docker创建带SASL认证的kafka

已于 2023-05-04 17:39:53 修改
阅读量3.4k 收藏 6
点赞数 1
分类专栏: kafka 文章标签: kafka docker java
于 2022-11-01 09:52:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yztezhl/article/details/127627854
版权

一、概述

1、Kafka的权限分类

1)、身份认证(Authentication):对client 与服务器的连接进行身份认证,brokers和zookeeper之间的连接进行Authentication(producer 和 consumer)、其他 brokers、tools与 brokers 之间连接的认证。

2)、权限控制(Authorization):实现对于消息级别的权限控制,clients的读写操作进行Authorization:(生产/消费/group)数据权限。

2、实现方式

自0.9.0.0版本开始Kafka社区添加了许多功能用于提高Kafka群集的安全性,Kafka提供SSL或者SASL两种安全策略。SSL方式主要是通过CA令牌实现,此文主要介绍SASL方式。

1)SASL验证:

验证方式

Kafka版本

特点

SASL/PLAIN

0.10.0.0

不能动态增加用户

SASL/SCRAM

0.10.2.0

可以动态增加用户

SASL/Kerberos

0.9.0.0

需要独立部署验证服务

SASL/OAUTHBEARER

2.0.0

需自己实现接口实现token的创建和验证,需要额外Oauth服务

2)SSL加密: 使用SSL加密在代理和客户端之间,代理之间或代理和工具之间传输的数据。

二、docker创建带SASL认证的kafka

1.准备文件kafka_server_jaas.conf

KafkaServer {
org.apache.kafka.common.security.plain.PlainLoginModule required
username="xx"
password="xxx"
user_admin="xx"
user_alice="xxx";
};
Client {
org.apache.kafka.common.security.plain.PlainLoginModule required
username="xx"
password="xxx";
};

2.准备文件zk_server_jaas.conf


Server {
org.apache.kafka.common.security.plain.PlainLoginModule required
username="xx"
password="xxx"
user_admin="xxx";
};

3. 放入secrets文件夹

4.准备文件docker-compose.yml

version: '2'
services:
    zookeeper:
        image: confluentinc/cp-zookeeper:5.1.2
        hostname: zookeeper
        container_name: zookeeper
        restart: always
        ports:
            - 2182:2182
        environment:
            ZOOKEEPER_CLIENT_PORT: 2182
            ZOOKEEPER_TICK_TIME: 2000
            ZOOKEEPER_MAXCLIENTCNXNS: 0
            ZOOKEEPER_AUTHPROVIDER.1: org.apache.zookeeper.server.auth.SASLAuthenticationProvider
            ZOOKEEPER_REQUIRECLIENTAUTHSCHEME: sasl
            ZOOKEEPER_JAASLOGINRENEW: 3600000
            KAFKA_OPTS: -Djava.security.auth.login.config=/etc/kafka/secrets/zk_server_jaas.conf
        volumes:
            - ./secrets:/etc/kafka/secrets
    kafka:
        image: confluentinc/cp-kafka:5.1.2
        hostname: broker
        container_name: kafka
        restart: always
        depends_on:
            - zookeeper
        ports:
            - 9092:9092
        environment:
            KAFKA_BROKER_ID: 1
            KAFKA_ZOOKEEPER_CONNECT: 'zookeeper:2182/kafka'
            KAFKA_OFFSETS_TOPIC_REPLICATION_FACTOR: 1
            KAFKA_GROUP_INITIAL_REBALANCE_DELAY_MS: 0
            KAFKA_LISTENERS: SASL_PLAINTEXT://0.0.0.0:9092
            KAFKA_ADVERTISED_LISTENERS: SASL_PLAINTEXT://xxx.xxx.xxx.xxx:9092
            KAFKA_SECURITY_INTER_BROKER_PROTOCOL: SASL_PLAINTEXT
            KAFKA_SASL_MECHANISM_INTER_BROKER_PROTOCOL: PLAIN
            KAFKA_SASL_ENABLED_MECHANISMS: PLAIN
            KAFKA_AUTHORIZER_CLASS_NAME: kafka.security.auth.SimpleAclAuthorizer
            KAFKA_OPTS: -Djava.security.auth.login.config=/etc/kafka/secrets/kafka_server_jaas.conf
            KAFKA_SUPER_USERS: User:admin
        volumes:
            - ./secrets:/etc/kafka/secrets

