Kafka添加SASL_PLAIN安全认证

最新推荐文章于 2024-08-29 15:04:36 发布
最新推荐文章于 2024-08-29 15:04:36 发布
阅读量1.8k 收藏 2
点赞数 1
分类专栏: kafka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43334786/article/details/108536073
版权

本文主要讨论了以下内容:
(1)如何配置kafka集群SASL_PLAINTEXT加密认证;
(2)如何给前台的生产者和消费者配置加密认证;
(3)如何使用metricbeat(生产者)配置加密认证;
(4)如何给logstash(消费者)配置加密认证;
(5)如何给kafkaTools配置加密认证;
(6)如何在新的kafka集群上消费已加密的kafka集群数据;
(7)新的kafka集群配置对已加密的kafka集群的认证后,会影响自身吗?

1、在三个节点的kafka的server.properties中加入以下内容,启用SASL:

[root@kafka1 ~]# cat /usr/local/kafka/config/server.properties 
listeners=SASL_PLAINTEXT://192.168.1.8:9092
security.inter.broker.protocol=SASL_PLAINTEXT 
sasl.enabled.mechanisms=PLAIN
sasl.mechanism.inter.broker.protocol=PLAIN

如果你的kafka节点的配置文件中配置了advertised.listeners的话,也要把advertised.listeners的IP地址前加上SASL_PLAINTEXT,比如:

listeners=SASL_PLAINTEXT://192.168.1.8:9092
advertised.listeners=SASL_PLAINTEXT://192.168.1.8:9092
security.inter.broker.protocol=SASL_PLAINTEXT 
sasl.enabled.mechanisms=PLAIN
sasl.mechanism.inter.broker.protocol=PLAIN

2、创建server端的认证文件,尽量不要在此文件添加任何多余的内容,包括注释,否则启动kafka会报错。最后两行必须要有分号:

[root@kafka1 ~]# cat /usr/local/kafka/config/kafka_server_jaas.conf 
KafkaServer {
	org.apache.kafka.common.security.plain.PlainLoginModule required
	username="kafka"
	password="kafka#secret"
	user_kafka="kafka#secret"
	user_alice="alice#secret";
};

内容解释:配置文件命名为:kafka_server_jaas.conf,放置在/usr/local/kafka/config。
使用user_来定义多个用户,供客户端程序(生产者、消费者程序)认证使用,可以定义多个。
上例我定义了两个用户,一个是kafka,一个是alice,等号后面是对应用户的密码(如user_kafka定义了用户名为kafka,密码为kafka#secret的用户)。
后续配置可能还可以根据不同的用户定义ACL。

3、创建client认证文件,此文件是后面console的生产者和消费者使用,同样此文件不适宜添加任何多余的内容,包括注释:

[root@kafka1 ~]# cat /usr/local/kafka/config/kafka_client_jaas.conf 
KafkaClient {
	org.apache.kafka.common.security.plain.PlainLoginModule required
	username="kafka"
	password="kafka#secret";
};

4、添加kafka-server-start.sh认证文件路径,启动kafka时会加载此文件,其他应用服务如果要写数据到kafka,会先匹配用户名和密码:

[root@kafka1 ~]# cat /usr/local/kafka/bin/kafka-server-start.sh
export KAFKA_OPTS="-Djava.security.auth.login.config=/usr/local/kafka/config/kafka_server_jaas.conf"

5、添加kafka-console-producer.sh认证文件路径,后面启动生产者测试时使用:

[root@kafka1 ~]# cat /usr/local/kafka/bin/kafka-console-producer.sh 
export KAFKA_OPTS="-Djava.security.auth.login.config=/usr/local/kafka/config/kafka_client_jaas.conf"

6、添加kafka-console-consumer.sh认证文件路径,后面启动消费者测试时使用:

