2. 程式人生 > >實戰Kafka ACL機制

實戰Kafka ACL機制

阿新 發佈:2018-06-17
TE 設置 apach 存在 valid sts smart style days

1.概述

  在Kafka0.9版本之前,Kafka集群時沒有安全機制的。Kafka Client應用可以通過連接Zookeeper地址,例如zk1:2181:zk2:2181,zk3:2181等。來獲取存儲在Zookeeper中的Kafka元數據信息。拿到Kafka Broker地址後,連接到Kafka集群,就可以操作集群上的所有主題了。由於沒有權限控制,集群核心的業務主題時存在風險的。

2.內容

2.2 身份認證

  Kafka的認證範圍包含如下:

  • Client與Broker之間
  • Broker與Broker之間
  • Broker與Zookeeper之間

  當前Kafka系統支持多種認證機制,如SSL、SASL(Kerberos、PLAIN、SCRAM)。

2.3 SSL認證流程

  在Kafka系統中,SSL協議作為認證機制默認是禁止的,如果需要使用,可以手動啟動SSL機制。安裝和配置SSL協議的步驟,如下所示:

  1. 在每個Broker中Create一個Tmp密鑰庫
  2. 創建CA
  3. 給證書簽名
  4. 配置Server和Client

  執行腳本如下所示:

#! /bin/bash

# 1.Create rsa
keytool -keystore server.keystore.jks -alias dn1 -validity 365 -genkey -keyalg RSA
# 2.Create CA
openssl req 
 
-new -x509 -keyout ca-key -out ca-cert -days 365
# 3.Import client
keytool -keystore client.truststore.jks -alias CAROOT -import -file ca-cert
# 4.Import server
keytool -keystore server.truststore.jks -alias CAROOT -import -file ca-cert
# 5.Export
keytool -keystore server.keystore.jks -alias dn1 -certreq -file
 
 cert-file
# 6.Signed
openssl x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out cert-signed -days 365 -CAcreateserial -passin pass:123456
# 7.Import ca-cert
keytool -keystore server.keystore.jks -alias CARoot -import -file ca-cert
# 8.Import cert-signed
keytool -keystore server.keystore.jks -alias dn1 -import -file cert-signed

2.4 SASL認證流程

  在Kafka系統中,SASL機制包含三種,它們分別是Kerberos、PLAIN、SCRAM。以PLAIN認證為示例,下面給大家介紹PLAIN認證流程。

2.4.1 配置Server

  首先,在$KAFKA_HOME/config目錄中新建一個文件,名為kafka_server_jaas.conf,配置內容如下:

KafkaServer {
   org.apache.kafka.common.security.plain.PlainLoginModule required
   username="smartloli"
   password="smartloli-secret"
   user_admin="smartloli-secret";
};

Client {
   org.apache.kafka.common.security.plain.PlainLoginModule required
   username="smartloli"
   password="smartloli-secret";
};

  然後在Kafka啟動腳本(kafka-server-start.sh)中添加配置文件路徑,設置內容如下:

[hadoop@dn1 bin]$ vi kafka-server-start.sh

# Add jaas file
export KAFKA_OPTS="-Djava.security.auth.login.config=/data/soft/new/kafka/config/kafka_server_jaas.conf"

  接下來,配置server.properties文件,內容如下:

# Set ip & port
listeners=SASL_PLAINTEXT://dn1:9092
advertised.listeners=SASL_PLAINTEXT://dn1:9092
# Set protocol
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.enabled.mechanisms=PLAIN
sasl.mechanism.inter.broker.protocol=PLAIN

# Add acl
allow.everyone.if.no.acl.found=true
auto.create.topics.enable=false
delete.topic.enable=true
advertised.host.name=dn1
super.users=User:admin

# Add class
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer

2.4.2 配置Client

  當Kafka Server端配置啟用了SASL/PLAIN,那麽Client連接的時候需要配置認證信息,Client配置一個kafka_client_jaas.conf文件,內容如下:

KafkaClient {
  org.apache.kafka.common.security.plain.PlainLoginModule required
  username="admin"
  password="admin-secret";
};

  然後,在producer.properties和consumer.properties文件中設置認證協議,內容如下:

security.protocol=SASL_PLAINTEXT 
sasl.mechanism=PLAIN

  最後,在kafka-console-producer.sh腳本和kafka-console-producer.sh腳本中添加JAAS文件的路徑,內容如下:

