如何通过可视化方式快捷管理kafka的acl配置

最新推荐文章于 2024-04-20 20:36:35 发布
最新推荐文章于 2024-04-20 20:36:35 发布
阅读量1.2k 收藏 3
点赞数 3
分类专栏: 消息中间件 文章标签: kafka acl scram
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x763795151/article/details/120200119
版权

前言

我在kafka快速配置启用ACL示例中,以SASL_SCRAM配置方式为示例说明了如何快速在一个kafka集群中启用认证授权机制,提高集群使用的安全性。

但是可能有这一样种场景,比如有多个部门,不同的项目组或项目之间都在共用这个集群,不同的项目组或项目之间会使用不同的用户名/密码或者对不同的topic/消费组分别进行授权,这样,如果我们每次都通过命令的方式,用户信息或者topic数量比较多的时候,无论是查看或者修改都极不方便,所以需要一个可视化的控制台可以便捷的进行操作。

kafka-console-ui

简介

kafka-console-ui支持基于SASL_SCRAM机制可视化管理ACL。

github地址:https://github.com/xxd763795151/kafka-console-ui.git

快速使用

打包

git clone https://github.com/xxd763795151/kafka-console-ui.git
cd kafka-console-ui
sh package.sh

部署

# 解压缩
tar -zxvf kafka-console-ui.tar.gz
# 进入解压缩后的目录
cd kafka-console-ui

启动、停止

# 启动
sh bin/start.sh
# 停止
sh bin/shutdown.sh

修改配置

# 编辑配置
vim config/application.yml

主要配置如下:

kafka:
  config:
    # kafka broker地址,多个以逗号分隔
    bootstrap-server: 'localhost:9092'
    # 服务端是否启用acl,如果不启用,下面的几项都忽略即可
    enable-acl: true
    # 只支持2种安全协议SASL_PLAINTEXT和PLAINTEXT,启用acl则设置为SASL_PLAINTEXT,不启用acl不需关心这个配置
    security-protocol: SASL_PLAINTEXT
    sasl-mechanism: SCRAM-SHA-256
    # 超级管理员用户名,在broker上已经配置为超级管理员
    admin-username: admin
    # 超级管理员密码
    admin-password: admin
    # 启动自动创建配置的超级管理员用户
    admin-create: true
    # broker连接的zk地址
    zookeeper-addr: localhost:2181
    sasl-jaas-config: org.apache.kafka.common.security.scram.ScramLoginModule required username="${kafka.config.admin-username}" password="${kafka.config.admin-password}";

因为是启用ACL,所以enable-acl一定要为true,另外要把broker地址、zk地址、超级管理的账户密码修改为自己的。

注意配置项里有是否自动创建管理员用户,如果kafka集群配置启用了ACL,但是超级管理员还没创建集群节点已经启动了,此时集群仍然是不可用状态,各集群节点间通信认证是失败的,可以直接启动这个控制台,让它把这个超级管理员自动创建了,就不用自己手工去创建这个用户了。

功能说明

  • 用户权限列表

展示当前所有用户权限信息,并可查询:

  • 管理生产权限

快速增加或者删除某个用户对某个topic的消息发送权限

  • 管理消费权限

快速增加或者删除某个用户使用消费组订阅某个topic的权限

  • 删除当前用户及其相关所有权限

将当前用户配置删除同时清空该用户授予的所有权限信息

  • 细粒度权限控制

可以选择某个资源(topic或消费组)增加什么权限(白名单、黑名单什么的都能配置)

  •  查看并管理某个资源的权限明细

  •  新增、更新用户

  • 查看用户信息

注意这个密码一致性,可能存在不一致或没有密码的情况,这个是效验结果。因为kafka scram的用户密码是单向加密的时候,无法解密,所以这里是把密码缓存起来了,如果有的用户不是通过这个平台创建的,这里缓存的密码是不一致的或者就没有缓存,所以每次查看用户明细的时候,这里会用缓存的密码与实际kafka的用户密码做一个校验,以此来判断查出来的密码是否是正确的。

