kafka 安装 以及 Kraft 模式、安全认证配置

最新推荐文章于 2025-11-03 22:17:17 发布
原创 最新推荐文章于 2025-11-03 22:17:17 发布 · 3.4k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kafka #安全 #分布式

文章详细介绍了Zookeeper的单节点和集群安装步骤,包括配置端口、数据目录以及集群中的协调服务。接着讲述了Kafka的集群安装,强调了Zookeeper在Kafka中的角色。此外,还提到了Kafka的Kraft模式,一种不再依赖Zookeeper的启动方式。最后,文章讨论了SASL/PLAIN安全认证配置在Kafka中的应用,提供了配置示例和SpringBoot的YAML配置。

常见安装:zookeeper + kafka

zookeeper 单节点安装 :

  • apach官网下载对应包:apache-zookeeper-3.7.1-bin.tar.gz
  • 修改对应配置文件 /conf/zoo_sample.cfg ,配置端口以及数据目录
  • 2
  • sh zkServer.sh start 启动 、sh zkServer.sh stop 停止、sh zkServer.sh status 状态
  • sh zkCli.sh -server 客户端
    在这里插入图片描述

zookeeper 集群安装:

  • 在每个节点data 目录,创建一个 myid 的文件,myid内容为服务id,没个节点服务id不同
    在这里插入图片描述
    在这里插入图片描述
  • 配置文件zoo.cfg添加集群信息:server.myid=ip:2888:3888
  • 2888为 服务器 follower 与集群leader 的通信端口、3888 leader挂掉后,选举用端口
    在这里插入图片描述
  • 各节点启动集群.
  • 分布式框架提供协调服务,为kafak 管理员,需要 zookeeper 选择机制节点监听
    • 集群管理、leader选举
    • Topic注册
    • Broker注册
  • zookeeper 存储 kafka 的 borker信息,topic等 信息

在这里插入图片描述

kafka 集群安装:

  • https://kafka.apache.org/ 官网下载对应运行体,eg:kafka_2.12-3.0.0.tgz
  • config/server.properties 修改对应服务配置
    • broker.id 服务唯一id
    • log.dirs=/tmp/kafka-logs 数据目录
    • zookeeper.connect=192.168.2.207:2181,192.168.2.208:2181/kafka 集群地址配置
  • 各节点启动 : sh kafka-server-start.sh -daemon …/config/server.properties

kafka - Kraft 模式(去掉zookeeper)

  • 版本大于 2.8.0 时,可以不依赖zookeeper 环境启动
    在这里插入图片描述
  • 修改 krafk 目录下 server.properties 配置文件,以下操作每个节点需要同步配置,node.id 为唯一
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  • 生成一个随机id: sh kafka-storage.sh random-uuid
  • 初始化:sh kafka-storage.sh format -t ${id} -c /opt/kafka/kafka_2.12-3.0.0/config/kraft/server.properties
    -Kraft 模式启动: sh ./bin/kafka-server-start.sh -daemon ./config/kraft/server.properties

Kraft 模式 以及 安全认证配置:

  • SASL/GSSAPI:kerberos认证方式,一般使用随机密码的keytab认证方式,密码是加密的,也是企业里使用最多的认证方式;
  • SASL/PLAIN:这种方式其实就是一个账号/密码的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,不能动态添加,密码明文等等!好处是足够简单;
  • SASL/SCRAM:针对SASL/PLAIN方式的不足而提供的另一种认证方式。这种方式的用户名/密码是存储中zookeeper的,因此能够支持动态添加用户。该种认证方式还会使用sha256或sha512对密码加密,安全性相对会高一些,在0.10.2版本引入;

SASL/PLAIN 安全认证配置 :

  • 新建config 文件 config/kafka_server_jaas.conf
  • 👇
KafkaServer {
org.apache.kafka.common.security.plain.PlainLoginModule required
serviceName="kafka"
username="admin"
password="admin"
user_admin="admin";
};
  • copy一份kafka-server-start.sh ,修改名称 kafka-server-start-sasl.sh启动脚本修改名称,引入加密文件; 注意路径
    在这里插入图片描述
    在这里插入图片描述

修改配置文件内容:

  • cp一份 server_sasl.properties 修改名称为server_sasl.properties 与非安全认证分开
# 修改以下内容
node.id=1
controller.quorum.voters=1@kraft1:9093
listeners=SASL_PLAINTEXT://192.168.2.207:9092,CONTROLLER://192.168.2.207:9093
inter.broker.listener.name=SASL_PLAINTEXT
advertised.listeners=SASL_PLAINTEXT://192.168.2.207:9092
sasl.enabled.mechanisms=PLAIN
sasl.mechanism.inter.broker.protocol=PLAIN

if [ "x$KAFKA_HEAP_OPTS" = "x" ]; then
    export KAFKA_HEAP_OPTS="-Xmx1G -Xms1G -Djava.security.auth.login.config=/opt/kafka/kafka_2.12-3.0.0/config/kafka_server_jaas.conf"
fi