[root@kafka1 ~]# cat /usr/local/kafka/bin/kafka-console-consumer.sh 
export KAFKA_OPTS="-Djava.security.auth.login.config=/usr/local/kafka/config/kafka_client_jaas.conf"

7、修改/usr/local/kafka/config/producer.properties,在配置最后加入以下两行内容:

security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN

8、修改/usr/local/kafka/config/consumer.properties,要添加的内容和producer的内容一样:

security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN

9、启动kafka,注意观察logs/server.log日志文件中是否有报错:

bin/kafka-server-start.sh -daemon config/server.properties

如果kafka起不来,基本上就是上面几个文件的问题,一个是配置的认证文件路径,再一个是认证文件的内容末尾两行是否添加分号,是否添加了多余的注释。

10、开启一个生产者

kafka-console-producer.sh --broker-list 192.168.1.8:9092 --topic test --producer-property security.protocol=SASL_PLAINTEXT --producer-property sasl.mechanism=PLAIN

11、开启一个消费者

kafka-console-consumer.sh --bootstrap-server 192.168.1.8:9092 --topic test --from-beginning --consumer-property security.protocol=SASL_PLAINTEXT --consumer-property sasl.mechanism=PLAIN

12、在metricbeat中配置kafka认证

output.kafka:
  hosts: ["192.168.1.8:9092", "192.168.1.9:9092", "192.168.1.10:9092"]
  topic: 'metricbeat_95598'
  username: kafka
  password: kafka#secret

启动metricbeat服务后,在metricbeat的日志中可以看到如下内容,显示认证通过并成功连接到kafka:

2020-08-12T15:49:47.032+0800	INFO	kafka/log.go:53	kafka message: Successful SASL handshake. Available mechanisms: %!(EXTRA []string=[PLAIN])
2020-08-12T15:49:47.034+0800	INFO	kafka/log.go:53	kafka message: Successful SASL handshake. Available mechanisms: %!(EXTRA []string=[PLAIN])
2020-08-12T15:49:47.035+0800	INFO	kafka/log.go:53	kafka message: Successful SASL handshake. Available mechanisms: %!(EXTRA []string=[PLAIN])
2020-08-12T15:49:47.040+0800	INFO	kafka/log.go:53	SASL authentication successful with broker 192.168.1.8:9092:4 - [0 0 0 0]
2020-08-12T15:49:47.040+0800	INFO	kafka/log.go:53	Connected to broker at 192.168.1.8:9092 (registered as #0)
2020-08-12T15:49:47.041+0800	INFO	kafka/log.go:53	SASL authentication successful with broker 192.168.1.9:9092:4 - [0 0 0 0]
2020-08-12T15:49:47.041+0800	INFO	kafka/log.go:53	Connected to broker at 192.168.1.9:9092 (registered as #1)
2020-08-12T15:49:47.049+0800	INFO	kafka/log.go:53	SASL authentication successful with broker 192.168.1.10:9092:4 - [0 0 0 0]
2020-08-12T15:49:47.049+0800	INFO	kafka/log.go:53	Connected to broker at 192.168.1.10:9092 (registered as #2)

然后再次启动一个消费者,让消息输出到前端,可以看到metricbeat生产的消息都打印到了屏幕上。

13、配置logstash的input,在input中加入sasl_jaas_config、security_protocol和sasl_mechanism:

input {
        kafka {
                bootstrap_servers => "192.168.1.8:9092,192.168.1.9:9092,192.168.1.10:9092"
                topics => ["metricbeat_95598"]
                sasl_jaas_config => "org.apache.kafka.common.security.plain.PlainLoginModule required username='kafka'  password='kafka#secret';"
                security_protocol => "SASL_PLAINTEXT"
                sasl_mechanism => "PLAIN"
                group_id => "logstash_product"
                consumer_threads => 3
                codec => "json"
                type => "metricbeat_95598"
                client_id => "metricbeat_95598"
        }
}

