2. 程式人生 > >kafka ssl & acl

kafka ssl & acl

阿新 發佈:2019-02-12

 KafkaSSL配置

1.1  建立金鑰和證書

以下在每臺kafka伺服器上執行

keytool -keystoreserver.keystore.jks -alias localhost -validity 365-keyalg RSA -genkey

以下在連線kafka的clientt端執行,如果不要求客戶端身份認證(伺服器端沒有配置ssl.client.auth=required),那麼這步可以省略

keytool -keystoreclient.keystore.jks -alias localhost -validity 365-keyalg RSA –genkey

【注】

1、需要將金鑰庫和金鑰密碼設定相同

2、keystore 金鑰庫儲存位置、alias證書實體唯一別名、validity 金鑰有效期、keyalg加密演算法

3、一次金鑰方法

 keytool-genkey -alias test -keypass test1234-storepass test1234 -validity 365-keystore test.keystore -dname"CN=hadoop001, OU=test, O=test, L=test,ST=test, C=test"

1.2  利用openssl建立CA

openssl req -new-x509 -keyout ca-key -out ca-cert -days 365

【注】

1、keyout 私鑰檔案(預設當前目錄)、out 證書檔案(預設當前目錄),days 證書有效期(天)

2、CA相當於證書發放機構,提供證書籤名服務

3、kafka叢集其中一臺伺服器中執行即可,也可任選叢集外機器充當CA

1.3  建立CA客戶端證書信任庫

kafka server端執行:

keytool -keystoreserver.truststore.jks -alias CARoot -import -file ca-cert

kafka client端執行:

keytool -keystoreclient.truststore.jks -alias CARoot -import -file ca-cert

【注】truststore庫儲存的是CAclient端應該信任的CA證書集合,匯入證書進入自己的信任庫意味著信任所有該CA證書機構簽發的證書。

1.4  CA對證書進行簽名(利用CA證書ca-key,ca-cert簽名)

1、遷出證書

keytool -keystoreserver.keystore.jks -alias localhost -certreq -file cert-file

keytool -keystoreclient.keystore.jks -alias localhost -certreq -file cert-file-client

2、CA簽名

openssl x509 -req-CA ca-cert -CAkey ca-key -in cert-file -out cert-signed -days365-CAcreateserial -passin pass:test1234

openssl x509-req-CA ca-cert -CAkey ca-key -in cert-file-client -out cert-signed-client-days 365-CAcreateserial -passin pass:test1234

1.5  簽名證書匯入kafka server端信任庫

將經過CA簽名過的kafkaserver端證書(cert-signed)、client端證書(cert-signed-client)匯入server端信任庫(server.truststore.jks)

  keytool-keystore server.truststore.jks-alias localhost -import -file cert-signed

  keytool-keystore server.truststore.jks-alias localhost -import -filecert-signed-client

1.6  簽名證書匯入kafka client端信任庫

將CA簽名後的kafkaserver端證書(cert-signed)、client端證書(cert-signed-client)匯入kafkaclient端信任庫(client.truststore.jks)

  keytool-keystore client.truststore.jks-alias localhost -import -file cert-signed

  keytool-keystore client.truststore.jks-alias localhost -import -filecert-signed-client

1.7  配置server.properties檔案

新增如下關於SSL資訊的配置:

#開啟9093埠ssl協議請求

listeners=PLAINTEXT://192.168.14.140:9092,SSL://192.168.14.140:9093

#指定kafkaserver祕鑰、信任庫儲存位置,ssl.keystore.location存自己的私鑰,ssl.truststore.location存放信任庫

ssl.keystore.location=/opt/kafka_2.10-0.10.0.0/ssl/server.keystore.jks

ssl.keystore.password=test1234

ssl.key.password=test1234

ssl.truststore.location=/opt/kafka_2.10-0.10.0.0/ssl/server.truststore.jks

ssl.truststore.password=test1234

#kafkabroker之間也使用ssl通訊

security.inter.broker.protocol=SSL

#客戶端也需要認證(看需要)

ssl.client.auth=required

1.8  client端配置(producer、consumer關於SSL的配置相同)