上述xxx.xxx.xxx.xxx改成自己的IP地址

5.执行docker-compose -f docker-compose.yaml up -d

6. 写python代码验证

import time
import json
from datetime import datetime
from kafka import KafkaProducer, KafkaConsumer
 
 
def producer_event(server_info):
    producer = KafkaProducer(bootstrap_servers=server_info,
                             security_protocol='SASL_PLAINTEXT',
                             sasl_mechanism='PLAIN',
                             sasl_plain_username='xx',
                             sasl_plain_password='xxx')
    topic = "first.kafka.test"
    print("kafka连接成功")
    for i in range(7200):
        data = {
            "name":"hello world"
        }
        data_json = json.dumps(data)
        producer.send(topic, data_json.encode()).get(timeout=30)
        print("数据推送成功,当前时间为:{},数据为:{}".format(datetime.now(), data_json))
        time.sleep(1)
    producer.close()
 
 
server="127.0.0.1:9092"
producer_event(server)

7.写springboot kafka初始化代码验证

@Configuration
@EnableKafka
public class KafkaConsumerConfiguration {

   private Map<String, Object> consumerConfigs() {

        Map<String, Object> props = new HashMap<>();
        props.put(ConsumerConfig.BOOTSTRAP_SERVERS_CONFIG, KAFKA_BROKERS);

        props.put(ConsumerConfig.ENABLE_AUTO_COMMIT_CONFIG, false);
        props.put(ConsumerConfig.SESSION_TIMEOUT_MS_CONFIG, "15000");

        props.put(ConsumerConfig.AUTO_OFFSET_RESET_CONFIG, "earliest");

        // 一次调用poll()操作时返回的最大记录数, 默认500
        //props.put(ConsumerConfig.MAX_POLL_RECORDS_CONFIG, 100);

        props.put(ConsumerConfig.KEY_DESERIALIZER_CLASS_CONFIG, StringDeserializer.class);
        props.put(ConsumerConfig.VALUE_DESERIALIZER_CLASS_CONFIG, StringDeserializer.class);

        if(!"xx".equals(protocol)) {
            props.put("sasl.mechanism", "PLAIN");
            props.put("security.protocol", "SASL_PLAINTEXT");
            props.put("sasl.jaas.config", "org.apache.kafka.common.security.plain.PlainLoginModule required username="xx" password="xxx";");
        }

        return props;
    }

    public ConsumerFactory<String, String> consumerFactory() {
        return new DefaultKafkaConsumerFactory<>(consumerConfigs());
    }

    @Bean
    public KafkaListenerContainerFactory<ConcurrentMessageListenerContainer<String, String>> batchFactory() { ;
        ConcurrentKafkaListenerContainerFactory<String, String> factory = new ConcurrentKafkaListenerContainerFactory<>();
        factory.setConsumerFactory(consumerFactory());
        factory.setBatchListener(Boolean.TRUE);
        factory.setConcurrency(1);
        factory.getContainerProperties().setAckMode(ContainerProperties.AckMode.MANUAL_IMMEDIATE);
        factory.getContainerProperties().setPollTimeout(150000);
        return factory;
    }