14、使用Kafka-Tools工具连接SASL加密的Kafka集群:
(1)properties中ClusterName输入集群名称
(2)Security中Type选择SASL Plaintext
(3)Advanced中Bootstrap Servers输入192.168.1.8:9092,192.168.1.9:9092,192.168.1.10:9092,也就是kafka节点的IP和端口,SASL Mechianism输入PLAIN;
(4)JAAS config中输入上面server端认证文件的内容:

 org.apache.kafka.common.security.plain.PlainLoginModule required 
 username="kafka" 
 password="kafka#secret";

以上配置完成后,点击test测试一下。

15、如果要在其他的kafka集群上消费SASL_PLAINTEXT加密的kafka的话,需要做以下配置(不需要重启kafka集群,直接添加即可):

(1)添加KafkaClient配置

[root@localhost ~]# cat /usr/local/kafka/config/kafka_client_jaas.conf 
KafkaClient {
	org.apache.kafka.common.security.plain.PlainLoginModule required
	username="kafka"
	password="kafka#secret";
};

(2)添加kafka-console-consumer配置:

[root@localhost ~]# cat /usr/local/kafka/bin/kafka-console-consumer.sh 
export KAFKA_OPTS="-Djava.security.auth.login.config=/usr/local/kafka/config/kafka_client_jaas.conf"

(3)消费测试:
先在已加密的kafka集群上启动生产者,并发送消息:

[root@kafka2 kafka]# kafka-console-producer.sh --broker-list 192.168.1.8:9092 --topic test --producer-property security.protocol=SASL_PLAINTEXT --producer-property sasl.mechanism=PLAIN
>11111
>222222222
>3333333333.
>444

在新的kafka集群上启动消费者消费该消息:

[root@localhost kafka]# kafka-console-consumer.sh --bootstrap-server 192.168.1.8:9092 --topic test --from-beginning --consumer-property security.protocol=SASL_PLAINTEXT --consumer-property sasl.mechanism=PLAIN 
11111
222222222
3333333333.
444

以上说明,在别的kafka集群上通过配置KafkaClient和kafka-console-consumer.sh也是可以成功消费SASL_PLAINTEXT加密的kafka的。

16、在第15节中我们给新的kafka集群配置上了KafkaClient和kafka-console-consumer.sh 的加密配置,是否会影响本身kafka集群的消费,经过测试,是不影响的,只不过在执行消费者命令时,不需要加:
(1)本集群内部生产消息:

[root@localhost kafka]# kafka-console-consumer.sh --bootstrap-server 192.168.1.52:9092 --topic test --from-beginning
1111111

(2)本集群内部消费消息:

[root@localhost ~]# kafka-console-producer.sh --broker-list 192.168.1.52:9092 --topic test
>1111111
Dustin.Hoffman
关注
专栏目录
集群Kafka配置SASL用户名密码认证
ez scope
06-13 2万+
本文中配置的kafka集群为三节点,Zookeeper有4节点。两个集群相互独立。 Apache Kafka v2.11-0.10.0.0 Apache Zookeeper v3.4.8 Kafka配置SASL PLAIN用于完成基本的用户名密码身份认证。 一、Zookeeper集群配置SASL zookeeper所有节点都是对等的,只是各个节点角色可
Kafka Tool 2 使用教程 SASL_PLAINTEXT
aaaak_的博客
05-31 3331
下载 Kafka Tool下载链接: 这里根据 你自己电脑系统 选择相对应版本 配置链接 如果使用的是SASL Plaintext,则通常必须将sasl.mechanism客户端属性更改为PLAIN。可以在“高级”部分下的“ SASL机制”文本字段中输入此属性。 如果kafka 开启SASL_PLAINTEXT认证(用户名和密码认证) 操作 ...
window上部署kafka3.6.1,并配置sasl认证
最新发布
GSON的博客
08-29 846
1 安装kafka 第一步安装kafka,并能成功启动,可参考文章Windows下安装Kafka3-CSDN博客 2修改kafka的配置文件 server.properties是kafka的主要配置文件,里面有很多参数可以调整。 主要修改如下 listeners=SASL_PLAINTEXT://127.0.0.1:9092 security.inter.broker.protocol=SASL_PLAINTEXT sasl.enabled.mechanisms=PLAIN sasl.me
Kafka 添加用户名 密码权限,即SASL/PLAIN
热门推荐
u012040869的博客
09-10 4万+
Kafka 官网下载 Kafka 安装包 我的版本是 kafka_2.12-1.1.1 我的Kafka 安装在 目录下 /usr/local 步骤1 找到 /usr/local/kafka_2.12-1.1.1/config 目录下的 server.properties 文件 进行修改。 我的做法是保持 源文件不动 又复制了 一份 在复制上面进行改动 server-sasl...
Kafka添加安全认证SASL/PLAIN (用户密码登录) 小白实操记录
码灵的博客
09-04 5454
程序版本 scala-2.12.3.tgz自带zookeeper 安装步骤 1 切换到安装目录下,新建配置文件 cd /usr/local/kafka/kafka_2.12-2.5.0 touch kafka_server_jaas.conf vi config/kafka_server_jaas.conf 输入一下内容 KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule requ...
kafka安全认证与授权(SASL-PLAIN
wangluoanquan111的博客
02-22 2065
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。在每个Kafka broker的配置目录中添加一个经过适当修改的JAAS文件,类似于下面的文件,在本例中,我们将其称为kafka_server_jaas.conf。R匹配,则R没有关联的acl,因此除了超级用户之外,任何人都不允许访问R。
Kafka部署全攻略——Kafka SASL_PLAIN安全认证实现
bbsxb520的博客
06-28 336
Kafka SASL_PLAIN安全认证实现
Kafka安全认证机制详解之SASL_PLAIN_kafka sasl认证(1)
2401_84253850的博客
04-28 917
上面配置是新增了两个用户,admin和tly,这两个用户都是普通用户,KafkaServer中的username、password配置的用户和密码,是用来broker和broker连接认证。在本例中,admin是代理broker间通信的用户。这个时候使用auth.conf已经不能创建topic了,使用admin.conf可以创建,因为admin账号和配置的超级管理员一致;使用权限配置并且超级用户是admin,这个用户和我们上面配置的列表中的admin用户相互映射,每个机器都需要配置然后重启所有节点。
Kafka安全认证机制详解之SASL_PLAIN_kafka sasl认证
2401_84264630的博客
04-26 1333
这个时候使用auth.conf已经不能创建topic了,使用admin.conf可以创建,因为admin账号和配置的超级管理员一致;而auth.conf配置的是tly账号;使用权限配置并且超级用户是admin,这个用户和我们上面配置的列表中的admin用户相互映射,每个机器都需要配置然后重启所有节点。不使用认证创建会一直卡主不动,其实也是没权限的,时间久了就会报timeout异常。命令为:kafka-acls.sh。使用tly用户查看当前topic。此时每个节点都有了权限认证。给之前的用户tly授权。
Window下kafka 单机SASL_PLAINTEXT加密及身份认证
小白菜呀
11-28 2666
一:前情提要 SASL_PLAINTEXT是一种简单的用户名和密码认证机制,是一种kafka加密协议,PLAINTEXT是传输层协议 二:配置准备 1:JAVA_HOME  有JAVA_HOME的环境变量,且java版为1.8及以上,jdk目录无中文和空格; 2:KAFKA项目部署 下载解压KAFKA项目到一个无中文无空格的目录下。配置非加密下的KAFKA环境,参考Windows环境下...