如果kafka server端沒有配置ssl.client.auth=required,如下是SSL最小化配置:

#通訊協議

security.protocol=SSL

ssl.truststore.location=/opt/kafka_2.10-0.10.0.0/ssl/client.truststore.jks

ssl.truststore.password=test1234

kakfa server端開啟了客戶端認證,新增如下配置:

#指定kafkaclient祕鑰、信任庫儲存位置,ssl.keystore.location存自己的私鑰,#ssl.truststore.location存放信任庫

ssl.keystore.location=/opt/kafka_2.10-0.10.0.0/ssl/client.keystore.jks

ssl.keystore.password=test1234

ssl.key.password=test1234

1.9  測試驗證

kafka-console-producer.sh--broker-listlocalhost:9093 --topic test --producer.configclient-ssl.properties

kafka-console-consumer.sh--bootstrap-serverlocalhost:9093 --topic test --new-consumer--consumer.configclient-ssl.properties

 啟用 ACL

2.1  配置server.properties檔案

啟用kafka 自帶ACL授權

authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer

principal.builder.class=org.apache.kafka.common.security.auth.DefaultPrincipalBuilder

新增超級使用者,建議kafka server所有broker內部通訊採用相同的principle,並將其設為超級使用者

super.users=User:CN=hadoop001,OU=test,O=test,L=test,ST=test,C=test

【注】如果開啟ACL,預設情況除了超級使用者,沒有使用者允許訪問

三  ACL使用

acl的格式定義 "Principal P is [Allowed/Denied]Operation O From Host H OnResource R”,預設情況下,SSL的使用者名稱稱的形式是"CN=writeuser,OU=Unknown,O=Unknown,L=Unknown,ST=Unknown,C=Unknown"。

預設kafka叢集操作許可權可以分為Cluster、producer、consumer,其中Cluster為叢集管理許可權,kafka server必須擁有該許可權。

3.1  檢視ACL列表

./kafka-acls.sh--list--authorizer-properties zookeeper.connect=localhost:2181/kafka

3.2  新增producer許可權

1、所有topic擁有producer許可權

kafka-acls.sh--allow-principalUser:CN=hadoop001,OU=test,O=test,L=test,ST=test,C=test--authorizer-propertieszookeeper.connect= localhost:2188/apache_kafka --producer--add –topic=*

2、指定topic擁有producer許可權

kafka-acls.sh--allow-principalUser:CN= hadoop001,OU=test,O=test,L=test,ST=test,C=test--authorizer-propertieszookeeper.connect= localhost:2188/apache_kafka--producer --add –topic=test01

3.3  新增consumer許可權

1、所有consumer group對所有topic擁有consumer許可權

kafka-acls.sh--authorizer-propertieszookeeper.connect=localhost:2188/apache_kafka--allow-principal User:CN= hadoop001,OU=test,O=test,L=test,ST=test,C=test --consumer --topic=* --group=* --add

2、所有consumer group對某個topic擁有consumer許可權

kafka-acls.sh--authorizer-propertieszookeeper.connect=localhost:2188/apache_kafka--allow-principal User:CN= hadoop001,OU=test,O=test,L=test,ST=test,C=test --consumer --topic=test01 --group=* --add

3.4  刪除許可權

kafka-acls.sh--allow-principalUser:CN= hadoop001,OU=test,O=test,L=test,ST=test,C=test--authorizer-propertieszookeeper.connect= localhost:2188/apache_kafka --producer--remove –topic=*

3.5  原子許可權管理(read、write、describe)

1、read

kafka-acls.sh--authorizer-propertieszookeeper.connect=localhost:2188/apache_kafka--allow-principal User:CN=hadoop001,OU=test,O=test,L=test,ST=test,C=test --operation read --topic=* --group=* --add

