Kafka、Zookeeper、Redis、MySQL和Elasticsearch鉴权配置详解

最新推荐文章于 2025-02-12 10:21:35 发布
最新推荐文章于 2025-02-12 10:21:35 发布
阅读量1.8k 收藏 28
点赞数 35
分类专栏: 安全 文章标签: kafka zookeeper redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fudaihb/article/details/143059291
版权

一、引言

在现代分布式系统中,数据的安全性和系统的可靠性是至关重要的。为了确保系统的稳定性、数据的保密性和操作的合法性,应用层和服务层都需要进行用户鉴权和权限控制。Kafka、Zookeeper、Redis、MySQL 和 Elasticsearch 是常见的分布式系统和数据存储组件,它们为企业提供了强大的功能,同时也带来了更复杂的安全配置需求。

本文将详细介绍 Kafka、Zookeeper、Redis、MySQL 和 Elasticsearch 的鉴权配置,并提供详细的示例和实际操作步骤,帮助开发者轻松配置和管理鉴权策略,确保系统安全。

二、Kafka 鉴权配置

Kafka 是一个分布式的消息队列系统,鉴权机制至关重要,特别是在多用户共享集群的情况下。Kafka 提供了两种主要的安全机制:SSL/TLS 加密SASL 认证

1. 启用 SSL/TLS 加密

SSL/TLS 是一种常用的加密机制,用于确保 Kafka 的客户端与服务器之间的通信安全。启用 SSL/TLS 需要配置 Kafka Broker 和客户端的密钥和证书。

配置步骤:

  1. 生成密钥和证书(使用 keytool 工具):

    keytool -keystore kafka.server.keystore.jks -alias localhost -validity 365 -genkey

  2. 在 Kafka Broker 的配置文件中启用 SSL

    server.properties 文件中添加以下配置:

    security.inter.broker.protocol=SSL
ssl.keystore.location=/path/to/kafka.server.keystore.jks
ssl.keystore.password=your_keystore_password
ssl.key.password=your_key_password
ssl.truststore.location=/path/to/kafka.server.truststore.jks
ssl.truststore.password=your_truststore_password

  3. 在 Kafka 客户端配置 SSL

    Kafka 客户端也需要配置 SSL,客户端的配置文件中添加以下内容:

    security.protocol=SSL
ssl.truststore.location=/path/to/client.truststore.jks
ssl.truststore.password=your_truststore_password

2. 启用 SASL 认证

Kafka 支持多种 SASL 认证机制,包括 GSSAPI(Kerberos)PLAINSCRAM。这里以 SASL/PLAIN 为例,介绍如何配置用户名密码认证。

配置步骤:

  1. 在 Kafka Broker 中启用 SASL/PLAIN

    server.properties 中添加以下配置:

    listeners=SASL_PLAINTEXT://your_kafka_broker_host:9092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.enabled.mechanisms=PLAIN
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required \
  username="admin" \
  password="admin-secret";

  2. 在 Kafka 客户端中配置认证信息

    client.properties 文件中添加以下内容:

    security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required \
  username="admin" \
  password="admin-secret";

三、Zookeeper 鉴权配置

Zookeeper 是 Kafka 的元数据存储服务,确保其安全性同样重要。Zookeeper 提供了 Digest 认证Kerberos 认证 机制,常用的是 Digest 认证。

1. 启用 Digest 认证

Digest 认证使用用户名和密码的方式来保护 Zookeeper 节点,防止未经授权的用户访问。

配置步骤:

  1. 在 Zookeeper 配置文件中启用认证

    zoo.cfg 中添加以下内容:

    authProvider.1=org.apache.zookeeper.server.auth.DigestAuthenticationProvider

  2. 为客户端设置鉴权

    客户端使用以下命令进行身份验证:

    ZooKeeper zooKeeper = new ZooKeeper("localhost:2181", 3000, null);
zooKeeper.addAuthInfo("digest", "admin:admin-password".getBytes());