Kafka部署全攻略——基于SSL的SASL_PLAIN安全认证实现
bbsxb520的博客
06-28 237
基于SSL的SASL_PLAIN安全认证实现
kafkatool 连接kafka工具
01-24
kafka连接工具
cyrus-sasl-plain-2.1.26-20
10-08
cyrus-sasl-plain-2.1.26-20,用于安装sasl。
Kafka安全认证机制详解之SASL_PLAIN
空城的博客
01-02 3235
上面配置是新增了两个用户,admin和tly,这两个用户都是普通用户,KafkaServer中的username、password配置的用户和密码,是用来broker和broker连接认证。在本例中,admin是代理broker间通信的用户。这个时候使用auth.conf已经不能创建topic了,使用admin.conf可以创建,因为admin账号和配置的超级管理员一致;使用权限配置并且超级用户是admin,这个用户和我们上面配置的列表中的admin用户相互映射,每个机器都需要配置然后重启所有节点。
Kafka安全认证 SASL/PLAINTEXT,账号密码认证
jast
05-16 1万+
环境 操作系统:CentOS 7.3 Kafka Version:1.1.1 Zookeeper Version:3.4.14 一、Zookeeper集群配置SASL zookeeper所有节点都是对等的,只是各个节点角色可能不相同。以下步骤所有的节点配置相同。 1、zoo.cfg文件配置 为zookeeper添加SASL支持,在配置文件zoo.cfg添加 authProvide...
KafkaKafka Tool 2 使用教程 SASL_PLAINTEXT
九师兄
09-22 2281
1.概述 转载:https://blog.csdn.net/u010020726/article/details/106461401 http://www.kafkatool.com/download.html 这里根据 你自己电脑系统 选择相对应版本 配置链接 如果使用的是SASL Plaintext,则通常必须将sasl.mechanism客户端属性更改为PLAIN。可以在“高级”部分下的“ SASL机制”文本字段中输入此属性。 如果kafka 开启SASL_PLAINTEXT认证(用户名和密码认
每日学习Redis——拿捏Redis中的通用指令(键和数据库通用指令)_m_redis->del(keyresult); m_redis->del(keytask)
2401_84170623的博客
04-29 555
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化资料的朋友,可以戳这里获取一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!pics/618545628)**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、
docker-compose部署kafkaSASL模式(密码校验模式)_system
2401_84159783的博客
04-13 551
kafka-ui: image: provectuslabs/kafka-ui:latest container_name: kafka-ui restart: always ports: - 10010:8080 environment: - DYNAMIC_CONFIG_ENABLED=true - SERVER_SERVLET_CONTEXT_PATH=/ui-kafka - KAFKA_CLUSTERS_0_NAME=local - KAFKA_CLUSTERS_0_BOOTSTRAPSERVERS
kafka connect SASL_PLAINTEXT
08-14
Kafka Connect中,使用SASL_PLAINTEXT认证是一种常见的配置方式,它可以确保连接的安全性。要配置Kafka Connect使用SASL_PLAINTEXT认证,你需要进行以下步骤: 1. 创建一个Kafka Connect的JAAS配置文件,比如kafka_connect_jaas.conf。在该文件中,你可以指定使用的认证模块和相关的认证参数,比如用户名和密码。一个示例的配置可以是: ``` KafkaClient { org.apache.kafka.common.security.plain.PlainLoginModule required username="alice" password="alice-pwd"; }; ``` 2. 在Kafka Connect启动脚本中,设置环境变量KAFKA_OPTS,指定使用的JAAS配置文件。例如,在kafka_connect_start.sh脚本中,你可以添加以下配置: ``` export KAFKA_OPTS="-Djava.security.auth.login.config=/path/to/kafka_connect_jaas.conf" ``` 通过上述配置,你就可以启用SASL_PLAINTEXT认证,并使用指定的用户名和密码进行连接操作了。请注意,在实际使用中,你需要将上述示例中的用户名和密码替换为你自己的认证信息,并指定正确的配置文件路径。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Kafka使用SASL_PLAINTEXT实现简易的用户认证及权限](https://blog.csdn.net/qq_32907195/article/details/122562105)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dustin.Hoffman

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值