  • 管理员用户不允许操作

 管理员用户信息,不允许操作,主要是避免误操作,影响到集群的稳定性。

·

 末语

当然了,这个东西是我写的,还有其它的一些功能,目前只有ACL这一块实现的相对完备,缺点就是只支持SASL_SCRAM。

目前kafka的安全协议有4种:PLAINTEXT、SSL、SASL_PLAINTEXT、SASL_SSL,私以为,如果kafka集群是在内网中,且只有自己的项目在用,PLAINTEXT,即明文传输完全够用,也不需要认证机制,都是自己人嘛,何必那么麻烦再配置ACL呢。如果是在云上,暴露在公网里了,消息安全性也很高可能需要SSL信道加密了。

但是存在这些一些场景,可能集群是很多项目在用,但是并不需要加密。重点是只需要做好权限控制,哪个项目需要使用哪个topic需要进行申请,那安全协议SASL_PLAINTEXT就足够了,认证机制选用SASL的实现,不需要使用SSL做信道加密且不考虑SASL的其它几种认证机制实现,只是选择了SCRAM,不妨考虑一下我的这个方案。

不识君的荒漠
关注
专栏目录
kafka实践(十五): 滴滴开源Kafka管控平台 Logi-KafkaManager研究
叶子叶来
01-25 1万+
滴滴开源了其Kafka 监控与管控平台 Logi-KafkaManager,因为有30+个集群的维护经验,使用过kafka-manager,kafka-eagle,kafka-mirrorkaker工具,所以很期待能有1个工具能够整合kafka所有工具优点于一身,这样对于生产环境中kafka集群的管理、监控、资源分配、平滑升级、数据跨机房传输是非常好的,所以在研究kafka源码的同时研究一下Logi-KafkaManager的源码和使用,滴滴提供了体验地址:http://117.51.150.133:808
kafka可视化平台EFAK搭建
keepandkeep的博客
02-04 360
- ERROR - Collector consumer topic data has error, msg is java.lang.NullPointerException
kafka可视化工具
BraveHeart
05-17 4711
http://www.kafkatool.com/download.html
kafka 可视化工具
gdutlhh的专栏
03-07 997
平时我们几乎都是查询topics 和 consumer 比较多,选择topics选项卡,右边就会显示kafka当前所拥有的topic,要查看某个 topic里面的消息,直接点击相应topic就能进到相应页面。删除topic,删除消费,查看消费,查询消息所属partition等等。随着科技发展,中间件也百花齐放。但是kafka可视化工具就找了半天,最后还是觉得redpandadata/console这款web ui工具比较好用,尤其对于团队来说,一次安装,全员使用,就不需要每个人都安装一遍了。
Kafka集群配置及UI监控
厚礼谢特的博客
08-16 5085
kafka集群环境搭建 机器远程scp配置 UI监控,Kafka Manager,Kafka Monitor
kafka-ui】支持kafka with kraft的可视化集群管理工具
Aspirin's Nest
01-03 7727
支持kafka3.3.1的kafka可视化客户端,并且可以连接带认证的kafka集群
Kafka集群多用户访问权限分治和消息共享配置指导
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-24 2883
这明显在生产环境,这种认证方式时不符合实际业务场景的。allow.everyone.if.no.acl.found=true #false的话就只能超级用户才能访问资源,true的话其他也可以,如果用户读写一个 Topic,但是没有配置 ACL 权限,客户端会报认证失败错误。现场业务由于多厂商集成,共享数据需要,需对接当前kafka集群,为做到类似租户隔离的功能,需要开启kafka的权限控制和动态用户管理功能,实现不同厂商访问被授权的合法资源,消费者账号只能消费数据,生产者账号只能生产数据。
kafka集群搭建(三) -kafka可视化管理工具kafka tool2使用
weixin_42463980的博客
03-16 2072
kafka集群搭建(一) - SASL_PLAINTEXT方式实现动态权限管理 kafka集群搭建(二) - spring boot集成SASL权限认证方式kafka集群 可视化管理工具可以用kafka tool,支持功能: topic的添加、删除 用户的添加、删除、管理 acl管理 topic中的消息 消息消费情况 其他功能... -1、 kafka tool下载地址: 官方地址...
KafKa 开启 SASL 验证
41981DC的博客
08-12 2854
kafka 配置 sasl 权限认证
Kafka系列(六)、Kafka开发套件kafka lenses 安装及使用(带WebUI)
王义凯 的博客
09-23 1969
