Kafka安装配置(SASL/SCRAM动态认证)

最新推荐文章于 2025-05-28 21:13:08 发布
最新推荐文章于 2025-05-28 21:13:08 发布
阅读量3.3k 收藏 12
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 中间件 文章标签: kafka 分布式 zookeeper 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/davidhhs/article/details/124980386
本文详细介绍了如何在Kafka中配置SASL/SCRAM动态认证,包括Zookeeper的安装,Kafka的配置,以及SASL/SCRAM用户的证书设置、服务端和客户端配置,确保在业务频繁变动时提供灵活的权限管理。同时,文章提供了全面的测试步骤以验证配置的有效性,并引用了多个相关资源作为参考。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        SASL/SCRAM验证方法可以在Kafka服务启动之后,动态的新增用户分并配权限,在业务变动频繁,开发人员多的情况下比SASL/PLAIN方法更加灵活。

Zookeeper:3.4.13,kafka依赖zookeeper,

Kafka:kafka_2.12-2.8.1

ZooInspector:zookeeper客户端查看工具

安装根目录:/app/kafka/

Zookeeper下载地址:Apache ZooKeeper

Kafka下载地址:Apache Kafka

1.安装zookeeper

1.1.上传到目录并解压

-- 进入zookeeper安装目录
cd /app/kafka
-- 选择zookeeper压缩包上传
rz
-- 解压文件
tar -zxvf zookeeper-3.4.13.tar.gz
-- 重命名
mv zookeeper-3.4.13 zookeeper

1.2.修改配置

-- 进入配置文件根目录
cd /app/kafka/zookeeper/conf
-- 复制配置文件
cp zoo_sample.cfg zoo.cfg
-- 修改配置文件zoo.cfg
vi zoo.cfg
    -- 配置2个配置项
    dataDir=/app/kafka/zookeeper/data
    dataLogDir=/app/kafka/zookeeper/logs

1.3.服务脚本

-- 进入zookeeper的bin目录
cd /app/kafka/zookeeper/bin
-- 启动服务,指定配置文件
./zkServer.sh start ../conf/zoo.cfg
-- 停止服务
./zkServer.sh stop
-- 查看状态
./zkServer.sh status
-- 启动客户端
./zkCli.sh
-- 查看zookeeper中的所有topic主题
ls /brokers/topics/
-- 删除test-topic主题
delete /brokers/topics/test-topic

2.安装kafka

2.1.上传到目录并解压

-- 进入kafka安装目录
cd /app/kafka
-- 选择kafka压缩包上传
rz
-- 解压文件
tar -zxvf kafka_2.12-2.8.1.tgz
-- 重命名
mv kafka_2.12-2.8.1 kafka

2.2.修改配置

-- 进入配置文件根目录
cd /app/kafka/kafka/config
-- 修改配置文件
vi server.properties
	broker.id=0		# broker.id属性在kafka集群中必须要是唯一
	listeners=PLAINTEXT://localhost:9092	# kafka部署的ip和端口号
	log.dir=/kafka/kafka-logs	# kafka的消息存储文件
	zookeeper.connect=localhost:2181	# kafka连接zookeeper服务的地址

2.3.服务脚本

-- 进入kafka的bin目录
cd /app/kafka/kafka/bin
-- 非后台启动脚本
./kafka-server-start.sh ../config/server.properties
-- 后台启动脚本
./kafka-server-start.sh -daemon ../config/server.properties 1>> kafka-server.log 2>> kafka-server.log &
-- 停止服务
./kafka-server-stop.sh
-- 创建test_topic主题
./kafka-topics.sh --create --zookeeper localhost:2181 --replication-factor 1 --partitions 11 --topic test_topic
-- 扩容分区
./kafka-topics.sh -alter --partitions 20 --zookeeper localhost:2181 --topic test_topic
-- 查看主题列表
./kafka-topics.sh --list --zookeeper localhost:2181
-- 查看test_topic情况
./kafka-topics.sh --describe --zookeeper localhost:2181 --topic test_topic
-- 删除test_topic主题
./kafka-topics.sh --delete --topic test_topic --zookeeper localhost:2181
-- 给test_topic主题生产消息
./kafka-console-producer.sh --broker-list localhost:9092 --topic test_topic
-- 从test_topic主题消费消息
./kafka-console-consumer.sh --bootstrap-server localhost:9092 --from-beginning --topic test_topic

