Kafka2.6版本权限认证

最新推荐文章于 2024-05-10 16:19:51 发布
最新推荐文章于 2024-05-10 16:19:51 发布
阅读量2.5k 收藏
点赞数
文章标签: kafka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaojinweiwei1993/article/details/124435202
版权

前言

当前Kafka security主要包含3大功能:认证(authentication)、信道加密(encryption)和受权(authorization)。信道加密就是为client到broker、broker到broker以及工具脚本与broker之间的数据传输配置SSL;认证机制主要是指配置SASL,而受权是经过ACL接口命令来完成的。

本文搭建过程不涉及Kerberos,并且因为运行在内网环境,SSL加密也不是很必要。只是基于SASL + ACL来构建secured Kafka集群。

本次搭建的Kafka集群版本为2.60,注意不同版本可能略有不同,具体需要以官网配置为准

搭建过程

1. Broker端配置

1.1 编写server_jaas文件

要配置SASL和ACL,咱们须要在broker端进行两个方面的设置。首先是建立包含全部认证用户信息的JAAS文件。本例中,咱们假设有3个用户:admin, reader和writer,其中admin是管理员,reader用户读取Kafka集群中topic数据,而writer用户则负责向Kafka集群写入消息。咱们假设这3个用户的密码分别与用户名相同(在实际场景中,管理员须要单独把密码发给各自的用户),编辑JAAS文件内容:

KafkaServer {

org.apache.kafka.common.security.plain.PlainLoginModule required

username="admin"

password="admin"

user_admin="admin"

user_reader="reader"

user_writer="writer";

};

保存该文件为kafka_server_jaas.conf。同时把该文件的完整路径做为一个JVM参数传递给Kafka的启动脚本kafka-server-start.sh。不过因为bin/kafka-server-start.sh只接收server.properties的位置,再也不接收其余任何参数,故咱们须要修改该启动脚本。具体作法以下:

cp bin/kafka-server-start.sh bin/secured-kafka-server-start.sh

vim secured-kafka-server-start.sh

把secured-kafka-server-start.sh最后一行:

exec $base_dir/kafka-run-class.sh $EXTRA_ARGS kafka.Kafka "$@"

改为

exec $base_dir/kafka-run-class.sh $EXTRA_ARGS -Djava.security.auth.login.config=/opt/server/kafka_2.13-2.6.0/config/kafka_server_jaas.conf kafka.Kafka "$@"

1.2 修改server.properties文件

添加一些内容

# 配置ACL入口类网上的版本基本上都是配置为kafka.security.auth.SimpleAclAuthorizer,

#但是这个class.name在2.4版本以后已经被废除,这点有个大坑,最后还得去Kafka官网查看对应版本参数配置

authorizer.class.name=kafka.security.authorizer.AclAuthorizer

# 本例使用SASL_PLAINTEXT

listeners=SASL_PLAINTEXT://Ip:port

security.inter.broker.protocol= SASL_PLAINTEXT

sasl.mechanism.inter.broker.protocol=PLAIN

sasl.enabled.mechanisms=PLAIN

# 设置本例中admin为超级用户

super.users=User:admin

完成上述两步以后,我们就可以启动Kafka集群了

2.client端配置

2.1 创建topic

因为使用kafka-topics.sh脚本直接链接Zookeeper,故不受ACL的限制。因此不管是否配置了security,用户都可以使用kafka-topics来管理topic。

./kafka-topics.sh --zookeeper 10.91.3.145:2181,10.91.3.68:2181,10.91.3.92:2181/kafka --create topic test1 --replication-factor 1 --partitions 3

2.2 配置producer

我们先启动一个console-producer来生产消息,发现无法连接broker

root@bdp-galileo-zk-1 bin]# ./kafka-console-consumer.sh --bootstrap-server 10.91.3.145:9092 --topic test

[2022-04-25 15:29:51,051] WARN [Consumer clientId=consumer-console-consumer-33101-1, groupId=console-consumer-33101] Bootstrap broker 10.91.3.145:9092 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)

[2022-04-25 15:29:51,451] WARN [Consumer clientId=consumer-console-consumer-33101-1, groupId=console-consumer-33101] Bootstrap broker 10.91.3.145:9092 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)

