Kafka部署全攻略——基于SSL的SASL_SCRAM安全认证实现

已于 2023-07-05 16:23:50 修改
阅读量660 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Kafka 文章标签: kafka ssl 安全
于 2023-06-28 16:43:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bbsxb520/article/details/131440275
本文详细介绍了如何在Kafka中实现基于SSL的SASL_SCRAM安全认证,包括Zookeeper和Kafka的配置步骤,以及测试认证的过程。涉及配置文件修改、依赖包导入、用户新增和脚本调整等关键环节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

 Zookeeper配置SASL

新建zoo_jaas.conf文件

配置zookeeper.properties文件(各节点均需修改)

导入依赖包

独立版zookeeper

Kafka集成版zookeeper

修改启动脚本或环境变量脚本(各节点均需修改)

独立版zookeeper

Kafka集成版zookeeper

Kafka配置SASL_SCRAM

新建kafka_server_jaas.conf文件

配置server.properties文件(各节点均需修改)

新增scram用户

修改启动脚本(各节点均需修改)

重启zookeeper及kafka

测试SASL_SCRAM/SSL认证

为主题、生产、消费脚本创建认证配置文件

开始测试

以下以kafka集成zookeeper为例。

本文仅介绍基于以上已开启SSL认证的前提下,追加SASL_PLAIN安全认证的介绍,即SASL_SSL安全认证的实现,其中部分配置与仅开启SASL/PLAIN存在差异。

 Zookeeper配置SASL

新建zoo_jaas.conf文件

  • 进入zookeeper配置目录
cd /opt/tools/kafka_2.13-3.2.1/config
  • 新建zoo_jaas.conf文件
vim zoo_jaas.conf

添加如下内容:

Server {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="rbt@123456"
    user_kafka="kafka@123";
};

  • 说明
    • Server.username、Server.password为 Zookeeper 内部通信的用户名和密码,因此保证每个 zk 节点该属性一致即可
    • Server.user_xxx 中 xxx 为自定义用户名,用于 zkClient 连接所使用的用户名和密码,即为 kafka 创建的用户名
    • 最后一个账号密码配置的末尾,不可缺失“;”分号。即该配置文件中需有两个“;”分号。
  • 复制配置文件到每个节点
scp zoo_jaas.conf root@big2:/opt/tools/kafka_2.13-3.2.1/config

配置zookeeper.properties文件(各节点均需修改)

独立版zookeeper的配置文件为zoo.conf,kafka集成版的配置文件为zookeeper.properties。

  • 添加如下配置项
authProvidential.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000
zookeeper.sasl.client=true

导入依赖包

独立版zookeeper

因为使用的权限验证类为:org.apache.kafka.common.security.plain.PlainLoginModule,所以需要导入Kafka相关jar包,kafka-clients相关jar包,在部署kafka服务下的libs目录中可以找到,根据kafka不同版本,相关jar包版本会有所变化。所需要jar包如下,在zookeeper下创建目录zk_sasl_lib将jar包放入(目录名与位置可以随便,后续引用指定即可)

 

  • 拷贝jar文件到zk_sasl_lib目录

 

  • 编辑zookeeper环境变量脚本
vim bin/zkEnv.sh

添加如下内容:

for i in /apps/apache-zookeeper-3.8.1-bin/zk_sasl_lib/*.jar;
do
    CLASSPATH="$i:$CLASSPATH"
done

Kafka集成版zookeeper

原生具备,无需配置。

修改启动脚本或环境变量脚本(各节点均需修改)