}

docker-compose安装SASL认证kafka
牧码人博客@luckyhe.com
09-06 3348
本篇文章会介绍使用使用`docker-compose`安装SASL认证Kafka消息队列。为啥会有这篇文章主要是网上一些文章太折磨人了,都是互抄的而且都是错的。我配合`SpringBoot`调试搞了我一天。为啥要搞SASL认证也主要是为了安全考虑。如果不加认证,`Kafka`应用就是裸露在外面的,会有安全风险。阅读此文前,需要对`docker-compose`有一个基础认知,本文并不属于小白文。
kafkadocker容器bitnami/kafka使用SASL鉴权(无TLS)
weixin_41855143的博客
05-01 3592
可以设置为一个新的listener,也可以设置为现有的listener(controller除外),本文就以设置现有的listener为例,将改值设置为。后来发现其实是可以单独使用SASL,而且官方文档没有完整的配置资料,最后在Issue上找到解决方案。最近在学习kafka消息队列,了解到kafka是通过SASL来进行用户认证的。参数的作用是一致的,都是为了设置broker之间通信的配置,由于。默认值的,但是这个值在容器使用中会出现错误,而且在。设置之后依然存在问题,本文暂不讨论,后续就以。
Kafka启动及验证(单机版)
SDN_SUPERUSER的专栏
07-02 5945
一: 下载kafka_2.11-1.0.0.tgz,并解压到磁盘。 安装zookeeper二: 启动zookeeper三:配置文件在${kafka_home}/config 下面,配置文件就不一一介绍#配置broker.id# The id of the broker. This must be set to a unique integer for each broker.broker.id=0...
2. docker 安装 kafka
最新发布
博客简介
03-20 229
Apache Kafka 是一个分布式流数据平台,专为处理实时数据流设计,具备高吞吐、低延迟、持久化存储等核心特性。1.offsetexplorer.vmoptions 配置文件中加入客户端连接的认证信息位置。解耦生产者(Producer)与消费者(Consumer),支持发布/订阅模式。数据按主题(Topic)分类存储,默认保留7天(可配置为永久存储)。2.认证信息位置中加入认证信息 client_jaas.conf。支持TB级数据存储,常用于数据湖的实时层。
docker-compose部署kafkaSASL模式(密码校验模式)
yuguang的博客
01-11 3476
注意点:192.168.1.20 是宿主机的ip。
docker安装kafka并使用SASL 进行身份验证
jkzyx123的博客
10-17 1796
通过上述步骤,你可以使用 Docker 安装 Kafka 和 Zookeeper 并配置 SASL 认证机制。这个配置将确保 Kafka 和 Zookeeper 的通信通过SASL/PLAIN认证进行。通过 Docker Compose 可以轻松启动和管理 Kafka 集群,并保证高效的部署。
docker 安装 kafka集群 (SASL)
u011420410的博客
07-05 1695
docker 安装 kafka集群1. 下载安装包2. 制作镜像包3. 生成集群的挂载文件4. 创建并启动容器5. 创建并启动kafka-manager 1. 下载安装包 从官网或者从镜像服务站下载,本次下载的kafka版本为 2.12-2.3.0 2. 制作镜像包 kafka 添加jaas配置文件件 mkdir -p $kafka_dir/.conf; vi $kafka_dir/.conf/...
docker创建kafka(SASL认证)
zwjapple的专栏
08-17 3214
docker创建kafka用户名密码验证, python连接kafka验证
基于docker部署kafka-3.8.0版本,并开启SASL认证模式
m0_54138989的博客
02-06 1215
(2)修改 kafka-console-producer.sh 脚本 在脚本最上方增加如下代码。(2)修改 kafka-console-consumer.sh 脚本 在脚本最上方增加如下代码。(1)https://kafka.apache.org/downloads 下载如下图版本。(1)修改 kafka-server-start.sh 脚本 在脚本最上方增加如下代码。(3)修改server.properties 文件,增加下面信息,内容如下图。为topic增加SASL认证信息,指定认证机制为SASL
2024年大数据最全docker-compose部署kafkaSASL模式(密码校验模式)_system(1)
2401_84182507的博客
05-02 1302
} Client { org.apache.zookeeper.server.auth.DigestLoginModule required username=“admin” password=“123456”; };Server { org.apache.zookeeper.server.auth.DigestLoginModule required username=“admin” password=“123456” user_super=“123456” user_admin=“123456”; };
docker 在线/离线 安装密码认证SASL_PLAINTEXT的 kafka
ssp584731180的博客
01-06 592
docker 在线/离线安装密码的 kafka 三件套,kafak,zookper,kafka-ui,
Docker部署Kafka SASL_SSL认证,并集成到Spring Boot
Mr_binM的博客
11-15 2947
在Spring Boot应用中配置Kafka客户端以使用SASL_SSL认证。需要openssl环境,如果是Window下,下载openssl。如果容器内没办法编辑,可以先把文件拷贝出来修改,然后再拷贝覆盖。配置application.yml,修改对应IP地址。还需要keytool环境,此环境是在jdk环境下。在容器内配置文件两个文件加上参数algorithm。在pom.xml中添加Kafka客户端依赖。
kafka安装部署-前面部分
wt6002的博客
09-03 447
step 1: 下载代码 你可以登录Apache kafka 官方下载。http://kafka.apache.org/downloads.html 下载和自己系统匹配的 Step 2: 启动服务 运行kafka需要使用Zookeeper,所以你需要先启动Zookeeper,如果你没有Zookeeper,你可以使用kafka打包和配置好的Zookeeper(PS:在kafka包里)。 在和kafka一个目录bin文件夹下面; //这是前台启动,启动以后,当前就无法进行其他操作(不推.
dockercompose 实现kafka SASL认证
zhxi1121的博客
03-24 4732
dockercompose 实现kafka SASL认证使用 SASL/PLAIN 认证直接上dockercompose.yml配置把kafka_server_jaas.conf,zk_server_jaas.conf 放入指定的路径 使用 SASL/PLAIN 认证 SASL/PLAIN 认证是最简单的认证方式,网上也有很多大神写过相关的文章,不过关于docker-compose的几乎没有,所以...