启动:sh ./bin/kafka-server-start-sasl.sh -daemon ./config/kraft/server_sasl.properties

spring boot yml配置

server:
  port: 8200

spring:
  mvc:
    pathmatch:
      matching-strategy: ant_path_matcher
  application:
    name: @artifactId@
  kafka:
    bootstrap-servers: 192.168.2.207:9092
    # 生产配置
    producer:
      key-serializer: org.apache.kafka.common.serialization.StringSerializer
      value-serializer: org.apache.kafka.common.serialization.StringSerializer
      properties:
        sasl.mechanism: PLAIN
        security.protocol: SASL_PLAINTEXT
        sasl.jaas.config: org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin";
    #消费配置
    consumer:
      key-deserializer: org.apache.kafka.common.serialization.StringDeserializer
      value-deserializer: org.apache.kafka.common.serialization.StringDeserializer
      group-id: xiaoshu
      enable-auto-commit: false
      properties:
        sasl.mechanism: PLAIN
        security.protocol: SASL_PLAINTEXT
        sasl.jaas.config: org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin";

    listener:
      # 手动调用Acknowledgment.acknowledge()后立即提交
      ack-mode: manual

注:Kraft 配置了安全模式后,集群搭建不成功了,下次配好了,再补上…

在这里插入图片描述

何xiao树
关注
Kafka安全机制
Marshal丶张的博客
07-03 2679
一、安全概述 在0.9.0.0版本中,kafka添加了许多功能,这些功能可单独使用或一起使用,从而提高kafka集群安全性。目前支持的安全措施有: ①使用SSL或者SASL验证来自客户端(生产者和消费者)以及其他broker和工具到broker的链接身份,Kafka支持一下SASL验证机制: SASL/GSSAPI (Kerberos) - starting at version 0.9...
kafak集群搭建-基于kRaft方式
qq_46112274的博客
08-26 2338
kafak集群搭建-基于kRaft方式
kafka+Kraft模式集群+SASL安全认证
眼中星辰的博客
12-01 2735
kafka+Kraft模式集群+SASL安全认证
kafka kraft 模式简介
最新发布
好记性不如烂笔头
11-03 712
Zookeeper 提供了配置服务、分布式同步、命名服务、Leader 选举和集群管理等功能,很多大数据组件都依赖 Zookeeper 来构建,Apache Kafka 也不例外。
kafka+Kraft模式集群+安全认证_kafka raft 下的安全控制(1)
2401_84138785的博客
04-07 524
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
【保姆式通关宝典】使用Kraft快速搭建Kafka集群(含服务鉴权)
水到渠成
09-11 3380
【保姆式通关宝典】使用Kraft快速搭建Kafka集群+Sasl鉴权模式
KafkaKafka3.3.1集群搭建指南KRaft版本
后端研发工程师Marion的博客
05-10 3724
元数据的管理被整合到了 Kafka 当中,而不需要使用像 ZooKeeper 这样的第三方工具,这大大简化了 Kafka 的架构。这种新的 KRaft 模式提高了分区的可伸缩性和弹性,同时简化了 Kafka 的部署,现在可以不依赖 ZooKeeper 单独部署 Kafka 了。这是第一个标志着可以在生产环境中使用 KRaftKafka Raft)共识协议的版本。在几年的开发过程中,它先是在 Kafka 2.8 早期访问版本中发布,然后又在 Kafka 3.0 预览版本中发布。
Linux-Kafka 3.7.0 Kraft+SASL认证模式 集群安装与部署超详细
qq_41118173的博客
07-04 5140
这个是3.2.0版本新引入的认证方式,可以参考 https://cwiki.apache.org/confluence/display/KAFKA/KIP-801%3A+Implement+an+Authorizer+that+stores+metadata+in+__cluster_metadata。5.修改kafka-console-producer.sh和kafka-console-consumer.sh启动文件两个都要改。# 如果未设置,则使用"listeners"的值.
安装 kafka 配置 sasl 认证
weixin_41565755的博客
01-23 6918
安装 kafka 配置 sasl 认证
kafka+Kraft模式集群+安全认证_kafka raft 下的安全控制