修改启动脚本或环境变量脚本,使之加载zoo_jaas.conf文件

独立版zookeeper

  • 修改环境
最低0.47元/天 解锁文章

200万优质内容无限畅学
Kafka 开启SASL/SCRAM认证 及 ACL授权(一)认证
代码讲故事
10-13 1306
Kafka 开启SASL/SCRAM认证 及 ACL授权(一)认证。
Kafka部署指南:基于SSLSASL_SCRAM安全认证实现
WdzDevops的博客
09-17 259
本文将详细介绍如何使用SSLSASL_SCRAM机制来保护Kafka集群的安全,并提供相应的源代码示例。以上就是基于SSLSASL_SCRAM安全认证实现Kafka部署全攻略。通过SSL证书和SASL_SCRAM机制,可以确保Kafka集群与客户端之间的通信安全和认证。替换为实际的Kafka服务器主机名,并提供正确的路径和密码。替换为实际的Kafka服务器主机名,并提供正确的路径和密码。替换为实际的Kafka服务器主机名,并提供正确的路径和密码。替换为实际路径,并提供正确的密码。
Kafka SASL认证与ACL配置
u010100623的博客
04-30 2454
SASL/PLAIN,这种方式其实就是一个的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,等等!建议大家用SASL/SCRAM的方式 ,这种方式 用户名/密码是存储在zookeeper中,能够。该种认证方式还会使用sha256或sha512对,安全性相对会高一些。本文主要介绍SASL/PLAIN。
kafka安全机制(SASL_SCRAM
qq_44062110的博客
03-07 3368
zookeeper和kafka在默认情况下,是没有开启安全认证的,那么任意客户端可以在不需要任何身份认证的情况下访问zookeeper和kafka下的各节点,甚至可以进行节点的增加,修改以及删除的动作。除了最基本的身份认证以外,还有针对每个节点的权限访问,但本文不涉及该话题。如果是集群模式,那么只需要对单机模式的配置文件做相应的修改即可:确保集群中每个broker的broker.id配置参数的值不一样,以及listeners配置参数也需要修改为与broker对应的IP地址或域名,之后就可以各自启动服务。
k8s 配置 Kafka SASL_SSL双重认证
最新发布
菜鸡的博客
05-20 1497
它使用公钥和私钥来建立安全的连接,并对传输的数据进行加密和解密,以防止未经授权的访问和篡改。是一种身份验证机制,用于在客户端和服务器之间进行身份验证的过程,其中SASL/PLAIN是基于账号密码的认证方式。你的Kafka集群已经配置了SSLSASL认证,并且相关的安全设置是正确的。在这个示例中,我们配置了 Kafka 生产者所需的基本参数,并通过。),其中包含了用于连接到 Kafka 集群的用户名和密码。的信任库和密钥库的位置以及它们的密码。配置,它定义了用于认证的用户名和密码。文件)作为证书格式。
Kafka SASL/SCRAM介绍
王多鱼的梦想
02-02 2280
SASL/SCRAM(Salted Challenge Response Authentication Mechanism)使用加密的密码存储和认证机制,可以有效防止密码明文传输,因此在生产环境中得到了广泛应用。
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:9092 116.155.153.185:19092 192.168.1.157:2181 KAFKA02 192.168.1.158:9092 116.155.153.185:29092 192.168.1.157:2181 KAFKA03 192
Kafka部署全攻略——基于SASL_SCRAM/SSL认证的ACL权限控制
bbsxb520的博客
06-28 391
基于SASL_SCRAM/SSL认证的ACL权限控制
Kafka部署全攻略——Kafka SASL_SCRAM安全认证实现
bbsxb520的博客
06-28 932
Kafka SASL_SCRAM安全认证实现
Kafka部署全攻略——基于SASL_PLAIN/SSL认证的ACL权限控制
bbsxb520的博客
06-28 213
基于SASL_PLAIN/SSL认证的ACL权限控制
Kafka】手把手SASLSSL教学
metaldong的博客
01-12 4444
kafkaSASLSSL配置全指南
kafka sasl_ssl配置
totoro1992的博客
09-29 2738
kafka sasl_ssl配置
kafka安装部署-前面部分
wt6002的博客
09-03 471
step 1: 下载代码 你可以登录Apache kafka 官方下载。http://kafka.apache.org/downloads.html 下载和自己系统匹配的 Step 2: 启动服务 运行kafka需要使用Zookeeper,所以你需要先启动Zookeeper,如果你没有Zookeeper,你可以使用kafka自带打包和配置好的Zookeeper(PS:在kafka包里)。 在和kafka一个目录bin文件夹下面; //这是前台启动,启动以后,当前就无法进行其他操作(不推.
Kafka配置SASL认证
Healer_银尘的博客
07-12 1682
在本博客中我们使用SASL/PLAIN的方式来进行Kafka加密。
kafka ssl sasl_ssl 配置
weixingjunzhe的博客
11-21 3800
ssl参考资料: https://www.cnblogs.com/enhance/p/11233164.html http://kafka.apache.org/documentation/#security_ssl http://www.javacoder.cn/?p=867 https://www.cnblogs.com/lt-blogs/p/7154345.html 一、kafka ssl 配置 #两台机器 kafka_2.11-2.2.0.tgz centos7.7 kafka ...
安装 kafka 配置 sasl 认证
weixin_41565755的博客
01-23 6836
安装 kafka 配置 sasl 认证
Kafka动态授权认证:利用SASL/SCRAM机制提升安全
2401_85789772的博客
07-29 723
Apache Kafka是一个流行的分布式流处理平台,其安全性对于保护数据传输至关重要。SASL/SCRAM(Simple Authentication and Security Layer/Salted Challenge Response Authentication Mechanism)是一种认证机制,可以为Kafka集群提供动态授权认证。本文将探讨如何基于SASL/SCRAM实现Kafka的动态授权认证,增强系统的安全性。
Kafka SASL/PLAIN静态认证集群部署
Astralisxoxo的博客
09-16 1480
Kafka SASL集群部署Kafka中,SASL机制包含三种,它们分别是Kerberos、PLAIN、SCRAM。以PLAIN认证为示例 1.配置Server 1)解压安装包 tar -zxvf kafka_2.11-2.4.1.tgz -C /home/xyp9x/ 2)改名 mv kafka_2.11-2.4.1 kafka_sasl 2)在kafka目录下创建logs、kafka-logs文件夹 mkdir logs kafka-logs 3)config目录中创建kafka_server
kafka集群搭建、SASL配置
qq_34324703的博客
08-25 2392
9 在/tmp/zookeeper/下 新建 myid文件,内容填写节点数字 0 其他节点分别填写 1 和2。10 在kafka/conf/下新增 kafka_server_jaas.conf。8 新建/tmp/kafka-logs目录 和 /tmp/zookeeper目录。11 配置 consumer.properties。12 配置 producer.properties。1 安装kafka需要安装JDK。7 配置zookeeper。18 kafka命令汇总。17 修改bin下命令。
kafka KRaft SASL_SSL
01-22