docker-compose部署 kafka 3.7 启用账号密码认证
架构+开发+运维
06-05 3448
docker-compose部署 kafka 3.7 并启用账号密码认证
docker-compose 跨节点部署 kafka-kraft SASL用户加密集群】全网最新!
Fate is about choice
09-15 1558
docker 跨节点部署 kafka3.5.1 kraft集群
使用docker-compose运行kafka及验证(无需zookpeer)
qq_39766779的博客
08-19 1706
使用docker-compose安装kafka(无需zookpeer),镜像版本:apache/kafka:3.8.0
docker部署kafka集群开启SASL-PLAIN
GHDHS_的博客
10-30 542
docker logs 【容器名字】查看kafka的日志信息。保存下面脚本内容到文件:install-kafka.sh。#一键安装完成后可输入docker ps -a查看。查找Cluster ID确定三台服务器在一个集群。linux环境、docker环境。在另一台服务器上进行消费测试。Topic创建&&生产测试。
Kafka增加安全验证安全认证SASL认证,并通过spring boot-Java客户端连接配置
m0_59598029的博客
02-23 3009
这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。部分中的属性用户名和密码来启动与其他代理的连接。中的不同客户机可以通过指定不同的用户名作为不同的用户进行连接 和 中的密码。
Docker-compose部署Kafka,并开启SASL/PLAIN认证
03-13
### 使用 Docker Compose 部署 Kafka 并启用 SASL/PLAIN 认证 为了使用 Docker Compose 启动SASL/PLAIN 身份验证的 Apache Kafka 实例,需要对 `docker-compose.yml` 文件以及 Kafka 和 ZooKeeper 的配置文件进行适当修改。 #### 修改 `docker-compose.yml` 创建或编辑现有的 `docker-compose.yml` 文件来定义服务: ```yaml version: '2' services: zookeeper: image: confluentinc/cp-zookeeper:latest environment: ZOOKEEPER_CLIENT_PORT: 2181 KAFKA_BROKER_ID: 1 ALLOW_PLAINTEXT_LISTENER: "yes" volumes: - ./zoo.cfg:/etc/kafka/zookeeper.properties kafka: image: confluentinc/cp-kafka:latest depends_on: - zookeeper ports: - "9092:9092" - "9093:9093" environment: KAFKA_ADVERTISED_LISTENERS: PLAINTEXT://kafka:9092,SASL_PLAINTEXT://kafka:9093 KAFJA_LISTENER_SECURITY_PROTOCOL_MAP: PLAINTEXT:PLAINTEXT,SASL_PLAINTEXT:SASL_PLAINTEXT KAFKA_INTER_BROKER_LISTENER_NAME: SASL_PLAINTEXT KAFKA_SASL_ENABLED_MECHANISMS: PLAIN KAFKA_SASL_MECHANISM_INTER_BROKER_PROTOCOL: PLAIN KAFKA_AUTHORIZER_CLASS_NAME: kafka.security.auth.SimpleAclAuthorizer KAFKA_ZOOKEEPER_CONNECT: zookeeper:2181 KAFKA_OFFSETS_TOPIC_REPLICATION_FACTOR: 1 volumes: - ./server.properties:/etc/kafka/server.properties ``` 此设置指定了两个监听器:一个是用于内部通信的未加密连接 (`PLAINTEXT`);另一个则是启用了 SASL/PLAIN 协议的安全连接(`SASL_PLAINTEXT`). 此外还设置了跨代理间的通讯协议为安全模式,并指定授权类以便实施访问控制[^1]. #### 创建必要的配置文件 对于上述 YAML 中提到的服务端口映射和其他环境变量,在实际环境中还需要准备相应的配置文件如 `server.properties`. 特别是在这个场景下要确保包含了如下几项: - 设置 JAAS 登录模块路径指向自定义 jaas.conf 文件位置. ```properties listeners=SASL_PLAINTEXT://:9093,PLAINTEXT://:9092 advertised.listeners=SASL_PLAINTEXT://your.host.name:9093,PLAINTEXT://your.host.name:9092 listener.security.protocol.map=PLAINTEXT:PLAINTEXT,SASL_PLAINTEXT:SASL_PLAINTEXT sasl.enabled.mechanisms=PLAIN sasl.mechanism.inter.broker.protocol=PLAIN security.inter.broker.protocol=SASL_PLAINTEXT authorizer.class.name=kafka.security.authorizer.AclAuthorizer allow.everyone.if.no.acl.found=true super.users=User:admin;User:someuser ``` 另外还需提供一个名为 `jaas.conf` 的 Java Authentication and Authorization Service (JAAS) 配置文件给 Kafka 容器使用. ```plaintext KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="password"; }; Client { org.apache.kafka.common.security.plain.PlainLoginModule required username="someuser" password="another_password"; }; ``` 最后一步就是通过挂载的方式让这些额外资源能够被容器读取到. 将它们放置于主机上的合适目录并将该路径作为卷装载至对应的容器中即可完成整个过程. 一旦完成了以上所有准备工作之后就可以按照常规方式运行命令启动集群了:`docker-compose up -d`.
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hay_lee

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值