3.配置SASL/SCRAM动态认证

        SASL/SCRAM认证是把凭证(credential)存储在Zookeeper,使用kafka-configs.sh在Zookeeper中创建凭据。对于每个SCRAM机制,必须添加具有机制名称的配置来创建凭证,在启动Kafka broker之前创建代理间通信的凭据。所以第一步,在没有设置任何权限的配置下启动Kafka和Zookeeper。

3.1.SCRAM用户证书配置

-- 进入kafka的bin目录
cd /app/kafka/kafka/bin
-- 创建broker通信用户:admin(在使用sasl之前必须先创建,否则启动报错)
./kafka-configs.sh --zookeeper localhost:2181 --alter --add-config 'SCRAM-SHA-256=[password=admin-sec]' --entity-type users --entity-name admin
-- 创建生产者证书
./kafka-configs.sh --zookeeper localhost:2181 --alter --add-config 'SCRAM-SHA-256=[password=producer-sec]' --entity-type users --entity-name producer
-- 创建消费者证书
./kafka-configs.sh --zookeeper localhost:2181 --alter --add-config 'SCRAM-SHA-256=[password=consumer-sec]' --entity-type users --entity-name consumer
-- 查看用户[producer]的SCRAM证书
./kafka-configs.sh --zookeeper localhost:2181 --describe --entity-type users --entity-name producer
-- 删除用户[producer]的SCRAM证书
./kafka-configs.sh --zookeeper localhost:2181 --alter --delete-config 'SCRAM-SHA-256' --entity-type users --entity-name producer

3.2.服务端配置

-- 进入kafka目录
cd /app/kafka/kafka
-- 创建JAAS配置文件
vi config/kafka-server-jaas.conf
	-- 文件内容如下
	KafkaServer {
	org.apache.kafka.common.security.scram.ScramLoginModule required
	username="admin"
	password="admin-sec";
	};
-- 创建sasl启动脚本
cp bin/kafka-server-start.sh bin/kafka-server-start-sasl.sh
-- 修改sasl启动脚本
vi bin/kafka-server-start-sasl.sh
	-- 最后一行配置修改为如下
	exec $base_dir/kafka-run-class.sh $EXTRA_ARGS -Djava.security.auth.login.config=/app/kafka/kafka/config/kafka-server-jaas.conf kafka.Kafka "$@"
-- 创建sasl服务属性配置
cp config/server.properties config/server-sasl.properties
-- 修改sasl服务属性配置
vi config/server-sasl.properties
    -- 配置修改如下
	# 认证配置
	listeners=SASL_PLAINTEXT://localhost:9092
	security.inter.broker.protocol=SASL_PLAINTEXT
	sasl.mechanism.inter.broker.protocol=SCRAM-SHA-256
	sasl.enabled.mechanisms=SCRAM-SHA-256
	# ACL配置
	allow.everyone.if.no.acl.found=false
	super.users=User:admin
	authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer

-- 重启Kafka和Zookeeper
cd /app/kafka/kafka/bin
./kafka-server-stop.sh
./kafka-server-start-sasl.sh ../config/server-sasl.properties
# 后台启动
./kafka-server-start-sasl.sh -daemon ../config/server-sasl.properties 1>> kafka-server-sasl.log 2>> kafka-server-sasl.log &
cd /app/kafka/zookeeper/bin
./zkServer.sh stop
./zkServer.sh start ../conf/zoo.cfg