Lenses 是kafka的一个商用套件,本次我们使用docker安装他们给我们提供的开源版本,该开源版本包含超多件,对于平时开发使用来说很友好,不需要去安装一堆开发件,它自带了Apache Kafka, Kafka Connect, Zookeeper, Confluent Schema Registry,Confluent REST Proxy 以及几个lenses开源的管理ui界面kafka-topics-ui, schema-registry-ui, kafka-connect-ui,
Kafka入门及可视化界面推荐
沉梦听雨的博客
12-25 3370
*死信队列(Dead Letter Queue,简称 DLQ)**是消息中间件中的一种特殊队列。它主要用于处理无法被消费者正确处理的消息,通常是因为消息格式错误、处理失败、消费超时等情况导致的消息被"丢弃"或"死亡"的情况。当消息进入队列后,消费者会尝试处理它。如果处理失败,或者超过一定的重试次数仍无法被成功处理,消息可以发送到死信队列中,而不是被永久性地丢弃。在死信队列中,可以进一步分析、处理这些无法正常消费的消息,以便定位问题、修复错误,并采取适当的措施。
kafka可视化界面kibana_通过 Elasticsearch、Kibana 和 Beats 监测 Kafka
weixin_39752880的博客
12-22 332
我们最早于 2016 年发布了通过 Filebeat 监测 Kafka 的文章。6.5 推出以后,Beats 团队可以支持 Kafka 模块。这一模块能够自动完成监测 Kafka 集群时涉及的很多工作。在本篇文章中,我们关注的是使用 Filebeat 和 Metricbeat 中的 Kafka 模块来收集日志和指标数据。我们会将数据采集到在 Elasticsearch Service 上托管的一个...
Kafka集群搭建可视化指南
最新发布
todoitbo的博客
04-20 6969
本文将深入探讨Kafka集群的搭建过程,从基础概念到实际操作,带领读者一步步构建高效稳定的数据流处理系统。通过详细的步骤和实例,读者将了解如何配置、部署和优化Kafka集群,以满足不同规模和需求的数据处理场景。
kafka SASL/SCRAM,ACL权限控制
weixin_43110668的博客
12-18 982
文章不错: https://blog.csdn.net/zhqsdhr/article/details/105805604
JAVA代码中使用kafka生产者配置MD5密码的配置方法
一学习就瞌睡的博客
01-04 1482
最近有一个需求,是将一些信息发送给指定的kafka(也就是咱们作为生产者)。在发送的时候,需要提供用户名和密码接收方才能成功接收。
SpringBoot中Kafka的SSL链接
长河的博客
11-05 6620
运维给了账号, 密码,还有jks的秘钥, 现在jks文件上传不到服务器上去, 只能使用Base64编码成配置文件, 在项目启动后再从base64的字符串变成文件. 配置文件如下: spring: # kafka config start kafka: bootstrap-servers: XXX producer: value-serializer: org.apache.kafka.common.serialization.StringSerializer
Kafka 命令行操作
逆流者的博客
02-19 1844
kafka-topics.sh 脚本使用参数列表: [vagrant@localhost kafka_2.12-3.0.0]$ bin/kafka-topics.sh Create, delete, describe, or change a topic. Option Description ------ -----
kafka_2.12-2.3.1 自带zookeeper 关闭四字命令 添加Acl IP白名单
weixin_45045261的博客
02-21 2280
通过IP白名单和关闭四字命令方式,修复zookeeper未授权漏洞
Kafka集群搭建及简单使用(控制台与Java客户端)
光于前裕于后的博客
04-03 3406
官方文档:http://kafka.apache.org/documentation.html#introduction Kafka其实就是分布式的消息队列,如果不知道消息队列请看这:http://blog.csdn.net/dr_guo/article/details/50763679 1.下载 去官网下载即可 2.解压 3.配置环境变量 /etc/profile 4.安装zo
kafka acl配置使用
07-27
KafkaACL(Access Control List)配置用于控制用户对Kafka资源的访问权限。ACL的格式定义如下: "Principal P is \[Allowed/Denied\] Operation O From Host H On Resource R"。你可以在KIP-11上阅读更多关于ACL的...
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不识君的荒漠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值