[2022-04-25 15:29:51,853] WARN [Consumer clientId=consumer-console-consumer-33101-1, groupId=console-consumer-33101] Bootstrap broker 10.91.3.145:9092 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)

下面为writer用户配置写入test topic的权限

首先编辑一个JAAS文件writer_jaas.conf


KafkaClient {

org.apache.kafka.common.security.plain.PlainLoginModule required

username="writer"

password="writer";

};

然后将writer_jaas.conf文件以参数的形式传递给kafka-console-consumer.sh脚本

cp bin/kafka-console-producer.sh bin/writer-kafka-console-producer.sh

$ vi bin/writer-kafka-console-producer.sh

把该文件中的这行:

exec $(dirname $0)/kafka-run-class.sh kafka.tools.ConsoleProducer "$@"

修改成下面这行,而后保存退出

exec $(dirname $0)/kafka-run-class.sh -Djava.security.auth.login.config=/opt/server/kafka_2.13-2.6.0/config/writer_jaas.conf kafka.tools.ConsoleProducer "$@"

然后创建一个producer.config为该console producer指定如下两个属性:

vim producer.config

security.protocol=SASL_PLAINTEXT

sasl.mechanism=PLAIN

接着使用writer-kafka-console-producer.sh试着生产消息

$ bin/writer-kafka-console-producer.sh --broker-list 10.91.3.145:9092 --topic test1 --producer.config producer.config

>hello, kafka

[2022-04-25 16:29:51,051] WARN Error while fetching metadata with correlation id 1 : {test=UNKNOWN_TOPIC_OR_PARTITION} (org.apache.kafka.clients.NetworkClient)

[2022-04-25 16:29:51,064] WARN Error while fetching metadata with correlation id 3 : {test=UNKNOWN_TOPIC_OR_PARTITION} (org.apache.kafka.clients.NetworkClient)

依然有错误,不过错误变成“没法获取元数据”了。这说明运行的console producer经过了认证,可是没有经过受权,所以咱们须要配置ACL来让writer用户有权限写入topic:

bin/kafka-acls.sh --authorizer-properties zookeeper.connect=10.91.3.145:2181,10.91.3.68:2181,10.91.3.92:2181/kafka --add --allow-principal User:writer --allow-host * --operation Write --topic test1

接着我们就可以愉快的生产消息了,不过子曰,数据未消费之前就不算生产成功。所以我们还需要配置消费者

2.3 配置consumer

和reader类似,首先建立reader用户的JAAS文件reader_jaas.conf,

KafkaClient {

org.apache.kafka.common.security.plain.PlainLoginModule required

username="reader"

password="reader";

};

然后拷贝一份新的console consumer来指定上面的reader_jaas.conf:

cp bin/kafka-console-consumer.sh bin/reader-kafka-console-consumer.sh

vi bin/reader-kafka-console-consumer.sh

把该文件中的这行:

exec $(dirname $0)/kafka-run-class.sh kafka.tools.ConsoleConsumer "$@"

修改成下面这行,而后保存退出

exec $(dirname $0)/kafka-run-class.sh -Djava.security.auth.login.config=/Users/huxi/SourceCode/newenv/reader_jaas.conf kafka.tools.ConsoleConsumer "$@"

然后建立一个consumer.config为该console producer指定如下3个属性:

security.protocol=SASL_PLAINTEXT

sasl.mechanism=PLAIN

group.id=test-group

最后给readr赋予test1 topic的读取权限

./kafka-acls.sh --authorizer-properties zookeeper.connect=10.91.3.145:2181,10.91.3.68:2181,10.91.3.92:2181/kafka --add --allow-principal User:reader --operation Read --topic test1 --group test-group

然后就可以正常消费了。

#注意该版本必须使用--consumer.config参数指定consumer.config配置文件,而不能用--consumer-property。这点也是个坑