3.3.客户端配置

-- 进入kafka目录
cd /app/kafka/kafka
-- 创建admin用户客户端JAAS配置文件
vi config/kafka-client-scram-admin-jaas.conf
	-- 文件内容如下
	KafkaServer {
	org.apache.kafka.common.security.scram.ScramLoginModule required
	username="admin"
	password="admin-sec";
	};
-- 创建producer用户客户端JAAS配置文件
vi config/kafka-client-scram-producer-jaas.conf
	-- 文件内容如下
	KafkaServer {
	org.apache.kafka.common.security.scram.ScramLoginModule required
	username="producer"
	password="producer-sec";
	};
-- 创建consumer用户客户端JAAS配置文件
vi config/kafka-client-scram-consumer-jaas.conf
	-- 文件内容如下
	KafkaServer {
	org.apache.kafka.common.security.scram.ScramLoginModule required
	username="consumer"
	password="consumer-sec";
	};
-- 创建生产者sasl启动脚本
cp bin/kafka-console-producer.sh bin/kafka-console-producer-sasl.sh
-- 修改生产者sasl启动脚本
vi bin/kafka-console-producer-sasl.sh
	-- 配置修改为如下
	exec $(dirname $0)/kafka-run-class.sh -Djava.security.auth.login.config=/app/kafka/kafka/config/kafka-client-scram-producer-jaas.conf
-- 创建消费者sasl启动脚本
cp bin/kafka-console-consumer.sh bin/kafka-console-consumer-sasl.sh
-- 修改消费者sasl启动脚本
vi bin/kafka-console-consumer-sasl.sh
	-- 配置修改为如下
	exec $(dirname $0)/kafka-run-class.sh -Djava.security.auth.login.config=/app/kafka/kafka/config/kafka-client-scram-consumer-jaas.conf
-- 修改属性配置consumer.properties和producer.properties,修改方式相同
vi consumer.properties
	-- 修改配置如下
	security.protocol=SASL_PLAINTEXT
	sasl.mechanism=SCRAM-SHA-256

3.4.读写权限配置

-- 进入kafka的bin目录
cd /app/kafka/kafka/bin
-- 对生产者producer指定主题(test-topic)赋予写的权限
./kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=localhost:2181 --add --allow-principal User:producer --operation Write --topic test-topic
-- 对消费者consumer指定主题(test-topic)赋予读的权限
./kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=localhost:2181 --add --allow-principal User:consumer --operation Read --topic test-topic
-- 对消费者组(groupid='test-group')授权
./kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=localhost:2181 --add --allow-principal User:consumer --operation Read --group test-group
-- 查看权限
./kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=localhost:2181 --list

4.测试

4.1.Kafka自带客户端测试

-- 启动zookeeper服务(如未启动)
cd /app/kafka/zookeeper/bin
./zkServer.sh start zoo.cfg
-- 启动kafka服务(如未启动)
cd /app/kafka/kafka/bin
./kafka-server-start-sasl.sh -daemon ../config/server-sasl.properties 1>> kafka-server-sasl.log 2>> kafka-server-sasl.log &
-- 创建主题
./kafka-topics.sh --create --zookeeper localhost:2181 --replication-factor 1 --partitions 1 --topic test-topic
-- 启动生产者
./kafka-console-producer.sh --broker-list localhost:9092 --topic test-topic
-- 启动消费者
./kafka-console-consumer.sh --bootstrap-server localhost:9092 --from-beginning --topic test-topic
-- 消息服务验证测试
#生产者窗口输入内容,消费者窗口能马上消费到

参考:
https://blog.youkuaiyun.com/qq_41688840/article/details/123031628
https://www.cnblogs.com/niun/articles/15504275.html
https://blog.youkuaiyun.com/qq_38616503/article/details/117529690
https://blog.youkuaiyun.com/weixin_30367543/article/details/98409382