# For example: kafka-console-producer.sh
hadoop@dn1 bin]$ vi kafka-console-producer.sh

# Add jaas file
export KAFKA_OPTS="-Djava.security.auth.login.config=/data/soft/new/kafka/config/kafka_client_jaas.conf"

2.5 ACL操作

  在配置好SASL後,啟動Zookeeper集群和Kafka集群之後,就可以使用kafka-acls.sh腳本來操作ACL機制。

  (1)查看:在kafka-acls.sh腳本中傳入list參數來查看ACL授權新

[hadoop@dn1 bin]$ kafka-acls.sh --list --authorizer-properties zookeeper.connect=dn1:2181

  (2)創建:創建待授權主題之前,在kafka-acls.sh腳本中指定JAAS文件路徑,然後在執行創建操作

[hadoop@dn1 bin]$ kafka-topics.sh --create --zookeeper dn1:2181 --replication-factor 1 --partitions 1 --topic kafka_acl_topic

  (3)生產者授權:對生產者執行授權操作

[hadoop@dn1 ~]$ kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=dn1:2181 --add --allow-principalUser:producer --operation Write --topic kafka_acl_topic

  (4)消費者授權:對生產者執行授權後,通過消費者來進行驗證

[hadoop@dn1 ~]$ kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=dn1:2181 --add --allow-principalUser:consumer --operation Read --topic kafka_acl_topic

  (5)刪除:通過remove參數來回收相關權限

[hadoop@dn1 bin]$ kafka-acls.sh --authorizer-properties zookeeper.connect=dn1:2181 --remove --allow-principal User:producer --operation Write --topic kafka_acl_topic3

3.總結

  在處理一些核心的業務數據時,Kafka的ACL機制還是非常重要的,對核心業務主題進行權限管控,能夠避免不必要的風險。

4.結束語

  這篇博客就和大家分享到這裏,如果大家在研究學習的過程當中有什麽問題,可以加群進行討論或發送郵件給我,我會盡我所能為您解答,與君共勉!

實戰Kafka ACL機制

相關推薦

實戰Kafka ACL機制

TE 設置 apach 存在 valid sts smart style days 1.概述   在Kafka0.9版本之前,Kafka集群時沒有安全機制的。Kafka Client應用可以通過連接Zookeeper地址,例如zk1:2181:zk2:2181,zk3:2

6年資深開發帶你10分鐘瞭解Kafka ACL機制

1.概述 在Kafka0.9版本之前,Kafka叢集時沒有安全機制的。Kafka Client應用可以通過連線Zookeeper地址,例如zk1:2181:zk2:2181,zk3:2181等。來獲取儲存在Zookeeper中的Kafka元資料資訊。拿到Kafk

Kafka ACL使用實戰

... 是否 信道 使用 解決 運行 ext sum .... 自0.9.0.0.版本引入Security之後,Kafka一直在完善security的功能。當前Kafka security主要包含3大功能:認證(authentication)、信道加密(encryption

kafka rebalance 機制與Consumer多種消費模式案例應用實戰-kafka 商業環境實戰

本套系列部落格從真實商業環境抽取案例進行總結和分享,並給出Spark商業應用實戰指導,請持續關注本套部落格。版權宣告:本套Spark商業應用實戰歸作者(秦凱新)所有,禁止轉載,歡迎學習。 kafka 商業環境實戰-kafka生產環境規劃 kafka 商業環境實戰-ka

kafka備份機制——zk選舉leader,leader在broker裏負責備份

情況 協作 版本 遊戲 page 支持 .net col 模式 Kafka架構   如上圖所示,一個典型的kafka集群中包含若幹producer(可以是web前端產生的page view,或者是服務器日誌,系統CPU、memory等

kafka副本機制之數據可靠性

require 有一個 leader 分配 興趣 sign bsp 集群 可用 一、概述   為了提升集群的HA,Kafka從0.8版本開始引入了副本(Replica)機制,增加副本機制後,每個副本可以有多個副本,針對每個分區,都會從副本集(Assigned Replica

Kafka分割槽機制介紹與示例

Kafka中可以將Topic從物理上劃分成一個或多個分割槽(Partition),每個分割槽在物理上對應一個資料夾,以”topicName_partitionIndex”的命名方式命名,該資料夾下儲存這個分割槽的所有訊息(.log)和索引檔案(.index),這使得Kafka