  3. 为节点设置权限

    使用以下命令为节点 /my_node 设置权限:

    setAcl /my_node digest:admin:admin-password:cdrwa

四、Redis 鉴权配置

Redis 默认情况下不启用认证,但可以通过配置 requirepass 参数来强制客户端进行密码验证。同时,Redis 6.0 及以后版本支持基于 ACL(访问控制列表) 的权限管理。

1. 启用密码验证

配置步骤:

  1. redis.conf 中设置密码

    requirepass your-strong-password

  2. 客户端连接时提供密码

    在客户端连接 Redis 时提供密码:

    redis-cli -a your-strong-password

2. 启用 ACL 机制

从 Redis 6.0 开始,支持 ACL 来管理用户权限。可以为不同用户分配不同的权限,确保安全访问。

配置步骤:

  1. 创建新用户并分配权限

    ACL SETUSER alice on >password ~* +@all

    这条命令为用户 alice 设置密码,并允许其执行所有命令。

  2. 限制用户权限

    通过 ACL 规则,可以限制用户只能执行特定命令,例如:

    ACL SETUSER limited_user on >password ~keys:* +get +set

    该配置允许 limited_user 只对 keys:* 模式的键执行 getset 命令。

五、MySQL 鉴权配置

MySQL 提供了基于 用户名和密码 的传统身份认证机制,同时支持更复杂的 SSL 加密认证用户权限管理

1. 启用 SSL 加密

MySQL 支持 SSL 加密,用于加密客户端和服务器之间的通信,防止中间人攻击。

配置步骤:

  1. 生成服务器证书

    使用 OpenSSL 生成证书:

    openssl genrsa 2048 > ca-key.pem
openssl req -new -x509 -nodes -days 3650 -key ca-key.pem -out ca-cert.pem

  2. 配置 MySQL 使用 SSL

    在 MySQL 配置文件中添加以下内容:

    [mysqld]
ssl-ca=/path/to/ca-cert.pem
ssl-cert=/path/to/server-cert.pem
ssl-key=/path/to/server-key.pem

  3. 客户端连接时使用 SSL

    客户端连接 MySQL 时可以指定 SSL 选项:

    mysql --ssl-ca=/path/to/ca-cert.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem

2. 配置用户权限

MySQL 支持精细的权限管理,可以为用户分配不同的权限,确保不同用户只能访问特定的数据库和执行特定的操作。

配置步骤:

  1. 创建用户并分配权限

    CREATE USER 'user'@'localhost' IDENTIFIED BY 'password';
GRANT SELECT, INSERT ON database.* TO 'user'@'localhost';

  2. 撤销用户权限

    可以通过以下命令撤销用户的权限:

    REVOKE INSERT ON database.* FROM 'user'@'localhost';

六、Elasticsearch 鉴权配置

Elasticsearch(ES)是一个分布式搜索引擎,提供了强大的安全功能,包括 X-Pack 安全模块,支持 SSL/TLS 加密、基本认证和角色管理。

1. 启用 SSL/TLS 加密

配置步骤:

  1. 生成证书

    使用 Elasticsearch 自带的 elasticsearch-certutil 工具生成证书:

    bin/elasticsearch-certutil cert -out config/elastic-certificates.p12

  2. 配置 Elasticsearch 使用 SSL

    elasticsearch.yml 中添加以下配置:

    xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.keystore.path: /path/to/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: /path/to/elastic-certificates.p12

  3. 配置 Kibana 使用 SSL

    在 `kibana.yml

` 中启用 SSL:

elasticsearch.ssl.certificateAuthorities: /path/to/ca-cert.pem

2. 启用用户鉴权

Elasticsearch 提供基于用户的鉴权机制,可以为不同用户分配角色和权限。

配置步骤:

  1. 创建用户并分配角色

    使用以下命令创建用户并分配角色:

    bin/elasticsearch-users useradd alice -p password -r superuser

  2. 为角色分配权限

    可以通过 roles.yml 文件为角色分配权限,例如:

    my_role:
  cluster:
    - all
  indices:
    - names: '*'
      privileges:
        - read
        - write

七、总结

通过对 Kafka、Zookeeper、Redis、MySQL 和 Elasticsearch 鉴权配置的详细讲解,本文展示了如何通过加密、认证和权限管理来确保分布式系统的安全性。每个组件都提供了丰富的安全选项,开发者可以根据实际需求,选择合适的安全机制,从而保障数据的安全性和系统的稳定性。

KafkaKafka 配置 SASL_SSL jks验证方式
九师兄
08-07 5143
ssl.truststore.password = ke123456 # ssl.client.auth取值 request required none # request 代表服务器必须验证客户端 # required 代表服务器验证客户端,能验证就验证,验证不过就算了 # none 代表服务器不验证客户端 ssl.client.auth = required创建 SCRAM 证书。
KAFKA设计以及相关探讨
李姓门徒
01-31 2117
,分别由********组成 - ****: 表示身份认证,认证相关用户是否存在以及相关的用户名密码是否一致 - ****: 完成身份的****后,还需要判断用户是否有相关操作的限。 因此对于某一个用户来说,通常情况下,需要完成********才能够满足一个完整的业务场景,因此通常将****放在一起考量。本文探讨kafka常用的方式以及相关设计方式。
Apache Kafka 中的认证、原理与应用
最新发布
AutoMQ的博客
02-12 953
本文概述了 Kafka 中的认证协议策略。首先介绍了 listener 与安全协议的映射,以及安全协议与认证方法的映射。接着分别介绍 Kafka 中支持的多种认证协议,以及 ACL 策略。在认证通过后,Kafka 会生成一个认证主体,供上层进行细粒度的。最后介绍了如何对一个运行中的 Kafka 集群中进行认证协议升级以及开启
ZookeeperMySQL集成与数据同步
AI天才研究院
01-28 698
1.背景介绍 1. 背景介绍 MySQL是一种流行的关系型数据库管理系统,广泛应用于Web应用程序、企业应用程序等。Zookeeper是一个开源的分布式协调服务,用于实现分布式应用程序的协同管理。在分布式系统中,Zookeeper可以用于实现数据同步、配置管理、集群管理等功能。 在某些场景下,我们需要将MySQLZookeeper集成,以实现数据同步功能。例如,在多个MySQL节点之间实...
分布式锁系列之zookeeper分布式锁mysql分布式锁
暗武逢天的博客
08-23 657
分布式锁是一种用于在分布式系统中实现资源互斥访问的机制。在多个节点同时访问共享资源时,分布式锁可以确保只有一个节点能够获取到锁,从而避免数据竞争冲突。
基于Zookeeper+MHA的mysql高可用架构设计
02-11
基于Zookeeper+MHA的mysql高可用架构设计,基于Zookeeper+MHA的mysql高可用架构设计。
docker-compose docker 一次性安装打包 各个中间件 mysql zookeeper kafka redis
06-09
docker-compose docker 一次性安装打包 各个中间件 mysql zookeeper kafka redis elasticsearch elasticsearch6.8.8 dockerui 便于一次性打包各大组件,也便于后期维护增加
Prometheus监控 mysqlrediskafkaelasticsearch
yuansheng730的博客
02-11 1706
Prometheus监控实战篇 一、Prometheus安装 下载地址: 官方地址: 安装步骤: 1.下载Prometheus,我用的是2.32.1版本,需要其他版本可以去官方下载 wget https://github.com/prometheus/prometheus/releases/download/v2.32.1/prometheus-2.32.1.linux-amd64.tar.gz 2.解压 tar xf prometheus-2.32.1.linux-amd64.tar.gz 3.
centos6整合包-Nginx-Zendao-tomcat-kafka-redis-ES-php-Zookeeper...
02-20
