Kafka2.6版本权限认证

最新推荐文章于 2024-05-10 16:19:51 发布
最新推荐文章于 2024-05-10 16:19:51 发布
阅读量2.5k 收藏
点赞数
文章标签: kafka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaojinweiwei1993/article/details/124435202
版权

前言

当前Kafka security主要包含3大功能:认证(authentication)、信道加密(encryption)和受权(authorization)。信道加密就是为client到broker、broker到broker以及工具脚本与broker之间的数据传输配置SSL;认证机制主要是指配置SASL,而受权是经过ACL接口命令来完成的。

本文搭建过程不涉及Kerberos,并且因为运行在内网环境,SSL加密也不是很必要。只是基于SASL + ACL来构建secured Kafka集群。

本次搭建的Kafka集群版本为2.60,注意不同版本可能略有不同,具体需要以官网配置为准

搭建过程

1. Broker端配置

1.1 编写server_jaas文件

要配置SASL和ACL,咱们须要在broker端进行两个方面的设置。首先是建立包含全部认证用户信息的JAAS文件。本例中,咱们假设有3个用户:admin, reader和writer,其中admin是管理员,reader用户读取Kafka集群中topic数据,而writer用户则负责向Kafka集群写入消息。咱们假设这3个用户的密码分别与用户名相同(在实际场景中,管理员须要单独把密码发给各自的用户),编辑JAAS文件内容:

KafkaServer {

org.apache.kafka.common.security.plain.PlainLoginModule required

username="admin"

password="admin"

user_admin="admin"

user_reader="reader"

user_writer="writer";

};

保存该文件为kafka_server_jaas.conf。同时把该文件的完整路径做为一个JVM参数传递给Kafka的启动脚本kafka-server-start.sh。不过因为bin/kafka-server-start.sh只接收server.properties的位置,再也不接收其余任何参数,故咱们须要修改该启动脚本。具体作法以下:

cp bin/kafka-server-start.sh bin/secured-kafka-server-start.sh

vim secured-kafka-server-start.sh

把secured-kafka-server-start.sh最后一行:

exec $base_dir/kafka-run-class.sh $EXTRA_ARGS kafka.Kafka "$@"

改为

exec $base_dir/kafka-run-class.sh $EXTRA_ARGS -Djava.security.auth.login.config=/opt/server/kafka_2.13-2.6.0/config/kafka_server_jaas.conf kafka.Kafka "$@"

1.2 修改server.properties文件

添加一些内容

# 配置ACL入口类网上的版本基本上都是配置为kafka.security.auth.SimpleAclAuthorizer,

#但是这个class.name在2.4版本以后已经被废除,这点有个大坑,最后还得去Kafka官网查看对应版本参数配置

authorizer.class.name=kafka.security.authorizer.AclAuthorizer

# 本例使用SASL_PLAINTEXT

listeners=SASL_PLAINTEXT://Ip:port

security.inter.broker.protocol= SASL_PLAINTEXT

sasl.mechanism.inter.broker.protocol=PLAIN

sasl.enabled.mechanisms=PLAIN

# 设置本例中admin为超级用户

super.users=User:admin

完成上述两步以后,我们就可以启动Kafka集群了

2.client端配置

2.1 创建topic

因为使用kafka-topics.sh脚本直接链接Zookeeper,故不受ACL的限制。因此不管是否配置了security,用户都可以使用kafka-topics来管理topic。

./kafka-topics.sh --zookeeper 10.91.3.145:2181,10.91.3.68:2181,10.91.3.92:2181/kafka --create topic test1 --replication-factor 1 --partitions 3

2.2 配置producer

我们先启动一个console-producer来生产消息,发现无法连接broker

root@bdp-galileo-zk-1 bin]# ./kafka-console-consumer.sh --bootstrap-server 10.91.3.145:9092 --topic test

[2022-04-25 15:29:51,051] WARN [Consumer clientId=consumer-console-consumer-33101-1, groupId=console-consumer-33101] Bootstrap broker 10.91.3.145:9092 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)

