keystore server.truststore.jks -alias CARoot -import -file ca-cert
执行此步骤完成后,将生成一个

ca-cert
ca-key
server.keystore.jks

记住以上的证书名称 ,进行签名证书,用自己生成的CA来签名前面生成的证书
1、从密钥仓库导出证书
keytool -keystore server.keystore.jks -alias imoockafka -certreq -file cert-file

2、用CA签名:
openssl x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out cert-signed -days 100000 -CAcreateserial -passin pass:jiangzh

3、导入CA的证书和已签名的证书到密钥仓库
keytool -keystore server.keystore.jks -alias CARoot -import -file ca-cert
keytool -keystore server.keystore.jks -alias imoockafka -import -file cert-signed

执行此步骤完成后,将生成一个

ca-cert
ca-key
server.keystore.jks
cert-signed
server.truststore.jks
client.truststore.jks
cert-file
ca-cert.srl

服务端配置秘钥

vim kafka server.properties:

也就是在原来的基础上加上你设置的ssl的地址和自定义的端口号即,以及生成秘钥的地址位置

listeners=PLAINTEXT://192.168.220.128:9092,<font color=red >SSL://192.168.220.128:8989</font>
advertised.listeners=PLAINTEXT://192.168.220.128:9092,<font color=red >SSL://192.168.220.128:8989</font>
ssl.keystore.location=/opt/ca-tmp/server.keystore.jks
ssl.keystore.password=jiangzh
ssl.key.password=jiangzh
ssl.truststore.location=/opt/ca-tmp/server.truststore.jks
ssl.truststore.password=jiangzh

测试SSL是否成功

测试SSL是否成功
openssl s_client -debug -connect 192.168.220.128:8989 -tls1

客户端消费的场景,只需要在Properties 设置相关的key和你的ssl生成的证书

(需要提前将证书copy下来)
security.protocol=SSL
ssl.endpoint.identification.algorithm=
ssl.truststore.location=/opt/ca-tmp2/client.truststore.jks
ssl.truststore.password=jiangzh