centos6整合包-Nginx-Zendao-tomcat-kafka-redis-ES-php-Zookeeper... 都配置安装好了 亲测可用 反馈自定义联系博主
docker-compose部署kafka es redis mysql mongo 做持久化
07-12
这个示例配置文件中包含了 ZooKeeperKafkaElasticsearchRedisMySQL MongoDB 的部署配置。通过挂载相应的卷,实现了持久化。 使用以下命令启动所有的服务: ```shell docker-compose up -d ``` 这将...
TeamIDE-win-2.6.31Team IDE 集成MySql、Oracle、金仓、达梦、神通等数据库、SSH、FTP、RedisZookeeperKafkaElasticsearch、M
11-23
TeamIDE-win-2.6.31Team IDE 集成MySql、Oracle、金仓、达梦、神通等数据库、SSH、FTP、RedisZookeeperKafkaElasticsearch、M
KAFKA配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:9092 116.155.153.185:19092 192.168.1.157:2181 KAFKA02 192.168.1.158:9092 116.155.153.185:29092 192.168.1.157:2181 KAFKA03 192
zookeeper增加限登录验证
11-19
针对zookeeper的安全漏洞,增加了对访问ip地址的限制。
zookeeper
u013488838的专栏
09-13 2418
因为有的业务场景需要将zookeeper节点进行限限制,在网上找到的资料不全,并且不够直白,自己编写了代码并进行直白的描述,达到获取即用的作用,现针对限限制代码进行上传 https://download.youkuaiyun.com/download/u013488838/10665097...
Kafka消费端配置
长臂人猿的博客
03-22 2421
前言 在实际使用Kafka消费的时候我们往往会遇到加密的Kafka集群。 消费者 创建Kafka配置文件 (1)创建 config/client-sasl.properties 文件 cd /app/kafka_2.11-1.1.1 vi config/client-sasl.properties security.protocol=SASL_PLAINTEXT sasl.mechanism=SCRAM-SHA-256 (2)根据指定账号创建生产命令( conf文件+sh文件 ) 配置conf
分布式数据库核心原理 Zookeeper+Mysql
长期深耕于云计算、大数据、数据库领域!
08-25 758
作者:1菩提行者1 笔者一直做java开发,由于技术演进做过大型微服务项目,微服务即将一个大的服务拆分成一个一个小的微服务,每个微服务自成生态,而在落地过程中紧紧只是应用层拆分,数据层往往用同一个库。有点形变神不变,当然将微服务与其对应数据库完全按照领域模型拆分永远只是理想状态。但是在应用微服务化后对于数据层带来了分布式事务或者数据一致性问题。这时就需要分布式数据库TDSQL。 为什么是TDSQL?首先他是个云数据库将资源与数据库隔离,可以根据需要添加资源,在此基础上创建需要的数据库实例数量,...
zookeeper mysql_基于zookeeperMySQL主主负载均衡的简单实现
weixin_39737240的博客
01-18 296
/*** zookeeper客户端*@authortomsnail* @date 2015年4月3日 上午10:15:11*/public classZkClient {private static final Logger logger = LoggerFactory.getLogger(ZkClient.class);//用于等待 SyncConnected 事件触发后继续执行当前线程priv...
卡夫卡与mysql_zookeeper与卡夫卡集群搭建
weixin_31299543的博客
02-01 243
首先这片博客没有任何理论性的东西,只是详细说明kafkazookeeper集群的搭建过程,需要三台linux服务器。java环境变量设置zookeeper集群搭建kafka集群搭建java环境变量设置在每台服务器上都有设置java环境变量这里使用java源码安装的方式:下载源码包解压,放入到/usr/local/文件夹下,修改名目录名字为jdk!接下就是把java的命令参数加入到linux的环境...
Kafka
jiuweiC的博客
11-21 942
kafka
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一休哥助手

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值