[2022-04-25 15:29:51,451] WARN [Consumer clientId=consumer-console-consumer-33101-1, groupId=console-consumer-33101] Bootstrap broker 10.91.3.145:9092 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)

[2022-04-25 15:29:51,853] WARN [Consumer clientId=consumer-console-consumer-33101-1, groupId=console-consumer-33101] Bootstrap broker 10.91.3.145:9092 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)

下面为writer用户配置写入test topic的权限

首先编辑一个JAAS文件writer_jaas.conf


KafkaClient {

org.apache.kafka.common.security.plain.PlainLoginModule required

username="writer"

password="writer";

};

然后将writer_jaas.conf文件以参数的形式传递给kafka-console-consumer.sh脚本

cp bin/kafka-console-producer.sh bin/writer-kafka-console-producer.sh

$ vi bin/writer-kafka-console-producer.sh

把该文件中的这行:

exec $(dirname $0)/kafka-run-class.sh kafka.tools.ConsoleProducer "$@"

修改成下面这行,而后保存退出

exec $(dirname $0)/kafka-run-class.sh -Djava.security.auth.login.config=/opt/server/kafka_2.13-2.6.0/config/writer_jaas.conf kafka.tools.ConsoleProducer "$@"

然后创建一个producer.config为该console producer指定如下两个属性:

vim producer.config

security.protocol=SASL_PLAINTEXT

sasl.mechanism=PLAIN

接着使用writer-kafka-console-producer.sh试着生产消息

$ bin/writer-kafka-console-producer.sh --broker-list 10.91.3.145:9092 --topic test1 --producer.config producer.config

>hello, kafka

[2022-04-25 16:29:51,051] WARN Error while fetching metadata with correlation id 1 : {test=UNKNOWN_TOPIC_OR_PARTITION} (org.apache.kafka.clients.NetworkClient)

[2022-04-25 16:29:51,064] WARN Error while fetching metadata with correlation id 3 : {test=UNKNOWN_TOPIC_OR_PARTITION} (org.apache.kafka.clients.NetworkClient)

依然有错误,不过错误变成“没法获取元数据”了。这说明运行的console producer经过了认证,可是没有经过受权,所以咱们须要配置ACL来让writer用户有权限写入topic:

bin/kafka-acls.sh --authorizer-properties zookeeper.connect=10.91.3.145:2181,10.91.3.68:2181,10.91.3.92:2181/kafka --add --allow-principal User:writer --allow-host * --operation Write --topic test1

接着我们就可以愉快的生产消息了,不过子曰,数据未消费之前就不算生产成功。所以我们还需要配置消费者

2.3 配置consumer

和reader类似,首先建立reader用户的JAAS文件reader_jaas.conf,

KafkaClient {

org.apache.kafka.common.security.plain.PlainLoginModule required

username="reader"

password="reader";

};

然后拷贝一份新的console consumer来指定上面的reader_jaas.conf:

cp bin/kafka-console-consumer.sh bin/reader-kafka-console-consumer.sh

vi bin/reader-kafka-console-consumer.sh

把该文件中的这行:

exec $(dirname $0)/kafka-run-class.sh kafka.tools.ConsoleConsumer "$@"

修改成下面这行,而后保存退出

exec $(dirname $0)/kafka-run-class.sh -Djava.security.auth.login.config=/Users/huxi/SourceCode/newenv/reader_jaas.conf kafka.tools.ConsoleConsumer "$@"

然后建立一个consumer.config为该console producer指定如下3个属性:

security.protocol=SASL_PLAINTEXT

sasl.mechanism=PLAIN

group.id=test-group

最后给readr赋予test1 topic的读取权限

./kafka-acls.sh --authorizer-properties zookeeper.connect=10.91.3.145:2181,10.91.3.68:2181,10.91.3.92:2181/kafka --add --allow-principal User:reader --operation Read --topic test1 --group test-group

然后就可以正常消费了。

#注意该版本必须使用--consumer.config参数指定consumer.config配置文件,而不能用--consumer-property。这点也是个坑

