Kafka部署全攻略——基于SSL的SASL_SCRAM安全认证实现

已于 2023-07-05 16:23:50 修改
阅读量660 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Kafka 文章标签: kafka ssl 安全
于 2023-06-28 16:43:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bbsxb520/article/details/131440275
本文详细介绍了如何在Kafka中实现基于SSL的SASL_SCRAM安全认证,包括Zookeeper和Kafka的配置步骤,以及测试认证的过程。涉及配置文件修改、依赖包导入、用户新增和脚本调整等关键环节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

 Zookeeper配置SASL

新建zoo_jaas.conf文件

配置zookeeper.properties文件(各节点均需修改)

导入依赖包

独立版zookeeper

Kafka集成版zookeeper

修改启动脚本或环境变量脚本(各节点均需修改)

独立版zookeeper

Kafka集成版zookeeper

Kafka配置SASL_SCRAM

新建kafka_server_jaas.conf文件

配置server.properties文件(各节点均需修改)

新增scram用户

修改启动脚本(各节点均需修改)

重启zookeeper及kafka

测试SASL_SCRAM/SSL认证

为主题、生产、消费脚本创建认证配置文件

开始测试

以下以kafka集成zookeeper为例。

本文仅介绍基于以上已开启SSL认证的前提下,追加SASL_PLAIN安全认证的介绍,即SASL_SSL安全认证的实现,其中部分配置与仅开启SASL/PLAIN存在差异。

 Zookeeper配置SASL

新建zoo_jaas.conf文件

  • 进入zookeeper配置目录
cd /opt/tools/kafka_2.13-3.2.1/config
  • 新建zoo_jaas.conf文件
vim zoo_jaas.conf

添加如下内容:

Server {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="rbt@123456"
    user_kafka="kafka@123";
};

  • 说明
    • Server.username、Server.password为 Zookeeper 内部通信的用户名和密码,因此保证每个 zk 节点该属性一致即可
    • Server.user_xxx 中 xxx 为自定义用户名,用于 zkClient 连接所使用的用户名和密码,即为 kafka 创建的用户名
    • 最后一个账号密码配置的末尾,不可缺失“;”分号。即该配置文件中需有两个“;”分号。
  • 复制配置文件到每个节点
scp zoo_jaas.conf root@big2:/opt/tools/kafka_2.13-3.2.1/config

配置zookeeper.properties文件(各节点均需修改)

独立版zookeeper的配置文件为zoo.conf,kafka集成版的配置文件为zookeeper.properties。

  • 添加如下配置项
authProvidential.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000
zookeeper.sasl.client=true

导入依赖包

独立版zookeeper

因为使用的权限验证类为:org.apache.kafka.common.security.plain.PlainLoginModule,所以需要导入Kafka相关jar包,kafka-clients相关jar包,在部署kafka服务下的libs目录中可以找到,根据kafka不同版本,相关jar包版本会有所变化。所需要jar包如下,在zookeeper下创建目录zk_sasl_lib将jar包放入(目录名与位置可以随便,后续引用指定即可)

 

  • 拷贝jar文件到zk_sasl_lib目录

 

  • 编辑zookeeper环境变量脚本
vim bin/zkEnv.sh

添加如下内容:

for i in /apps/apache-zookeeper-3.8.1-bin/zk_sasl_lib/*.jar;
do
    CLASSPATH="$i:$CLASSPATH"
done

Kafka集成版zookeeper

原生具备,无需配置。

修改启动脚本或环境变量脚本(各节点均需修改)