2、write

kafka-acls.sh--authorizer-propertieszookeeper.connect=localhost:2188/apache_kafka--allow-principal User:CN= hadoop001,OU=test,O=test,L=test,ST=test,C=test --operation write --topic=* --add

3、describe

kafka-acls.sh--authorizer-propertieszookeeper.connect=localhost:2188/apache_kafka--allow-principal User:CN= hadoop001,OU=test,O=test,L=test,ST=test,C=test --operation describe --topic=* --add

 注意點

1、  Kafka SSL可以單獨使用,不開啟ACL模式下只要客戶端、服務端principle驗證通過即可以進行資料通訊

2、  啟用SSL後,Kafka sever端每臺broker的信任庫必須擁有叢集所有broker的證書資訊,推薦配置為叢集內部公用一個principle

3、  自己建立CA時,叢集內部需要使用同一個CA進行簽名和認證

4、  啟用ACL後,kafka叢集內部所有角色啟動使用者的principle必須擁有叢集的讀、寫、叢集管理許可權,推薦使用超級使用者管理叢集

5、  Kafka SSL相關的所有執行操作只針對new producer、new consumer有效,老版本的kafka不支援

相關推薦

kafka ssl & acl

一  KafkaSSL配置 1.1  建立金鑰和證書 以下在每臺kafka伺服器上執行 keytool -keystoreserver.keystore.jks -alias localhost -validity 365-keyalg RSA -genkey 以下在連線

Kafka SSLACL 配置

很久沒寫文章了,之所以寫這篇文章是想其他同學少走彎路,因為我在進行配置的時候發現google及百度沒有一篇像樣的文章。官方doc說的又不是很清楚,所以比較蛋疼,最終還是折騰出來了。 Kafka SSL 配置 大家先可以去看官方doc: 我感覺比較誤導人。。 首先來看

kafka topic acl授權

1.修改server.properties authorizer.class.name = kafka.security.auth.SimpleAclAuthorizer #設定超級使用者 super.users=User:admin allow

Kafka 通過ACL,SASL規則 配置 指定賬號訪問生產消費指定topic

一,SASL認證流程 伺服器端 /usr/local/kafka_2.12-1.1.0/config 目錄新建個檔案,為kafka_server_jaas.conf,內容如下。 KafkaServer {    org.apache.kafka.

Kafka SSL安裝與配置

1.概述 最近有同學諮詢說,Kafka的SSL安全認證如何安裝與使用?今天筆者將通過以下幾個方面來介紹Kafka的SSL: Kafka 許可權介紹 Kafka SSL的安裝與使用 Kafka Eagle中如何配置SSL? 2.內容 2.1 什麼是Kafka許可權認證? 在Kafka 0.9.0.0之後,K

Kafka SASL ACL配置踩坑總結

源起:工程現階段中介軟體採用的是kafka。滿足了大資料的高吞吐,專案間的解耦合,也增強了工程的容錯率與擴充套件性。但是在安全這一塊還有漏洞,kafka叢集中,只要網站內的任何人知道kafka叢集的ip與topic,都可以肆無忌憚的往叢集中的topic中傳送資料與消費資料。 經過調研:kafka的sasl a

Kafka ACL使用實戰

... 是否 信道 使用 解決 運行 ext sum .... 自0.9.0.0.版本引入Security之後,Kafka一直在完善security的功能。當前Kafka security主要包含3大功能:認證(authentication)、信道加密(encryption

kafka kerberos 認證訪問與非認證訪問共存下的ACL問題

kerberos kafka acl 在一個正在運行的kafka集群中添加kerberos認證和ACL權限控制,同時保證以前所有的producer\consumer服務不中斷解決方式: 使kafka集群監聽兩個端口,一個為無認證連接,另一個為kerberos的認證連接這時候在配置ACL的時候出了問

