7. 安全
7.6 ZooKeeper身份认证
7.6.1 新集群
为了在broker启用ZooKeeper身份认证,有如下两个必要的步骤:
创建JAAS登录文件并设置适当的系统参数指向该文件,像上述一样;
将每个broker的zookeeper.set.acl参数设置为true;
存储在ZooKeeper中的Kafka集群的元数据是全局可读的,但只能由broker修改。 这个决定的基本原理是存储在ZooKeeper中的数据不敏感,但不适当的操作该数据可能会导致集群中断。 我们还建议通过网络分段限制对ZooKeeper的访问(如果使用的是新的Java消费者和生产者客户端,只有broker和一些管理工具需要访问ZooKeeper)。
7.6.2 迁移集群
如果您运行的Kafka版本不支持安全性或仅仅禁用安全性,但您希望集群安全,那么您需要执行以下步骤来启用ZooKeeper身份验证,并尽可能减少操作中断:
设置JAAS登录文件并轮流重启,这将使broker能够进行身份验证。 在轮流重新启动结束时,broker可以使用严格的ACL操作znode,但是它们不会使用这些ACL创建znode;
再次轮流重启brokers,这一次将配置参数zookeeper.set.acl设置为true,这将在创建znode时启用安全ACL
执行ZkSecurityMigrator工具。 要执行该工具,有以下脚本:./bin/zookeeper-security-migration.sh,其中zookeeper.acl设置为secure。 此工具遍历对应子树并更改znode的ACL。
也可以在安全集群中关闭身份验证。为此,请按照下列步骤操作:
设置JAAS登录文件并轮流重启broker, 这将使broker能够进行身份验证,但是将zookeeper.set.acl设置为false。在轮流重启结束后broker会停止使用安全ACL创建znode,但仍然能够进行身份认证和操作所有的znode;
执行ZkSecurityMigrator工具。 要执行该工具,执行这个脚本:./bin/zookeeper-security-migration.sh,将zookeeper.acl设置为unsecure。 此工具遍历对应子树并更改znode的ACL;
再次轮流重启brokers,这次去掉设置JAAS登录文件的系统配置参数;
这是运行迁移工具的示例:
1./bin/zookeeper-security-migration --zookeeper.acl=secure --zookeeper.connection=localhost:2181
运行下面的命令查看完整的参数列表:
1./bin/zookeeper-security-migration --help
7.6.3 ZooKeeper集群迁移
同时也需要在ZooKeeperr集群启用身份认证,为了实现这点,我们需要轮流重启服务器并设置一些配置。请参考ZooKeeper的文档获取更多细节:
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