### Kafka KRaft Mode Configuration with SASL_SSL Security Protocol In configuring a Kafka cluster using the KRaft (Kafka Raft) mode alongside the `SASL_SSL` security protocol, several key configurations must be set to ensure secure and reliable operation of the Kafka brokers. The following sections detail these settings. #### Broker Configuration for KRaft Mode For enabling KRaft mode without relying on ZooKeeper, specific properties need adjustment within each broker's configuration file (`server.properties`). These changes facilitate direct management by controllers embedded within the Kafka nodes themselves: - **Enable Controller Quorum**: Set `process.roles=broker,controller`. This allows the node to act both as a broker and partake in leader election processes among controllers. - **Controller Quorum Listener Setup**: Define listeners specifically designated for inter-controller communication via `listener.names=CONTROLLER,SASL_SSL`. - **Inter-Broker Communication Settings**: Ensure that all communications between brokers occur over SSL/TLS secured channels through setting up appropriate listener names like `listeners=SASL_SSL://:9093`, where port numbers can vary based on deployment requirements. - **Security Protocols Specification**: Specify protocols used across different types of connections such as client-broker or controller-to-controller interactions under `security.inter.broker.protocol=SASL_SSL`. ```properties # Example server.properties snippet for KRaft setup process.roles=broker,controller node.id=<unique_node_id> controller.quorum.voters=<comma_separated_list_of_controller_nodes> listener.security.protocol.map=PLAINTEXT:PLAINTEXT,SASL_PLAINTEXT:SASL_PLAINTEXT,SASL_SSL:SASL_SSL,SSL:SSL,CONTROLLER:SSL listeners=SASL_SSL://localhost:9093,CONTROLLER://localhost:9094 advertised.listeners=SASL_SSL://<external_ip>:9093 sasl.enabled.mechanisms=SCRAM-SHA-512 inter.broker.listener.name=SASL_SSL security.inter.broker.protocol=SASL_SSL ``` #### Configuring SASL_SSL Authentication Mechanism To enforce strong authentication while maintaining encrypted transport layers, configure the `SASL_SSL` mechanism appropriately: - **Mechanism Selection**: Choose mechanisms supported by your environment; SCRAM is commonly recommended due to its robustness against common attacks compared to PLAIN text methods[^1]. - **JAAS Configuration File**: For clients connecting securely, provide JAAS files specifying credentials necessary for authenticating users attempting access to topics hosted on this cluster. ```java // Sample Java code demonstrating how applications might connect using SASL_SSL Properties props = new Properties(); props.put("bootstrap.servers", "host1.example.com:9093"); props.put("key.deserializer", "org.apache.kafka.common.serialization.StringDeserializer"); props.put("value.deserializer", "org.apache.kafka.common.serialization.StringDeserializer"); // Enable SASL/SSL props.put("security.protocol", "SASL_SSL"); props.put("sasl.mechanism", "SCRAM-SHA-512"); props.put("sasl.jaas.config", "org.apache.kafka.common.security.scram.ScramLoginModule required username=\"admin\" password=\"password\";"); ``` By adhering closely to these guidelines when deploying Kafka clusters configured for KRaft operations combined with stringent security measures enforced through `SASL_SSL`, administrators gain enhanced control over their messaging platforms' integrity and confidentiality aspects. --related questions-- 1. How does one migrate an existing Kafka cluster from ZooKeeper-based architecture to KRaft? 2. What are best practices regarding securing Kafka deployments beyond just implementing SASL_SSL? 3. Can you explain more about choosing between various SASL mechanisms available in Kafka? 4. In what scenarios would it make sense not to use encryption at rest even though network traffic uses SASL_SSL?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值