Kafka 集群配置SASL+ACL

ima ted 認證 管理 ces 外部網絡 apache 其他 true ** Kafka 集群配置SASL+ACL 測試環境:** 系統: CentOS 6.5

實戰Kafka ACL機制

TE 設置 apach 存在 valid sts smart style days 1.概述   在Kafka0.9版本之前,Kafka集群時沒有安全機制的。Kafka Client應用可以通過連接Zookeeper地址,例如zk1:2181:zk2:2181,zk3:2

6年資深開發帶你10分鐘瞭解Kafka ACL機制

1.概述 在Kafka0.9版本之前,Kafka叢集時沒有安全機制的。Kafka Client應用可以通過連線Zookeeper地址,例如zk1:2181:zk2:2181,zk3:2181等。來獲取儲存在Zookeeper中的Kafka元資料資訊。拿到Kafk

誰是效能殺手?Kafka多Topic下啟用SSL時延增大問題分析

問題背景 專案中將Kafka介面進行RESTful封裝,在使用RESTful介面進行效能測試時,發現Topic數增多後,開啟SSL與非SSL進行測試,發現開啟SSL後效能下降得厲害。例如600個Topic總數每個Topic3分割槽3副本的場景下,使用1200個執行緒只發送10個Topic,開啟SSL的T

基於Kafka 0.9版本 使用ACL進行許可權控制

kafka附帶一個可插拔的認證,並使用zookeeper來儲存所有的acl。kafka的acl在一般格式定義"Principal P is [Allowed/Denied] Operation O From Host H On Resource R”,你可以閱讀更多關於KIP-11的結構,為了新增,刪除或列

kafka第三方開源SSL

簡介 kafka 0.8.2以前官方沒有提供對安全機制的支援,在github上,有個叫kafka-ssl的開源專案,本文將介紹該專案的安裝與使用。 安裝 下載kafka-ssl的最新版本

kafka叢集安全化之啟用kerberos與acl

一、背景在我們部署完kafka之後,雖然我們已經可以“肆意”的用kafka了,但是在一個大公司的實際生產環境中,kafka叢集往往十分龐大,每個使用者都應該只關心自己所負責的Topic,並且對其他人所使用的Topic沒有許可權。這樣一來可以將資源隔離開來,二來可以防止誤操作。

kafka----kafka API(java版本)

spring mvc+my batis dubbo+zookeerper kafka restful redis分布式緩存 Apache Kafka包含新的Java客戶端,這些新的的客戶端將取代現存的Scala客戶端,但是為了兼容性,它們仍將存在一段時間。可以通過一些單獨的jar包調用這些客

openstack的vnc啟動ssl

openstack novnc nova ssl1、制作ssl證書# cd /etc/pki/tls/certs [[email protected]/* */ certs]# make vnc.key Enter pass phrase:# 輸入密碼 Verifying - Enter pas

在阿裏雲申請Symantec免費SSL證書操作流程

詳細 二級域名 tle 文件 http aliyun 一段 dns 服務 2016年阿裏雲與國內證書頒發機構天威誠信推出了基於Symantec(賽門鐵克)的免費SSL證書,有需要免費SSL證書產品的可以前往阿裏雲進行申請。 申請地址:阿裏雲雲盾證書服務—Symantec免費

Kafka 0.11版本新功能介紹 —— 空消費組延時rebalance

次數 新功能 ins 效果 可控 size style soft font   在0.11之前的版本中,多個consumer實例加入到一個空消費組將導致多次的rebalance,這是由於每個consumer instance啟動的時間不可控,很有可能超出coordinato

Cisco之訪問控制列表(ACL

cisco acl 訪問控制列表(ACL)是應用在路由器接口的指令列表(即規則),這些規則表用來告訴路由器,哪些數據包可以接收,哪些包需要拒絕。其基本原理如下:ACL使用包過濾技術,在路由器上讀取OSI七層模型的第三層和第四層包頭中的信息,如源地址、目的地址、源端口、目的端口等,根據預先定義的規則,對包