./reader-kafka-console-consumer.sh --bootstrap-server 10.91.3.145:9092 --topic test1 --consumer.config consumer.config

zhaojinweiwei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java kafka权限_kafka用户认证权限管理(SASL/PLAIN+ACL)
weixin_34765290的博客
02-27 861
Kafka 目前支持SSL、SASL/Kerberos、SASL/PLAIN三种认证机制kafka认证范围kafka clientkafka server(broker)broker与broker之间broker与zookeeper之间zookpeer认证在zookeeper安装根目录的conf目录下,创建zk_server_jaas.conf文件Server {org.apache.ka...
Java客户端版本:Kafka使用SASL_SSL方式加密验证
Avril___的博客
02-09 1210
Kafka版本2.4先上生成密钥和证书以及相关Kafka和zookeeper配置的链接根据上文配置完之后就可以编写客户端了。
Kafka指定分区消费及consumer-id,client-id相关概念解析_kafka clientid
最新发布
2401_84181524的博客
05-10 1272
查看kafka的server.log文件发现确实是在日志中起到标识作用的实际上是consumer-id,而并不是client-id,而client-id相当于只是consumer-id的一部分,但是由于consumer-id对使用者来说是不可见的,用户能够配置的只是consumer-id的前缀,即client-id,所以官方的解释本质上来说并没有太大问题。这样做的目的是通过允许在服务器端请求日志中包含逻辑应用程序名称,能够跟踪不仅仅是ip/端口的请求源。至于client-id的作用,官方给出的描述如下。
kafka用户认证权限管理(SASL/PLAIN+ACL)
浪子天涯行世录
11-18 2371
Kafka 目前支持SSL、SASL/Kerberos、SASL/PLAIN三种认证机制 kafka认证范围 kafka clientkafka server(broker) broker与broker之间 broker与zookeeper之间 zookpeer认证 在zookeeper安装根目录的conf目录下,创建zk_server_jaas.conf文件 Server {...
Kafka增加安全验证安全认证,SASL认证,并通过spring boot-Java客户端连接配置
m0_59598029的博客
02-23 2179
这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。部分中的属性用户名和密码来启动与其他代理的连接。中的不同客户机可以通过指定不同的用户名作为不同的用户进行连接 和 中的密码。
kafka权限认证 topic权限认证 权限动态认证-亲测成功
yinjl123456的博客
11-20 1626
1、Kafka权限分类身份认证(Authentication):对client 与服务器的连接进行身份认证,brokers和zookeeper之间的连接进行Authentication(producer 和 consumer)、其他 brokers、tools与 brokers 之间连接的认证。上一篇博文介绍了连接的身份认证权限控制(Authorization):实现对于消息级别的权限控制,clients的读写操作进行Authorization:(生产/消费/group)数据权限
jdk1.8+kafka3.2 linux版本
08-03
Kafka 3.2版本带来了许多改进,包括性能优化、API增强、错误修复等。例如,提高了生产者和消费者的吞吐量,增强了安全性和稳定性,并且对Kafka Connect和Kafka Streams的API进行了更新。这些改进使得Kafka更适合大...
kafka2.3.0 linux版本
11-10
**Kafka 2.3.0 Linux 版本详解** Apache Kafka是一款开源的分布式流处理平台,由LinkedIn开发并贡献给Apache软件基金会。Kafka主要设计目标是提供高吞吐量、低延迟的消息发布与订阅服务,同时也支持数据持久化和...
Kafka 0.9版本
04-09
同时,Kafka还引入了SASL认证,允许配置不同的认证机制,如Kerberos,增强了系统的安全性。 4. **多数据中心复制** 0.9版本增强了跨数据中心的数据复制功能,使得Kafka集群可以在多个地理区域之间复制数据,提高了...
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
Apache Kafka 版本演进及特性介绍
01-07
虽然仍有一部分Kafka的老用户在使用 0.8.x 版本,但 Kafka 0.8.x 确实是比较老的版本了。如果不是对Kafka非常熟悉,很容易忽略各个版本之间的差异,也不会清楚某个版本的特点及使用方式。本文我们就一起学习下Kafka...
kafka配置jaas安全
qq_41385719的博客
04-23 3413