./reader-kafka-console-consumer.sh --bootstrap-server 10.91.3.145:9092 --topic test1 --consumer.config consumer.config

zhaojinweiwei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kafka-Streaming错误:在IDEA连接kafka时出现错误
weixin_43272605的博客
01-16 3779
首先说明这个错误的前提,我没有自己在虚拟机上搭建,因为华为送了服务器,我就直接在它的服务器上搭建了docker,弄了三个容器装了kafka,直接使用docker-compose搭建集群 映射的端口就是这样子,但是呢,在IDEA连接kafka集群的时候 首先连接IP:5000,5002,5004 再连接返回的host.name =kafka1,kafka2,kafka3 最后继续连接a...
Kafka】测试集群中Broker故障对客户端的影响
浩瀚宇宙的一粒尘埃
12-18 8827
本文主要测试Partition的Leader所在Broker节点故障之后,对客户端的影响。 测试信息: Topic信息:3个副本,3个分区; Producer:多线程,100条/秒、10条/秒; Consumer:不间断poll消息; 测试客户端:原生的KafkaConsumer/KafkaProducer、Spring的KafkaTemplete; 测试场景:Producer和Consumer运行过程中,通过K8Sdashboard删除Partition所在Leader对应的Pod; 测试.
Kafka指定分区消费及consumer-id,client-id相关概念解析_kafka clientid
最新发布
2401_84181524的博客
05-10 1285
查看kafka的server.log文件发现确实是在日志中起到标识作用的实际上是consumer-id,而并不是client-id,而client-id相当于只是consumer-id的一部分,但是由于consumer-id对使用者来说是不可见的,用户能够配置的只是consumer-id的前缀,即client-id,所以官方的解释本质上来说并没有太大问题。这样做的目的是通过允许在服务器端请求日志中包含逻辑应用程序名称,能够跟踪不仅仅是ip/端口的请求源。至于client-id的作用,官方给出的描述如下。
Kafka两种配置文件方式
xzh_blog
05-10 5021
1.yml配置文件(简单配置) spring: kafka: bootstrap-servers: ip:端口 consumer: group-id: group-test enable-auto-commit: true auto-commit-interval: 1000ms auto-offset-reset: latest key-deserializer: org.apache.kafka.common.seria
WARN [Consumer clientId=consumer-1, groupId=console-consumer-55928] 1 partitions have leader brokers
热门推荐
雅冰石的专栏
09-28 1万+
一 问题描述 同事反馈我们的三节点kafka集群当其中一台服务器宕机后,业务受到影响,无法生产与消费消息。程序报错: WARN [Consumer clientId=consumer-1, groupId=console-consumer-55928] 1 partitions have leader brokers without a matching listener, including [baidd-0] (org.apache.kafka.clients.NetworkClient) 二 故
启动kafka消费报错:WARN [Consumer clientId…] 1 partitions have leader brokers without a matching listener,…
Sun's Blog
01-28 2829
别看其他文章了,你就是防火墙没关!不信试试看你的防火墙状态是不是running? firewall-cmd --state 再送上关闭防火墙的命令: systemctl stop firewalld 防火墙开机自启动: systemctl enable firewalld.service ...
jdk1.8+kafka3.2 linux版本
08-03
Kafka 3.2版本带来了许多改进,包括性能优化、API增强、错误修复等。例如,提高了生产者和消费者的吞吐量,增强了安全性和稳定性,并且对Kafka Connect和Kafka Streams的API进行了更新。这些改进使得Kafka更适合大...
kafka2.3.0 linux版本
11-10
**Kafka 2.3.0 Linux 版本详解** Apache Kafka是一款开源的分布式流处理平台,由LinkedIn开发并贡献给Apache软件基金会。Kafka主要设计目标是提供高吞吐量、低延迟的消息发布与订阅服务,同时也支持数据持久化和...
Kafka 0.9版本
04-09
同时,Kafka还引入了SASL认证,允许配置不同的认证机制,如Kerberos,增强了系统的安全性。 4. **多数据中心复制** 0.9版本增强了跨数据中心的数据复制功能,使得Kafka集群可以在多个地理区域之间复制数据,提高了...
