Kafka安全认证技术:SASL/SCRAM-ACL方案详解

news2025/4/23 22:33:26

#作者 :张桐瑞

文章目录

  • 1Kafka安全认证技术介绍
  • 2基础设置
  • 3 配置SASL/SCRAM认证
    • 3.1编写server.properties配置
    • 3.2编写kafka.conf密码文件
    • 3.3编写user.properties配置文件
    • 3.4编写kafka-run-class.sh脚本文件
    • 3.5Zk中增加kafka用户
    • 3.6启动kafka进程

1Kafka安全认证技术介绍

Kafka作为一款高吞吐量的分布式消息系统,在数据传输和存储过程中的安全性至关重要。目前,Kafka支持多种认证方式,每种方式都有其独特的特点和适用场景,在生产环境中常见应用的SASL相关认证方式如下:
SSL/TLS认证:基于SSL/TLS加密技术,通过SSL/TLS证书对客户端和服务器进行双向身份验证。在数据传输过程中,利用证书加密通道,确保数据在传输层的安全性和完整性,有效防止数据被窃取或篡改。这种认证方式广泛应用于对数据安全和隐私要求极高的场景,例如金融行业的数据传输。
SASL/PLAIN认证:简单身份验证和授权层应用程序接口(Simple Authentication and Security Layer Application Programming Interface)的PLAIN认证,是一种极为简单的用户名和密码认证方式。其优势在于配置和维护简单,易于在Kafka与其他应用程序之间建立认证机制,适用于对安全性要求相对较低、部署和维护希望简便的场景,如一些小型企业的内部系统。
SASL/SCRAM认证:包括SCRAM-SHA-256、SCRAM-SHA-512等认证方式。该认证过程需要客户端和服务器密切协同完成,涉及到多次交互验证。虽然使用和维护相对复杂,但它具备动态增加用户的显著优势,无需重启Kafka组件服务端即可完成用户的添加,为系统的用户管理提供了极大的灵活性,适合对用户管理灵活性要求较高的企业。
SASL/GSSAPI认证(Kerberos认证):主要适用于大型企业的生产环境,通常与Kerberos协议结合使用。通过集成目录服务(如Active Directory,AD),实现用户身份的统一管理和认证。这种认证机制不仅提供了卓越的安全性,还能为用户带来良好的体验,例如实现单点登录(SSO)功能,方便用户在多个相关系统间无缝切换。
Kafka自带ACL访问控制方式:Kafka提供的ACL(Access Control Lists,访问控制列表)功能,可针对特定的Topic或Topic Partition精细控制用户的访问权限,如读、写、删除等操作权限。通过合理配置ACL,可以有效保障业务数据的安全性,确保敏感数据仅被授权用户访问。
企业在选择认证方式时,需要综合考虑多方面因素。既要确保业务数据的安全性,又要权衡部署后的性能影响和部署复杂度。在实际生产部署过程中,应根据企业的安全政策、网络架构、对系统性能的要求等因素,谨慎选择最适合的认证方式,以确保所选的认证机制与企业的实际需求完美契合。

2基础设置

Zookeeper版本:apache-zookeeper-3.6.3-bin。
Kafka版本:kafka_2.13-3.5.1。

3 配置SASL/SCRAM认证

3.1编写server.properties配置

listeners=SASL_PLAINTEXT://kafkaip:9092
advertised.listeners=SASL_PLAINTEXT://kafkaip:9092
super.users=User:admin
sasl.enabled.mechanisms=SCRAM-SHA-512
sasl.mechanism.inter.broker.protocol=SCRAM-SHA-512
security.inter.broker.protocol=SASL_PLAINTEXT
authorizer.class.name=kafka.security.authorizer.AclAuthorizer

配置说明:
listeners:指定Kafka服务器监听的地址和协议,这里使用SASL_PLAINTEXT协议,监听在kafkaip:9092地址上。
advertised.listeners:用于告知客户端连接Kafka服务器的地址和协议,确保客户端能够正确连接。
super.users:设置超级用户,这里定义了admin为超级用户,超级用户拥有更高的权限,可进行一些特殊操作。
sasl.enabled.mechanisms:启用SCRAM-SHA-512认证机制,确保Kafka服务器支持该认证方式。
sasl.mechanism.inter.broker.protocol:指定Kafka集群内部节点间通信使用的认证机制为SCRAM-SHA-512。
security.inter.broker.protocol:明确集群内部节点间通信的安全协议为SASL_PLAINTEXT。
authorizer.class.name:配置Kafka的访问控制授权器,这里使用kafka.security.authorizer.AclAuthorizer来实现基于ACL的访问控制。

