实战Kafka ACL机制

最新推荐文章于 2024-06-24 07:30:00 发布
最新推荐文章于 2024-06-24 07:30:00 发布
阅读量912 收藏 2
点赞数
文章标签: kafka java 分布式
原文链接:https://www.ershouyi.com/
版权

  在Kafka0.9版本之前,Kafka集群时没有安全机制的。Kafka Client应用可以通过连接Zookeeper地址,例如zk1:2181:zk2:2181,zk3:2181等。来获取存储在Zookeeper中的Kafka元数据信息。拿到Kafka Broker地址后,连接到Kafka集群,就可以操作集群上的所有主题了。由于没有权限控制,集群核心的业务主题时存在风险的。

  2.2 身份认证

  Kafka的认证范围包含如下:

  Client与Broker之间Broker与Broker之间Broker与Zookeeper之间

  当前Kafka系统支持多种认证机制,如SSL、SASL(Kerberos、PLAIN、SCRAM)。

  2.3 SSL认证流程

  在Kafka系统中,SSL协议作为认证机制默认是禁止的,如果需要使用,可以手动启动SSL机制。安装和配置SSL协议的步骤,如下所示:

  在每个Broker中Create一个Tmp密钥库创建CA给证书签名配置Server和Client

  执行脚本如下所示:

  1#! /bin/bash

  2# 1.Create rsa

  3keytool -keystore server.keystore.jks -alias dn1 -validity 365 -genkey -keyalg RSA

  4# 2.Create CA

  5openssl req -new -x509 -keyout ca-key -out ca-cert -days 365

  6# 3.Import client

  7keytool -keystore client.truststore.jks -alias CAROOT -import -file ca-cert

  8# 4.Import server

  9keytool -keystore server.truststore.jks -alias CAROOT -import -file ca-cert

  10# 5.Export

  11keytool -keystore server.keystore.jks -alias dn1 -certreq -file cert-file

  12# 6.Signed

  13openssl x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out cert-signed -days 365 -CAcreateserial -passin pass:123456

  14# 7.Import ca-cert

  15keytool -keystore server.keystore.jks -alias CARoot -import -file ca-cert

  16# 8.Import cert-signed

  17keytool -keystore server.keystore.jks -alias dn1 -import -file cert-signed

  2.4 SASL认证流程

  在Kafka系统中,SASL机制包含三种,它们分别是Kerberos、PLAIN、SCRAM。以PLAIN认证为示例,下面给大家介绍PLAIN认证流程。

  2.4.1 配置Server

  首先,在$KAFKA_HOME/config目录中新建一个文件,名为kafka_server_jaas.conf,配置内容如下:

  1KafkaServer {

  2 org.apache.kafka.common.security.plain.PlainLoginModule required

  3 username="smartloli"

  4 password="smartloli-secret"

  5 user_admin="smartloli-secret";

  6};

  7

  8Client {

  9 org.apache.kafka.common.security.plain.PlainLoginModule required

  10 username="smartloli"

  11 password="smartloli-secret";

  12};

  然后在Kafka启动脚本(kafka-server-start.sh)中添加配置文件路径,设置内容如下:

  1[hadoop@dn1 bin]$ vi kafka-server-start.sh

  2

  3# Add jaas file

  4export KAFKA_OPTS="-Djava.security.auth.login.config=/data/soft/new/kafka/config/kafka_server_jaas.conf"

  接下来,配置server.properties文件,内容如下:

  1# Set ip & port

  2listeners=SASL_PLAINTEXT://dn1:9092

  3advertised.listeners=SASL_PLAINTEXT://dn1:9092

  4# Set protocol

  5security.inter.broker.protocol=SASL_PLAINTEXT

  6sasl.enabled.mechanisms=PLAIN

  7sasl.mechanism.inter.broker.protocol=PLAIN

  8

  9# Add acl

  10allow.everyone.if.no.acl.found=true

  11auto.create.topics.enable=false

  12delete.topic.enable=true

  13advertised.host.name=dn1

  14super.users=User:admin

  15

  16# Add class

  17authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer

  2.4.2 配置Client

  当Kafka Server端配置启用了SASL/PLAIN,那么Client连接的时候需要配置认证信息,Client配置一个kafka_client_jaas.conf文件,内容如下:

  1KafkaClient {

  2 org.apache.kafka.common.security.plain.PlainLoginModule required

  3 username="admin"

  4 password="admin-secret";

  5};

  然后,在producer.properties和consumer.properties文件中设置认证协议,内容如下:

  1security.protocol=SASL_PLAINTEXT

  2sasl.mechanism=PLAIN

  最后,在kafka-console-producer.sh脚本和kafka-console-producer.sh脚本中添加JAAS文件的路径,内容如下:

  1# For example: kafka-console-producer.sh

  2hadoop@dn1 bin]$ vi kafka-console-producer.sh

  3

  4# Add jaas file

  5export KAFKA_OPTS="-Djava.security.auth.login.config=/data/soft/new/kafka\

  6/config/kafka_client_jaas.conf"

  2.5 ACL操作

  在配置好SASL后,启动Zookeeper集群和Kafka集群之后,就可以使用kafka-acls.sh脚本来操作ACL机制。

  (1)查看:在kafka-acls.sh脚本中传入list参数来查看ACL授权新

  1[hadoop@dn1 bin]$ kafka-acls.sh --list --authorizer-properties zookeeper.connect=dn1:2181

  (2)创建:创建待授权主题之前,在kafka-acls.sh脚本中指定JAAS文件路径,然后在执行创建操作

  1[hadoop@dn1 bin]$ kafka-topics.sh --create --zookeeper dn1:2181 --replication-factor 1 --partitions 1 --topic kafka_acl_topic

  (3)生产者授权:对生产者执行授权操作

  1[hadoop@dn1 ~]$ kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=dn1:2181 --add --allow-principalUser:producer --operation Write --topic kafka_acl_topic

  (4)消费者授权:对生产者执行授权后,通过消费者来进行验证

  1[hadoop@dn1 ~]$ kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=dn1:2181 --add --allow-principalUser:consumer --operation Read --topic kafka_acl_topic

  (5)删除:通过remove参数来回收相关权限

  1[hadoop@dn1 bin]$ kafka-acls.sh --authorizer-properties zookeeper.connect=dn1:2181 --remove --allow-principal User:producer --operation Write --topic kafka_acl_topic3