Kafka配置SASL/PLAIN认证 1、安装zk,kafka 2、配置server.properties security.inter.broker.protocol=SASL_PLAINTEXT sasl.mechanism.inter.broker.protocol=PLAIN sasl.enabled.mechanisms=PLAIN listeners=SASL_PLAINT...
kafka-Streaming错误:在IDEA连接kafka时出现错误
weixin_43272605的博客
01-16 3773
首先说明这个错误的前提,我没有自己在虚拟机上搭建,因为华为送了服务器,我就直接在它的服务器上搭建了docker,弄了三个容器装了kafka,直接使用docker-compose搭建集群 映射的端口就是这样子,但是呢,在IDEA连接kafka集群的时候 首先连接IP:5000,5002,5004 再连接返回的host.name =kafka1,kafka2,kafka3 最后继续连接a...
启动kafka消费报错:WARN [Consumer clientId…] 1 partitions have leader brokers without a matching listener,…
Sun's Blog
01-28 2825
别看其他文章了,你就是防火墙没关!不信试试看你的防火墙状态是不是running? firewall-cmd --state 再送上关闭防火墙的命令: systemctl stop firewalld 防火墙开机自启动: systemctl enable firewalld.service ...
kafka rebalance与数据重复消费问题
hellozhxy的博客
03-10 2235
问题和现象: 某个程序在消费kafka数据时,总是重复消费相关数据,仿佛在数据消费完毕之后,没有提交相应的偏移量。然而在程序中设置了自动提交:enable.auto.commit为true 检查日志,发现日志提示: 2020-03-26 17:20:21.414 WARN 28800 --- [ntainer#2-0-C-1] o.a.k.c.c.internals.ConsumerCoordinator : [Consumer clientId=consumer-1, groupId=test-c...
kafka java group.id_kafka 不同的consumer需要使用不同的group id
weixin_39679468的博客
02-17 3090
打算在一个项目同时使用两个consumer消费两个topic,在配置文件中配置了consumer的默认groupid,未给两个consumer指定各自的groupid,于是两个consumer都使用同一个groupid# 指定默认消费者group idspring.kafka.consumer.group-id=test-message-group但在断点调试过程中发现两个consumer偶尔正常...
kafka踩坑:kafka内网地址nat后,consumer无法消费问题,及解决方案
仙道Bob的专栏
11-20 6198
一、项目背景 二、问题描述 三、解决方案 四、实施 五、总结
Kafka安全--(二).生产者与消费者认证授权
golango_cn的博客
06-09 4028
启动console-producer: [root@kafka01 bin]# ./kafka-console-producer.sh --bootstrap-server kafka01:9092 --topic first >[2021-06-08 03:33:00,972] WARN [Producer clientId=console-producer] Bootstrap broker kafka01:9092 (id: -1 rack: null) disconnected (org.ap
Kafka消费者(四)
Lyzxii
12-17 1197
Kafka中的offset 对于 Kafka 中的分区而言,它的每条消息都有唯一的 offset,用来表示消息在分区中对应的位置。对于消费者而言,它也有一个 offset 的概念,消费者使用 offset 来表示消费到分区中某个消息所在的位置。为了区分,对于消息在分区中的位置,我们将 offset 称为“偏移量”;对于消费者消费到的位置,将 offset 称为“位移”或者“消费位移”。 ...
kafka2.6乱序的问题
03-30
Kafka是一个分布式流处理平台,它具有高吞吐量、可扩展性和容错性的特点。在Kafka中,消息的顺序是由分区来保证的,每个分区内的消息是有序的,但不同分区之间的消息可能会乱序。 Kafka 2.6版本引入了一项新功能,即精确一次性语义(Exactly Once Semantics),它可以确保消息在生产者和消费者之间的传递是精确一次的,避免了重复消费和丢失消息的问题。然而,这项功能可能会导致消息的乱序。 具体来说,当使用精确一次性语义时,Kafka会对消息进行缓冲和排序,以确保消息按照其在生产者端的顺序被消费者接收。这可能会导致消息在消费者端的顺序与生产者发送的顺序不一致,即出现乱序的情况。 为了解决这个问题,可以通过以下方式来处理乱序: 1. 使用分区键(Partition Key):将相关的消息发送到同一个分区,这样可以保证这些消息在消费者端按照顺序被处理。 2. 使用时间戳(Timestamp):在消息中添加时间戳信息,消费者可以根据时间戳对消息进行排序。 3. 使用有序分区器(Ordered Partitioner):自定义分区器,确保消息按照一定的顺序发送到分区。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值