修改启动脚本或环境变量脚本,使之加载zoo_jaas.conf文件

独立版zookeeper

  • 修改环境
最低0.47元/天 解锁文章

200万优质内容无限畅学
Kafka 开启SASL/SCRAM认证 及 ACL授权(一)认证
代码讲故事
10-13 1305
Kafka 开启SASL/SCRAM认证 及 ACL授权(一)认证。
Kafka部署指南:基于SSLSASL_SCRAM安全认证实现
WdzDevops的博客
09-17 259
本文将详细介绍如何使用SSLSASL_SCRAM机制来保护Kafka集群的安全,并提供相应的源代码示例。以上就是基于SSLSASL_SCRAM安全认证实现Kafka部署全攻略。通过SSL证书和SASL_SCRAM机制,可以确保Kafka集群与客户端之间的通信安全和认证。替换为实际的Kafka服务器主机名,并提供正确的路径和密码。替换为实际的Kafka服务器主机名,并提供正确的路径和密码。替换为实际的Kafka服务器主机名,并提供正确的路径和密码。替换为实际路径,并提供正确的密码。
Kafka SASL认证与ACL配置
u010100623的博客
04-30 2453
SASL/PLAIN,这种方式其实就是一个的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,等等!建议大家用SASL/SCRAM的方式 ,这种方式 用户名/密码是存储在zookeeper中,能够。该种认证方式还会使用sha256或sha512对,安全性相对会高一些。本文主要介绍SASL/PLAIN。
kafka安全机制(SASL_SCRAM
qq_44062110的博客
03-07 3368
zookeeper和kafka在默认情况下,是没有开启安全认证的,那么任意客户端可以在不需要任何身份认证的情况下访问zookeeper和kafka下的各节点,甚至可以进行节点的增加,修改以及删除的动作。除了最基本的身份认证以外,还有针对每个节点的权限访问,但本文不涉及该话题。如果是集群模式,那么只需要对单机模式的配置文件做相应的修改即可:确保集群中每个broker的broker.id配置参数的值不一样,以及listeners配置参数也需要修改为与broker对应的IP地址或域名,之后就可以各自启动服务。
k8s 配置 Kafka SASL_SSL双重认证
最新发布
菜鸡的博客
05-20 1496
它使用公钥和私钥来建立安全的连接,并对传输的数据进行加密和解密,以防止未经授权的访问和篡改。是一种身份验证机制,用于在客户端和服务器之间进行身份验证的过程,其中SASL/PLAIN是基于账号密码的认证方式。你的Kafka集群已经配置了SSLSASL认证,并且相关的安全设置是正确的。在这个示例中,我们配置了 Kafka 生产者所需的基本参数,并通过。),其中包含了用于连接到 Kafka 集群的用户名和密码。的信任库和密钥库的位置以及它们的密码。配置,它定义了用于认证的用户名和密码。文件)作为证书格式。
Kafka SASL/SCRAM介绍
王多鱼的梦想
02-02 2280
SASL/SCRAM(Salted Challenge Response Authentication Mechanism)使用加密的密码存储和认证机制,可以有效防止密码明文传输,因此在生产环境中得到了广泛应用。
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:9092 116.155.153.185:19092 192.168.1.157:2181 KAFKA02 192.168.1.158:9092 116.155.153.185:29092 192.168.1.157:2181 KAFKA03 192
Kafka部署全攻略——基于SASL_SCRAM/SSL认证的ACL权限控制
bbsxb520的博客
06-28 391
基于SASL_SCRAM/SSL认证的ACL权限控制
Kafka部署全攻略——Kafka SASL_SCRAM安全认证实现
bbsxb520的博客
06-28 932
Kafka SASL_SCRAM安全认证实现
Kafka部署全攻略——基于SASL_PLAIN/SSL认证的ACL权限控制
bbsxb520的博客
06-28 213
基于SASL_PLAIN/SSL认证的ACL权限控制
Kafka】手把手SASLSSL教学
metaldong的博客
01-12 4444
kafkaSASLSSL配置全指南
kafka sasl_ssl配置
totoro1992的博客
09-29 2737
kafka sasl_ssl配置
kafka安装部署-前面部分
wt6002的博客
09-03 471
step 1: 下载代码 你可以登录Apache kafka 官方下载。http://kafka.apache.org/downloads.html 下载和自己系统匹配的 Step 2: 启动服务 运行kafka需要使用Zookeeper,所以你需要先启动Zookeeper,如果你没有Zookeeper,你可以使用kafka自带打包和配置好的Zookeeper(PS:在kafka包里)。 在和kafka一个目录bin文件夹下面; //这是前台启动,启动以后,当前就无法进行其他操作(不推.
Kafka配置SASL认证
Healer_银尘的博客
07-12 1682
在本博客中我们使用SASL/PLAIN的方式来进行Kafka加密。
kafka ssl sasl_ssl 配置
weixingjunzhe的博客
11-21 3800
ssl参考资料: https://www.cnblogs.com/enhance/p/11233164.html http://kafka.apache.org/documentation/#security_ssl http://www.javacoder.cn/?p=867 https://www.cnblogs.com/lt-blogs/p/7154345.html 一、kafka ssl 配置 #两台机器 kafka_2.11-2.2.0.tgz centos7.7 kafka ...
安装 kafka 配置 sasl 认证
weixin_41565755的博客
01-23 6836
安装 kafka 配置 sasl 认证
Kafka动态授权认证:利用SASL/SCRAM机制提升安全
2401_85789772的博客
07-29 722
Apache Kafka是一个流行的分布式流处理平台,其安全性对于保护数据传输至关重要。SASL/SCRAM(Simple Authentication and Security Layer/Salted Challenge Response Authentication Mechanism)是一种认证机制,可以为Kafka集群提供动态授权认证。本文将探讨如何基于SASL/SCRAM实现Kafka的动态授权认证,增强系统的安全性。
Kafka SASL/PLAIN静态认证集群部署
Astralisxoxo的博客
09-16 1480
Kafka SASL集群部署Kafka中,SASL机制包含三种,它们分别是Kerberos、PLAIN、SCRAM。以PLAIN认证为示例 1.配置Server 1)解压安装包 tar -zxvf kafka_2.11-2.4.1.tgz -C /home/xyp9x/ 2)改名 mv kafka_2.11-2.4.1 kafka_sasl 2)在kafka目录下创建logs、kafka-logs文件夹 mkdir logs kafka-logs 3)config目录中创建kafka_server
kafka集群搭建、SASL配置
qq_34324703的博客
08-25 2392
9 在/tmp/zookeeper/下 新建 myid文件,内容填写节点数字 0 其他节点分别填写 1 和2。10 在kafka/conf/下新增 kafka_server_jaas.conf。8 新建/tmp/kafka-logs目录 和 /tmp/zookeeper目录。11 配置 consumer.properties。12 配置 producer.properties。1 安装kafka需要安装JDK。7 配置zookeeper。18 kafka命令汇总。17 修改bin下命令。
kafka KRaft SASL_SSL
01-22
### Kafka KRaft Mode Configuration with SASL_SSL Security Protocol In configuring a Kafka cluster using the KRaft (Kafka Raft) mode alongside the `SASL_SSL` security protocol, several key ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值