Kafka 开启SASL/SCRAM认证 及 ACL授权(三)验证
代码讲故事
10-13 1077
输出 : output: :11> (test,hello,world) 若用户信息出错,flink不断重试,报错 2022-02-17 11:16:23,078 WARN org.apache.flink.runtime.taskmanager.Task [] - Source: kfk_source -> null filter -> Sink: Print to Std. Out (6/12)#4 (cef5d8a9796c4b405d44f145e52ae
Kafka SASL/SCRAM动态认证集群部署
Astralisxoxo的博客
09-22 1395
Kafka SASL/SCRAM动态认证集群部署 目的:配置SASL/PLAIN验证,实现了对Kafka的权限控制。但SASL/PLAIN验证有一个问题:只能在JAAS文件KafkaServer中配置用户,一旦Kafka启动,无法动态新增用户。SASL/SCRAM验证可以动态新增用户并分配权限 1. 服务端配置 1、解压安装包 tar -zxvf kafka_2.11-2.4.1.tgz -C /home/xyp9x/ 2、改名 mv kafka_2.11-2.4.1 kafka_scram 3、在ka
Kafka SASL/SCRAM介绍
王多鱼的梦想
02-02 2263
SASL/SCRAM(Salted Challenge Response Authentication Mechanism)使用加密的密码存储和认证机制,可以有效防止密码明文传输,因此在生产环境中得到了广泛应用。
Kafka KRaft + SSL + SASL/PLAIN 部署文档
最新发布
livemegoodboy的博客
05-28 1255
本文档介绍如何在 Windows 环境下部署 Kafka 4.x,使用 KRaft 模式、SSL 加密和 SASL/PLAIN 认证
kafka安全机制(SASL_SCRAM
qq_44062110的博客
03-07 3326
zookeeperkafka在默认情况下,是没有开启安全认证的,那么任意客户端可以在不需要任何身份认证的情况下访问zookeeperkafka下的各节点,甚至可以进行节点的增加,修改以及删除的动作。除了最基本的身份认证以外,还有针对每个节点的权限访问,但本文不涉及该话题。如果是集群模式,那么只需要对单机模式的配置文件做相应的修改即可:确保集群中每个broker的broker.id配置参数的值不一样,以及listeners配置参数也需要修改为与broker对应的IP地址或域名,之后就可以各自启动服务。
Kafka SASL认证与ACL配置
u010100623的博客
04-30 2441
SASL/PLAIN,这种方式其实就是一个的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,等等!建议大家用SASL/SCRAM的方式 ,这种方式 用户名/密码是存储在zookeeper中,能够。该种认证方式还会使用sha256或sha512对,安全性相对会高一些。本文主要介绍SASL/PLAIN。
Kafka SASL/SCRAM+ACL实现动态创建用户及权限控制
热门推荐
FaN()
01-26 1万+
文章目录SASL_SCRAM+ACL实现动态创建用户及权限控制使用SASL / SCRAM进行身份验证1. 创建SCRAM Credentials创建broker建通信用户(或称超级用户)创建客户端用户fanboshi查看SCRAM证书删除SCRAM证书2. 配置Kafka Brokers客户端配置kafka-console-producerkafka-console-consumerACL配置授...
Kafka安全认证机制详解之SASL_SCRAM
空城的博客
01-05 3352
SASL/SCRAM 通过将认证用户信息保存在 ZooKeeper 的方式,避免了动态修改需要重启 Broker 的弊端。在实际使用过程中,可以使用 Kafka 提供的命令动态地创建和删除用户,无需重启整个集群。因此,如果打算使用 SASL/PLAIN,不妨改用 SASL/SCRAM 试试。不过要注意的是,后者是 0.10.2 版本引入的。
Kafka 基于SASL/SCRAM动态认证部署,kafka加账号密码登录部署
u010398650的博客
09-14 930
其实挺简单的几个配置文件,问大模型一直没说到点上,绕晕了。SASL/SCRAM认证涉及到要先在zookeeper上创建好认证信息,最后慢慢捋下来,其实就这么几个配置和命令。
Kafka SASL/SCRAM认证与ACL配置
u010100623的博客
05-11 2210
Kafka SASL/SCRAM认证与ACL配置
基于 SASL/SCRAMKafka 实现动态授权认证
zlt2000的博客
07-29 939
本文将从零开始部署ZooKeeperKafka并通过配置SASL/SCRAM和ACL(访问控制列表)来增强Kafka的安全性
kafka集群搭建+权限认证SASL/SCRAM)+整合springboot
xianglinsao123的专栏
03-19 6574
1、创建kafka日志和zookeeper文件目录: /data/kafka/kafka-logs /data/zookeeper/zkdata /data/zookeeper/zklogs 2、修改kafka配置文件server.properties 2.1、将原文件重命名为server.properties_bak20220311 2.2、新建server.properties,编辑: # fixed params listeners=PLAINTEXT://10.132.105.20:9092 a
Kafka动态认证SASL/SCRAM配置+整合springboot配置
weixin_52925162的博客
11-11 9749
Kafka动态认证SASL/SCRAM配置+整合springboot配置
Kafka配置动态SASL_SCRAM认证
冰之杍的博客