2401_87034196的博客
09-11 467
上面设置好sasl认证的配置后,我们需要在kafka启动的服务脚本中,将此配置加入进去。可以直接修改,亦或者拷贝一份命名为(名称自定义即可)kafka02和kafka03同样这样配置好开始执行启动kafka集群服务启动完成。。。
2024年网络安全最全kafka+Kraft模式集群+安全认证_kafka raft 下的安全控制,网络安全面试问项目难点
2401_84281655的博客
05-11 872
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
深入Kafka KRaft模式:生产环境配置详解
qq_33816243的博客
01-19 2576
KafkaKRaft模式是一种新的元数据管理方式,旨在去除对ZooKeeper的依赖,使Kafka成为一个完全自包含的系统。在Kafka的传统模式下,元数据管理依赖于ZooKeeper,这增加了部署和运维的复杂性。为了解决这个问题,Kafka社区引入了KRaft模式。在KRaft模式下,所有的元数据,包括主题、分区信息、副本位置等,都被存储在Kafka集群内部的特殊日志中。这个日志使用Raft协议来保证一致性。在传统架构中,Kafka集群包含多个Broker节点和一个ZooKeeper集群
[Kafka with kraft] SASL_PLAINTEXT认证
Aspirin's Nest
01-09 2442
集成带SASL_PLAINTEXT的kafka
kafka+Kraft模式集群+安全认证
鸢尾_的博客
08-30 3642
kafka+Kraft模式集群+安全认证
kafka二进制部署(Kraft方式,SASL认证)
weixin_47575974的博客
10-01 2354
所有节点执行thenfi可以根据实际jvm参数在此处调整。
kafka搭建kraft集群模式
Erica_java的博客
12-04 1439
kafka搭建kraft模式集群
2024年网络安全最新EDG夺冠,Python分析一波B站评论,总结:EDG,nb_2012,一个卡牌
2401_84281748的博客
05-01 419
print(‘成功保存:’ + str(len(df)) + ‘条’)
Kafka安全模式之身份认证
weixin_42556307的博客
02-27 4826
SASL-PLAIN方式是一个经典的用户名/密码的认证方式,其中用户名和密码是以明文形式保存在服务端的JAAS配置文件中的,当客户端使用PLAIN模式进行认证时,密码是明文传输的,因此安全性较低,但好处是足够简单,方便我们对其进行二次开发,在0.10版本引入。在kafka身份认证的过程中,需要的principal,keytab,ServiceName等信息均配置在jaas文件中,因此保证认证的服务可以读取到正确的文件及正确的配置kafka安全模式下认证的核心。解决办法是找第三方提供。
kafkakraft模式怎么启动SASL_PLAINTEXT认证
09-02
KafkaKraft 模式下启动 SASL_PLAINTEXT 认证可按以下步骤操作: 1. **修改 Kafka 配置文件**:修改 `server.properties` 文件,具体修改内容如下: ```properties # 修改协议 listeners=SASL_PLAINTEXT://0.0.0.0:9193 advertised.listeners=SASL_PLAINTEXT://12.120.20.3:9092 # 如果 inter.broker.listener.name=PLAINTEXT 这一行默认是开启的,注释掉这一行 # 增加下面四行配置 security.inter.broker.protocol=SASL_PLAINTEXT sasl.enabled.mechanisms=PLAIN sasl.mechanism.inter.broker.protocol=PLAIN allow.everyone.if.no.acl.found=true ``` 以上配置Kafka 的监听协议修改为 `SASL_PLAINTEXT`,并设置了相应的安全和认证机制 [^3]。 2. **格式化集群信息并启动服务**:使用 `kafka-storage.sh` 格式化集群信息,并使用 `kafka-server-start-jaas.sh` 启动服务,命令如下: ```bash /root/kafka_2.13-3.3.1/bin/kafka-storage.sh format -t T1CYXg2DQPmdSYSUI-FNFw -c /root/kafka_2.13-3.3.1/config/kraft/server.jaas.properties /root/kafka_2.13-3.3.1/bin/kafka-server-start-jaas.sh /root/kafka_2.13-3.3.1/config/kraft/server.jaas.properties ``` 此步骤利用给定的 token 和配置文件格式化集群信息,并启动 Kafka 服务 [^1]。 3. **创建 SCRAM 凭证(可选)**:如果需要定义用户认证凭据,可以执行以下命令: ```bash kafka-configs.sh --alter --add-config 'SCRAM-SHA-256=[password=your_password],SCRAM-SHA-512=[password=your_password]' --entity-type users --entity-name your_username --bootstrap-server localhost:9092 ``` 此命令为全局集群操作,只需在集群中任意一个 Broker 节点上执行一次,它将用户凭证写入 Kafka 集群的元数据,所有 Broker 都能访问这些信息 [^2]。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值