3.2编写kafka.conf密码文件

KafkaServer {
        org.apache.kafka.common.security.scram.ScramLoginModule required
        username="admin"
        password="admin";
};  #kafka用户名密码;
Client {
        org.apache.zookeeper.server.auth.DigestLoginModule required
        username="user1"
        password="user1";
};  #zookeeper连接;

配置说明:
KafkaServer部分:配置Kafka服务器认证所需的用户名和密码,这里设置用户名为admin,密码为admin,使用org.apache.kafka.common.security.scram.ScramLoginModule模块进行认证。
Client部分:用于配置连接Zookeeper时所需的用户名和密码,设置用户名为user1,密码为user1,使用org.apache.zookeeper.server.auth.DigestLoginModule模块进行认证。

3.3编写user.properties配置文件

properties
security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-512
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="admin" password="admin";

配置说明:
security.protocol:指定客户端与Kafka服务器通信的安全协议为SASL_PLAINTEXT。
sasl.mechanism:明确使用SCRAM-SHA-512作为认证机制。
sasl.jaas.config:配置JAAS(Java Authentication and Authorization Service)认证所需的参数,包括使用的认证模块、用户名和密码。

3.4编写kafka-run-class.sh脚本文件

if [ -z "$KAFKA_OPTS" ]; then
  KAFKA_OPTS="-Djava.security.auth.login.config=/kafka/config/kafka.conf"
Fi
…

配置说明:
在kafka-run-class.sh脚本中,添加上述代码片段。这段代码用于检查KAFKA_OPTS环境变量是否为空,如果为空,则设置KAFKA_OPTS环境变量,指定Kafka服务器启动时使用的JAAS配置文件路径为/tmp/kafka/config/kafka.conf,确保Kafka服务器能够正确加载认证配置。

3.5Zk中增加kafka用户

./kafka/bin/kafka-configs.sh --zookeeper zookeeperip:/kafka --alter --add-config 'SCRAM-SHA-512=[password=admin]' --entity-type users --entity-name admin

命令说明:
上述命令用于在Zookeeper中为Kafka添加用户。通过kafka-configs.sh脚本,连接到指定的Zookeeper服务器,为名为admin的用户添加SCRAM-SHA-512认证方式的密码配置。
启动kafka后可使用kafka命令进行创建用户

./bin/kafka-configs.sh --bootstrap-server kafkaip:9092 --command-config config/user.properties --alter --add-config 'SCRAM-SHA-512=[password=exporter]' --entity-type users --entity-name expoter

命令说明:
在Kafka启动后,利用kafka-configs.sh脚本,通过指定的bootstrap-server,并依据config/user.properties配置文件中的认证信息,为名为exporter的用户添加SCRAM-SHA-512认证方式的密码配置。

3.6启动kafka进程

./bin/kafka-server-start.sh ./config/server.properties
4Kafka-exporter配置监控采集
Kafka-exporter是一个用于采集Kafka监控指标的工具,为了实现对所有topic的监控数据采集,需要为其配置具有describe所有topic权限的用户。
./kafka_exporter --kafka.server=kafkaip:9092 --sasl.enabled --sasl.mechanism=SCRAM-SHA-512 --sasl.username=exporter --sasl.password=exporter --topic.filter=topicname
–kafka.server:指定Kafka服务器的地址和端口
–sasl.enabled:启用SASL认证
–sasl.mechanism:设置认证机制为SCRAM-SHA-512
–sasl.username和–sasl.password:指定用于认证的用户名和密码
–topic.filter:设置监控的topic过滤规则

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2341074.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

探索 Flowable 后端表达式:简化流程自动化

探索 Flowable 后端表达式:简化流程自动化

什么是后端表达式? 在 Flowable 中,后端表达式是一种强大的工具,用于在流程、案例或决策表执行期间动态获取或设置变量。它还能实现自定义逻辑,或将复杂逻辑委托…… 后端表达式在 Flowable 的后端运行,无法访问前端…
阅读更多...
HDFS入门】HDFS安全与权限管理解析:从认证到加密的完整指南