  在处理一些核心的业务数据时,Kafka的ACL机制还是非常重要的,对核心业务主题进行权限管控,能够避免不必要的风险。

zouduchen
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kafka 权限控制
小毛老头 MaoLT.Xiao
10-29 1052
禁止所有权限: cat deny_all_acl.sh #/bin/sh if [ $# -lt 1 ]; then echo "please input like sh deny_all_acl.sh hostip " exit -1 fi basedir=$(cd `dirname $0`;pwd) zk=$(sed -n 's/^zookeeper.connect=//p' ${basedir}/../config/server.properties) sh ${basedi...
6年资深开发带你10分钟了解Kafka ACL机制
weixin_34315189的博客
10-24 233
1.概述 在Kafka0.9版本之前,Kafka集群时没有安全机制的。Kafka Client应用可以通过连接Zookeeper地址,例如zk1:2181:zk2:2181,zk3:2181等。来获取存储在Zookeeper中的Kafka元数据信息。拿到Kafka Broker地址后,连接到Kafka集群,就可以操作集群上的所有主题了。由于没有权限控制,集群核心的业务主题时存在风险的。 2.内容 ...
Kafka脚本命令使用汇总
zchoney的专栏
09-18 204
Kafka 进程启动 ./kafka-server-start.sh-daemon../config/server.properties 进程停止 ./kafka-server-stop.sh kill服务 ps aux | grep kafka Kill -9 pid topic列表 ./kafka-topics.sh --list --zookeeper localhost:2181 或 ./kafka-topics.sh --list --bootstrap-server ha..
(一)Kafka 安全之使用 SASL 进行身份验证 —— JAAS 配置、SASL 配置
最新发布
流华追梦的专栏
06-24 1312
SASL 是用来认证 C/S 模式也就是服务器与客户端的一种认证机制,全称 Simple Authentication and Security Layer。这就是一种凭据认证方式。通俗的话来讲就是让服务器知道连接进来的客户端的身份是谁。比如凭借阅证到图书馆借书,而每个借阅证都有独立的 ID,通过 ID 定位谁是谁,而不是特别关心谁拿到了借阅证,只需要正确的借阅证即可。所以 SASL 就是服务器存储了客户端的身份证书和如何校验密码是否正确,而且仅在于身份认证过程,认证完毕后即可进行相关的服务操作。
Kafka集群】Kafka针对用户做ACL权限控制
后端研发工程师Marion的博客
05-18 4017
Kafka 3.3.1 中,可以使用 ACL(Access Control List)控制用户对 topic 的访问权限。在命令行中执行以下命令创建一个名为my-topic其中是一种内置的 ACL 校验器,User:admin是一组超级管理员。如果没有在配置文件中指定 super.users,则只有在 Zookeeper 上配置了访问控制时才会应用 ACL 规则。b. 为特定用户或组添加 ACL 规则现在,开发人员组可以对该 topic 进行读写操作。
kafka常用命令
zhangmuqiang的博客
07-05 9147
bin/kafka-consumer-groups.sh --bootstrap-server $nodes --group $groupname --reset-offsets --all-topics --to-earliest --execute # 重设消费者组位移(待验证)bin/kafka-console-consumer.sh --bootstrap-server $nodes --topic $topicName --from-beginning # 使用消费者。
kafka acl配置
热门推荐
ahzsg1314的专栏
01-06 1万+
1、环境查看 指令,确认环境无授权信息 [root@zdh167 bin]# ./kafka-acls.sh --list --authorizer-properties zookeeper.connect=localhost:2181/kafka  [root@zdh167 bin]#  2、授权用户集群管理权限 [root@zdh167 bin]# ./kafka-acls.sh -
kafka权限:(ACL权限控制) 补充acl命令操作
weixin_47737819的博客
11-30 4149
kafka权限:(acl权限) 删除acl权限控制 kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --operation Write --allow-principal User:* --allow-host ***.***.***.*** --remove --topic zll 假设你要添加一个acl “以允许*.***.***.和.***.***.*,Principal为User:Bob和User:Ali
kafka存储机制.docx
11-02
Kafka 存储机制详解 Kafka 是一个分布式、分区的、多副本的、多订阅者、基于 zookeeper 协调的分布式日志系统,也可以当做 MQ 系统。它常见用于 web/nginx 日志、访问日志、消息服务等等。下面将从 Kafka 文件存储...
图解 Kafka实战指南
03-29
### 图解Kafka实战指南知识点详述 #### 一、Kafka简介 **Kafka** 起初由LinkedIn采用Scala语言开发,后捐赠给Apache基金会,现已成为一款广泛应用于分布式流处理平台的成熟软件。它凭借高吞吐量、可持久化存储、...
kafka实战pdf
05-07
《Apache Kafka实战》这本书是关于分布式流处理平台Kafka的深度实践指南,旨在帮助读者深入理解和熟练运用KafkaKafka是由LinkedIn开发并开源的一种高吞吐量、分布式的发布订阅消息系统,现在已经成为大数据领域不...
Apache Kafka实战.pdf
02-21
《Apache Kafka实战》这本书深入浅出地介绍了Apache Kafka这一分布式流处理平台的各个方面,旨在帮助读者掌握Kafka的实际应用和核心概念。Kafka是一个高吞吐量、低延迟的消息发布订阅系统,常用于构建实时数据管道和...
纽约时报Kafka架构实战
01-27
《纽约时报Kafka架构实战》一文探讨了大型媒体机构如何利用Apache Kafka构建高效、可靠的发布管道,以满足内容发布和检索的需求。纽约时报作为拥有丰富历史内容的媒体,其内容生成系统复杂,需要及时、准确地将新...
Kafka ACL使用实战
weixin_34252686的博客
08-17 674
自0.9.0.0.版本引入Security之后,Kafka一直在完善security的功能。当前Kafka security主要包含3大功能:认证(authentication)、信道加密(encryption)和授权(authorization)。信道加密就是为client到broker、broker到broker以及工具脚本与broker之间的数据传输配置SSL;认证机制主要是指配置SASL,...
Kafka-ACL权限搭建
qq422243639的博客
07-26 786
1.Kafka Broker端配置 添加kafka_server_jaas.conf 文件在 kafka/config目录下 配置用户名: KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin" user_admin="admin...
Kafka SASL认证与ACL配置
u010100623的博客
04-30 1080
SASL/PLAIN,这种方式其实就是一个的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,等等!建议大家用SASL/SCRAM的方式 ,这种方式 用户名/密码是存储在zookeeper中,能够。该种认证方式还会使用sha256或sha512对,安全性相对会高一些。本文主要介绍SASL/PLAIN。
Kafka SASL安全认证机制ACL用户权限控制
10-08 1859
自0.9.0.0.版本引入Security之后,Kafka一直在完善security的功能,以提高kafka集群的安全性。当前Kafka security主要包含3大功能:认证(authentication)、信道加密(encryption)和授权(authorization)。
kafka的访问控制
hncscwc的博客
08-10 1800
【概述】通常情况下,Kafka部署后都是自己的业务进行生产消费,但也有一些情况,比如通过kafka和第三方对接,甚至是多个三方对接;或者是多用户使用同一套kafka集群,各自使用不同的topic。在这种场景下,一般不希望不同的用户能访问彼此的数据,因此需要进行权限控制,这就会用到Kafka中的ACLKafka中的ACL定义为:来自指定主机(Host)的指定用户(User...
kafka acl怎么使用
04-01
KafkaACL(Access Control List)用于控制Kafka集群中的客户端对topic、group、cluster等资源的访问权限。使用ACL可以保证集群的安全性。 以下是使用Kafka ACL的步骤: 1. 配置Kafka的server.properties文件,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值