注意:消费的时候,消费的应该是新的安全机制下的端口,而非原本配置的 9092

Lara1111
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
进击消息中间件系列(十九):Kafka 安全配置最佳实践
民工哥的博客
08-15 270
点击下方名片,设为星标!回复“1024”获取2TB学习资源!前面介绍了 Kafka高可用与生产消费、流式 SQL 引擎 KSQL、日志、备份与恢复、集群管理工具 CMAK、可视化管理平台EFAK相关的知识点,今天我将详细的为大家介绍 Kafka 安全配置最佳实践相关知识,希望大家能够从中收获多多!如有帮助,请点在看、转发支持一波!!!Kafka 安全性配置Kafka 在整个大数据生态系统中扮演着...
kafka内外网和安全配置
langyaxiaoxiao的专栏
08-03 705
内外网不通集群部署模式 分别给kafka配置不同网段的监听 broker.id=70 listener.security.protocol.map=INTERNAL:SASL_PLAINTEXT,EXTERNAL:SASL_PLAINTEXT #SASL_PLAINTEXT 表示需要先经过安全认证,如果没有安全认证就会启动失败 ...
Kafka(十)安全
最新发布
dzqxwzoe的博客
05-30 868
Kafka中,可以自定义授权这样就可以实,现额外的控制或增加新的访问控制类型,比如基于角色的访问控制。下面的自定义授权器限制了只有内部监听器可以处理某些请求。@Override// 如果不是内部请求,并且ACL是创建和删除的操作,禁止执行if (!} else {// 如果是内部请求,执行默认的授权逻辑Java 早期的安全框架强调的是通过验证代码的来源和作者,保护用户避免受到下载下来的代码的攻击。JAAS。
kafka服务端连接数内存基线摸底
wht_0217的博客
10-09 1233
kafka连接数
Kafka——内外网访问的设置
我的博客
04-19 4703
外网访问kafka
kafka安全认证与授权(SASL/PLAIN)
u011618288的博客
02-09 8165
快速搭建kafka SASL+ACL实现安全认证、授权 kafka SASL/PLAIN
cloudera 对kafka 安全、配置、优化和管理的建议 pdf
03-12
以下是对“cloudera对kafka安全、配置、优化和管理的建议”的详细解读。 **一、Kafka安全** 1. **权限控制**: Cloudera推荐使用Kerberos进行身份验证,以确保只有授权的用户和服务可以访问Kafka集群。Kerberos提供...
kafka ssl 安全认证详细配置
06-23
Kafka SSL 安全认证是 Kafka 集群中的一种安全机制,旨在确保数据传输的安全性和可靠性。本文将详细介绍 Kafka SSL 安全认证的配置过程,包括环境准备、SSL 证书生成、客户端 SSL 证书签发和 Kafka 配置 SSL 认证等...
华为kafka.zip
11-20
在华为kafka中,可能包含了华为特有的安全机制,如支持对接kerberos认证,这使得它在企业级应用中更加安全可靠,尤其适合处理敏感信息。 Kafka的工作原理主要包括生产者、消费者和 broker 三部分。生产者负责将数据...
kafka实战pdf
05-07
9. **安全性**:了解如何配置SSL/TLS加密和SASL认证,实现Kafka集群的安全通信和访问控制。 10. **监控与运维**:学习如何监控Kafka的性能指标,如Producer和Consumer的速率、 Broker的磁盘使用情况等,以及如何...
Python通过kerberos安全认证操作kafka方式
09-16
在上述代码中,`Kafka_Producer`类初始化时,会创建一个KafkaProducer实例,指定了使用`SASL_PLAINTEXT`作为安全协议,`GSSAPI`作为Kerberos认证机制,并设置了Kafka服务的Kerberos名称为"kafka"。 总的来说,通过...
Kafka增加安全验证安全认证,SASL认证,并通过spring boot-Java客户端连接配置
Innocence_0的博客
02-25 1943
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。中的不同客户机可以通过指定不同的用户名作为不同的用户进行连接 和 中的密码。
Kafka的监听地址配置
q1472750149的博客
01-23 7271
本文就用Kafka 2.8. 有时我们会碰到网络是通畅的,但却连不上Kafka,特别是在多网卡环境或者云环境上很容易出现。这个其实和Kafka的监听配置有关系。本文介绍监听相关的配置。目前监听相关的参数主要有下面几个: listeners advertised.listeners listener.security.protocol.map inter.broker.listener.name security.inter.broker.protocol advertised.host.nam
基线检查】阿里云标准-Redis安全基线检查
seowen的开发 小本子
04-13 681
1、限制redis 配置文件访问权限 描述 因为redis密码明文存储在配置文件中,禁止不相关的用户访问改配置文件是必要的,设置redis配置文件权限为600, 加固建议 执行以下命令修改配置文件权限: chmod 600 /<filepath>/redis.conf 操作时建议做好记录或备份 2、修改默认6379端口 描述 避免使用熟知的端口,降低被初级扫描的风...
Linux系统安全配置基线
zdy0_2004的专栏
07-05 3337
http://www.cnblogs.com/sun-sunshine123/p/7119472.html 一:共享账号检查 配置名称:用户账号分配检查,避免共享账号存在 配置要求:1、系统需按照实际用户分配账号; 2、避免不同用户间共享账号,避免用户账号和服务器间通信使用的账号共享。 操作指南:参考配置操作:cat /etc/passwd查看当前所有用户的情况;
安全基线
weixin_34162228的博客
03-31 356
http://www.e-gov.org.cn/wangluoanquan/news004/201408/151491.html
Kafka监控:主要性能指标
s1120050240的博客
01-20 4641
原文地址:https://www.datadoghq.com/blog/monitoring-kafka-performance-metrics/#hostlevel-broker-metrics Kafka是什么? Kafka是一个分布式,有分区的,有副本的日志服务系统,由LinkedIn公司开发,并于2011年开源。从本质上来说,Kafka拥有一套可扩展的发布/订阅消息队列架构,并组成了一...
kafkaKafka常用JMX监控指标整理
九师兄
10-16 5807
1.概述 转载:https://cloud.tencent.com/developer/article/1554002 一、系统相关指标 1.系统信息收集 java.lang:type=OperatingSystem {"freePhysicalMemorySize":"806023168","maxFileDescriptorCount":"4096","openFileDescriptorCount":"283","processCpuLoad":"0.0017562901839817224","s.
Kafka安全认证(Java)
skh2015java的博客
12-03 7362
一、概述 GSSAPI: 使用的Kerberos认证,可以集成目录服务,比如AD。从Kafka0.9版本开始支持 PLAIN: 使用简单用户名和密码形式。从Kafka0.10版本开始支持 SCRAM: 主要解决PLAIN动态更新问题以及安全机制,从Kafka0.10.2开始支持 OAUTHBEARER: 基于OAuth 2认证框架,从Kafka2.0版本开始支持 二、配置SASL/PLAIN kafka配置文件server.properties配置 securi...
springboot kafka安全机制
08-25
Spring Boot Kafka提供了一些安全机制来确保消息传输的安全性。其中一个重要的安全机制是使用认证和授权来限制访问Kafka集群的权限。 为了实现安全认证,可以通过配置Kafka的SASL(Simple Authentication and ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值