HDFS入门】HDFS安全与权限管理解析:从认证到加密的完整指南

目录 引言 1 认证与授权机制 1.1 Kerberos认证集成 1.2 HDFS ACL细粒度控制 2 数据加密保护 2.1 传输层加密(SSL/TLS) 2.2 静态数据加密 3 审计与监控体系 3.1 操作审计流程 3.2 安全监控指标 4 权限模型详解 4.1 用户/组权限模型 4.2 umask配置原理 5 安全最佳实…
阅读更多...
性能比拼: Go vs Java

性能比拼: Go vs Java

本内容是对知名性能评测博主 Anton Putra Go (Golang) vs Java: Performance Benchmark 内容的翻译与整理, 有适当删减, 相关指标和结论以原作为准 在本视频中,我们将比较 Go 和 Java。 我们将基于 Golang 的 Fiber 框架和 Java 的 Spring Boot 创建几个简单的应用…
阅读更多...
ElMessageBox消息弹框(vue3总结)

ElMessageBox消息弹框(vue3总结)

一 展示各种内容 const checkCheckbox (check: any, formEl: any) > {ElMessageBox({title: "服务协议及隐私权政策",message: h("p", null, [h("span", null, "我已阅读并同意 "),h("span",{style: "color: #477F…
阅读更多...
Jupyter Notebook 中切换/使用 conda 虚拟环境的方式(解决jupyter notebook 环境默认在base下面的问题)

Jupyter Notebook 中切换/使用 conda 虚拟环境的方式(解决jupyter notebook 环境默认在base下面的问题)

使用 nb_conda_kernels 添加所有环境 一键添加所有 conda 环境 conda activate my-conda-env # this is the environment for your project and code conda install ipykernel conda deactivateconda activate base # could be also some other environment conda in…
阅读更多...
Tailwind CSS 开发入门:掌握基础语法要点

Tailwind CSS 开发入门:掌握基础语法要点

在前端开发中,Tailwind CSS 以原子化设计和实用类系统,构建精美页面的得力工具,摒弃传统 CSS 繁琐写法。掌握其基础语法是熟练运用它的关键,下面将详细介绍核心基础语法。 一、核心基础语法 1. 颜色类 Tailwind CSS 提供了丰富…
阅读更多...
Java八股 深入理解Spring的AOP 面向切面编程 底层 保姆级教程 手写例子

Java八股 深入理解Spring的AOP 面向切面编程 底层 保姆级教程 手写例子

目录 概念 AOP 术语 1. 连接点(Jointpoint): 2. 切入点(Pointcut): 3. 通知(Advice): 4. 方面/切面(Aspect): 5. 引入&#xff…
阅读更多...
C++std::map

C++std::map

1. 概述​​ ​​定义​​:std::map 是C标准模板库(STL)中的关联容器,以键值对(key-value pairs)形式存储元素,支持快速查找和有序访问。 ​​- 头文件​​:#include ​​底层实现​…
阅读更多...
dispaly: inline-flex 和 display: flex 的区别

dispaly: inline-flex 和 display: flex 的区别

display: inline-flex 和 display: flex 都是 CSS 中用于创建弹性盒子布局(Flexbox)的属性值,但它们之间有一些关键的区别,主要体现在元素如何在页面上被渲染和它们对周围元素的影响。 主要区别 1,块级 vs 行内块级 d…
阅读更多...
性能比拼: Elixir vs Go(第二轮)

性能比拼: Elixir vs Go(第二轮)

本内容是对知名性能评测博主 Anton Putra Elixir vs Go (Golang) Performance Benchmark (Round 2) 内容的翻译与整理, 有适当删减, 相关指标和结论以原作为准 这是第二轮关于 Elixir 和 Go 的对比测试。我收到了一份来自 Elixir 创作者的 Pull Request ,并且我认为…
阅读更多...
【数字图像处理】立体视觉信息提取