Hyperledger fabric基於kafka共識機制單機搭建

cd /opt/gopath/src/github.com/hyperledger/fabric/scripts/fabric-samples mkdir 181021 cd 181021 mkdir chaincode mkdir network cp ../../firs

kafka儲存機制

(一)關鍵術語 1.Broker:訊息中介軟體處理結點,一個Kafka節點就是一個broker,多個broker能夠組成一個Kafka叢集。 2.Topic:一類訊息,比如page view日誌、click日誌等都能夠以topic的形式存在。Kafka叢集能夠同一時候負責多個topi

kafka rebalance機制

     Kafka保證同一consumer group中只有一個consumer會消費某條訊息,實際上,Kafka保證的是穩定狀態下每一個consumer例項只會消費某一個或多個特定的資料,而某個partition的資料只會被某一個特定的consumer例項所消費。

【直播預告】:Java Spring Boot開發實戰系列課程【第12講】:Spring Boot 2.0效能監控實戰與Actuator機制解析

主講人:徐雷(阿里雲棲特邀Java專家)徐雷,花名:徐雷frank;資深架構師,MongoDB中文社群聯席主席,吉林大學計算機學士,上海交通大學碩士。從事了 10年+開發工作,專注於分散式架構,Java Spring Boot、Spring Cloud、MongoDB、Redis。 喜歡專研技術問題,擅長講

三.kafka 備份機制

備份機制是Kafka0.8版本的新特性,備份機制的出現大大提高了Kafka叢集的可靠性、穩定性。有了備份機制後,Kafka允許叢集中的節點掛掉後而不影響整個叢集工作。一個備份數量為n的叢集允許n-1

RabbitMQ實戰-訊息確認機制之訊息的正確消費

上節中我們講了如何確保訊息的準確釋出,今天我們來看看如何確保訊息的正確消費。 在之前的基礎上我們對消費者(倉庫服務)進行完善。 修改配置檔案application.yml 消費者的ack方式預設是自動的,也就是說訊息一旦被消費(無論是否處理成功),訊息都會被確認,然後會從

HDFS多使用者管理ACL機制other許可權訪問控制的理解

非Master伺服器使用者也能通過客戶端遠端訪問Hadoop 現象:在Hadoop叢集多使用者管理實踐中發現,客戶端用非Master伺服器配置的使用者連線Master,也通用具備對指定目錄的操作許可權。比如Master伺服器提供的使用者的是A,理論上客戶端應用在A使用者下部

Kafka應用實戰——Kafka安裝及簡單使用

Ingredient: 1 Kafka簡介 Kafka是什麼呢?Kafka官網說自己是“A distributed streaming platform”,也就是一個“分散式流媒體平臺”,其實就是一個訊息佇列平臺。訊息之間是一個“public & s

深入理解 Kafka 副本機制

一、Kafka叢集 二、副本機制         2.1 分割槽和副本         2.2 ISR機制         2.3 不完全的首領選舉         2.4 最少同步副本         2.5 傳送確認 三、資料請求         3.1 元資料請求機制         3.2 資料可見

Kafka 系列(五)—— 深入理解 Kafka 副本機制

一、Kafka叢集 Kafka 使用 Zookeeper 來維護叢集成員 (brokers) 的資訊。每個 broker 都有一個唯一標識 broker.id,用於標識自己在叢集中的身份,可以在配置檔案 server.properties 中進行配置,或者由程式自動生成。下面是 Kafka brokers 叢

菜鳥學習Fabric原始碼學習 — kafka共識機制

Fabric 1.4原始碼分析 kafka共識機制 本文件主要介紹kafka共識機制流程。在檢視文件之前可以先閱覽raft共識流程以及orderer服務啟動流程。 1. kafka 簡介 Kafka是最初由Linkedin公司開發,是一個分散式、分割槽的、多副本的、多訂閱者,基於zookeeper協調的分散式

kafka 副本機制和容錯處理 -2

[文章來源於本人的印象筆記,如出現格式問題可訪問該連結檢視原文](https://app.yinxiang.com/fx/475c6308-a882-4ffb-a9c5-b2070da9af9a) [原創宣告:作者:Arnold.zhao 部落格園地址:https://www.cnblogs.com/zh

kafka ISR設計及水印與leader epoch副本同步機制深入剖析-kafka 商業環境實戰

版權宣告:本套技術專欄是作者(秦凱新)平時工作的總結和昇華,通過從真實商業環境抽取案例進行總結和分享,並給出商業應用的調優建議和叢集環境容量規劃等內容,請持續關注本套部落格。版權宣告:禁止轉載,歡迎學習。QQ郵箱地址:[email protected],如有任何商業交流,可隨時聯絡。 1 帽子理論