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
Apache Kafka 版本演进及特性介绍
01-07
虽然仍有一部分Kafka的老用户在使用 0.8.x 版本,但 Kafka 0.8.x 确实是比较老的版本了。如果不是对Kafka非常熟悉,很容易忽略各个版本之间的差异,也不会清楚某个版本的特点及使用方式。本文我们就一起学习下Kafka...
kafka用户认证权限管理(SASL/PLAIN+ACL)
浪子天涯行世录
11-18 2380
Kafka 目前支持SSL、SASL/Kerberos、SASL/PLAIN三种认证机制 kafka认证范围 kafka clientkafka server(broker) broker与broker之间 broker与zookeeper之间 zookpeer认证 在zookeeper安装根目录的conf目录下,创建zk_server_jaas.conf文件 Server {...
kafka sasl认证配置及其client实现
yinxuep的博客
06-23 5767
1、kafka sasl认证配置 配置环境 1.1 单机+身份验证配置(SASL/PLAIN认证方式) 1.1.1 服务端配置 1、服务器节点下配置服务器JASS文件,命名为kafka_server_jaas.conf #cd /opt/modules/kafka_2.11-2.0.0/config #vi kafka_server_jaas.conf Kafka...
kafka rebalance与数据重复消费问题
hellozhxy的博客
03-10 2247
问题和现象: 某个程序在消费kafka数据时,总是重复消费相关数据,仿佛在数据消费完毕之后,没有提交相应的偏移量。然而在程序中设置了自动提交:enable.auto.commit为true 检查日志,发现日志提示: 2020-03-26 17:20:21.414 WARN 28800 --- [ntainer#2-0-C-1] o.a.k.c.c.internals.ConsumerCoordinator : [Consumer clientId=consumer-1, groupId=test-c...
kafka java group.id_kafka 不同的consumer需要使用不同的group id
weixin_39679468的博客
02-17 3094
打算在一个项目同时使用两个consumer消费两个topic,在配置文件中配置了consumer的默认groupid,未给两个consumer指定各自的groupid,于是两个consumer都使用同一个groupid# 指定默认消费者group idspring.kafka.consumer.group-id=test-message-group但在断点调试过程中发现两个consumer偶尔正常...
kafka安全认证与授权(SASL/PLAIN)
u011618288的博客
02-09 8210
快速搭建kafka SASL+ACL实现安全认证、授权 kafka SASL/PLAIN
kafka权限认证 topic权限认证 权限动态认证-亲测成功
yinjl123456的博客
11-20 1641
1、Kafka权限分类身份认证(Authentication):对client 与服务器的连接进行身份认证,brokers和zookeeper之间的连接进行Authentication(producer 和 consumer)、其他 brokers、tools与 brokers 之间连接的认证。上一篇博文介绍了连接的身份认证权限控制(Authorization):实现对于消息级别的权限控制,clients的读写操作进行Authorization:(生产/消费/group)数据权限
kafka的消费者
wojiao228925661的博客
09-15 8211
kafka消费者 1、消费方式 consumer采用pull(拉)模式从broker中读取数据。 push(推)模式很难适应消费速度不同的消费者,因为消息发送速率是由broker决定的。它的目标是尽可能以最快速度传递消息,但是这样很容易造成consumer来不及处理消息,典型的表现就是拒绝服务以及网络堵塞。而pull模式则可以根据consumer的消费能力以适当的速率消费消息。 pull模...
Kafka消费者(四)
Lyzxii
12-17 1209
Kafka中的offset 对于 Kafka 中的分区而言,它的每条消息都有唯一的 offset,用来表示消息在分区中对应的位置。对于消费者而言,它也有一个 offset 的概念,消费者使用 offset 来表示消费到分区中某个消息所在的位置。为了区分,对于消息在分区中的位置,我们将 offset 称为“偏移量”;对于消费者消费到的位置,将 offset 称为“位移”或者“消费位移”。 ...
kafka2.6乱序的问题
03-30
Kafka 2.6版本引入了一项新功能,即精确一次性语义(Exactly Once Semantics),它可以确保消息在生产者和消费者之间的传递是精确一次的,避免了重复消费和丢失消息的问题。然而,这项功能可能会导致消息的乱序。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值