10-12 4456
(Kafka配置动态SASL_SCRAM认证)Kafka中需要加上认证,并动态新增用户,SASL/SCRAM验证可以支持
Kafka 使用SASL / SCRAM进行身份验证
choudeque8858的博客
03-15 3544
使用SASL / SCRAM进行身份验证 请先在不配置任何身份验证的情况下启动Kafka 1. 创建SCRAM Credentials 1.1 创建broker通信用户(或称超级用户) bash Emacs bin/kafka-configs.sh --zookeeper c...
kafka SASL/SCRAM安全认证配置及GBase 8a相关功能的使用
weixin_44241948的博客
06-19 1120
首先确认一下使用的版本是否有gbase_kafka_auth_mode参数,如果有的话,将它设置成’SCRAM-SHA-512’或’SCRAM-SHA-256’,然后正确配置gbase_kafka_username和gbase_kafka_password。SCRAM-SHA-512和SCRAM-SHA-256可以同时存在,sasl.mechanism.inter.broker.protocol和sasl.enabled.mechanisms可以同时配置这两种加密。3、编辑kafka的启动脚本。
Kafka ACL(SASL/SCRAM-SHA-256)动态权限管理【windows】
三年喂的博客
03-15 3182
Window系统下配置Kafka ACL SASL/SCRAM-SHA-256 模式动态权限管理
Kafka】从安装配置再到监控,教你搭建一套sasl/scram类型的Kafka集群
浩瀚宇宙的一粒尘埃
02-05 1262
文章目录准备工作修改配置文件创建初始用户创建jaas文件修改启动脚本启动Kafka添加SystemdKafka监控部署jmx_exporter配置Prometheus配置Grafana后记 本文的主要内容是讲解一个4个broker,SASL/SCRAM类型的Kafka集群搭建过程。 准备工作 安装jdk 安装Zookeeperkafka之前,需要先安装java环境,并配置环境变量,推荐Java 8。 安装zookeeper Kafka依赖zookeeper安装Kafka之前需要安装zk。 搭建过程参考:
Kafka3.7.0中进行SASL_SCRAM认证配置_不使用自带zookeeper
u010782920的博客
07-01 1644
kafka3.7.0 sasl_scram 使用单独下载的zookeeper
kafka sasl/scram
01-25
### Kafka SASL/SCRAM 认证机制配置与最佳实践 #### 1. SASL/SCRAM 认证概述 Kafka 支持多种安全协议来保护集群通信的安全性,其中SASL/SCRAM是一种常用的认证方式。通过这种方式可以增强客户端到服务器以及代理之间的身份验证安全性[^1]。 #### 2. 配置服务端参数 为了启用SASL/SCRAM,在Kafka Broker上需要修改`server.properties`文件并添加如下设置: ```properties listeners=SASL_PLAINTEXT://:9092 sasl.enabled.mechanisms=SCRAM-SHA-256,SCRAM-SHA-512 security.inter.broker.protocol=SASL_PLAINTEXT listener.name.sasl_plaintext.scram-sha-256.sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required; listener.name.sasl_plaintext.scram-sha-512.sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required; ``` 这些属性定义了监听器类型、允许使用的散列算法(SHA-256 或 SHA-512),以及内部代理间通讯所采用的身份验证方法。 #### 3. 创建用户凭证 接下来要创建用于连接Kafka的用户名及其对应的密码哈希值。这可以通过执行Zookeeper命令完成: ```bash bin/kafka-configs.sh --zookeeper localhost:2181 \ --alter --add-config 'SCRAM-SHA-256=[password=<your_password>],SCRAM-SHA-512=[password=<your_password>]' \ --entity-type users --entity-name your_username ``` 上述脚本会向指定名称的用户添加两种不同强度级别的SCRAM密钥。 #### 4. 设置客户端配置 对于Windows 11环境下的Kafka客户端而言,则需编辑位于`\kafka2.12.3.8.0\config\client.properties`路径下相应的配置文件,并加入必要的选项以支持SASL/SCRAM认证模式[^2]: ```properties bootstrap.servers=localhost:9092 security.protocol=SASL_PLAINTEXT sasl.mechanism=SCRAM-SHA-256 sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="your_username" password="<your_password>"; ``` 这里指定了引导服务器地址、安全协议种类、具体选用哪种散列函数作为协商机制,还有最重要的JAAS登录模块配置字符串,它包含了实际参与鉴权过程中的账号信息。 #### 5. 测试连接 最后一步就是尝试发送消息测试整个流程是否正常工作。如果一切顺利的话,应该能够成功建立带有SASL/SCRAM保护措施的数据传输通道。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值