【数字图像处理】立体视觉信息提取

双目立体视觉原理 设一个为参考平面,一个为目标平面。增加了一个摄像头后,P与Q在目标面T上有分别的成像点 双目立体视觉:从两个不同的位置观察同一物体,用三角测量原理计算摄像机到该物体的距离的 方法 原理:三角测量…
阅读更多...
【漏洞复现】Struts2系列

【漏洞复现】Struts2系列

【漏洞复现】Struts2系列 1. 了解Struts21. Struts2 S2-061 RCE (CVE-2020-17530)1. 漏洞描述2. 影响版本3. 复现过程 1. 了解Struts2 Apache Struts2是一个基于MVC设计模式的Web应用框架,会对某些标签属性(比如 id)的…
阅读更多...
Sentinel源码—5.FlowSlot借鉴Guava的限流算法二

Sentinel源码—5.FlowSlot借鉴Guava的限流算法二

大纲 1.Guava提供的RateLimiter限流使用示例 2.Guava提供的RateLimiter简介与设计 3.继承RateLimiter的SmoothBursty源码 4.继承RateLimiter的SmoothWarmingUp源码 3.继承RateLimiter的SmoothBursty源码 (1)SmoothBursty的初始化流程 (2)SmoothBursty的初始化完成后的变量…
阅读更多...
重构未来智能:Anthropic 解码Agent设计哲学三重奏

重构未来智能:Anthropic 解码Agent设计哲学三重奏

第一章 智能体进化论:从工具到自主体的认知跃迁 1.1 LLM应用范式演进图谱 阶段技术形态应用特征代表场景初级阶段单功能模型硬编码规则执行文本摘要/分类进阶阶段工作流编排多模型协同调度跨语言翻译流水线高级阶段自主智能体动态决策交互编程调试/客服对话 1.1.…
阅读更多...
Gradle与Idea整合

Gradle与Idea整合

文章目录 1. Groovy 简介2. Groovy 安装[非必须]3. 在idea中创建java工程 1. Groovy 简介 在某种程度上,Groovy可以被视为Java的一种脚本化改良版,Groovy也是运行在JVM上,它可以很好地与Java代码及其相关库进行交互操作。它是一种成熟的面向对象编程语言…
阅读更多...
基于springboot+vue的校园二手物品交易平台

基于springboot+vue的校园二手物品交易平台

开发语言:Java框架:springbootJDK版本:JDK1.8服务器:tomcat7数据库:mysql 5.7(一定要5.7版本)数据库工具:Navicat11开发软件:eclipse/myeclipse/ideaMaven包:…
阅读更多...
OpenCV图像上加数字水印示例

OpenCV图像上加数字水印示例

OpenCV计算机视觉开发实践:基于Qt C - 商品搜索 - 京东 14.1 基本概念 当今,生成式人工智能(Artificial Intelligence Generated Content,AIGC)的火爆引燃了数字水印,说实话数字水印并不是一项新的技术&…
阅读更多...
Python爬虫从入门到实战详细版教程Char01:爬虫基础与核心技术

Python爬虫从入门到实战详细版教程Char01:爬虫基础与核心技术

1.1 什么是网络爬虫? 1.1.1 定义与分类 网络爬虫:互联网世界的“信息捕手” 网络爬虫(Web Crawler),又称网络蜘蛛或网络机器人,是一种通过预设规则自动访问网页、提取数据的程序系统。从技术视角看,其核心任务是通过模拟浏览器行为向目标服务器发起请求,解析网页内容…
阅读更多...
Day-1 漏洞攻击实战

Day-1 漏洞攻击实战

实训任务1 漏洞攻击实战一 使用 御剑 得到网站后台地址 数据库登录与日志配置​​ 使用默认密码 root:root 登录phpMyAdmin,执行 SHOW VARIABLES LIKE general% 查看日志状态。 开启日志功能:set global general_log "ON";(配图&…
阅读更多...
AOSP Android14 Launcher3——RecentsView最近任务数据加载

AOSP Android14 Launcher3——RecentsView最近任务数据加载

最近任务是Launcher中的一个重要的功能,显示用户最近使用的应用,并可以快速切换到其中的应用;用户可以通过底部上滑停顿进入最近任务,也可以在第三方应用底部上滑进最近任务。 这两种场景之前的博客也介绍过,本文就不…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023