在Kafka2.7.2中进行SASL_SCRAM认证配置

最新推荐文章于 2025-04-19 21:37:28 发布
原创 最新推荐文章于 2025-04-19 21:37:28 发布
· 955 阅读 · 2 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#debian #linq #运维

本文详细介绍了如何在Kafka2.7.2版本中配置SASL_SCRAM安全认证,包括创建用户、维护证书、服务器端和客户端的配置,以及权限管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在Kafka2.7.2中进行SASL_SCRAM认证配置

1. 启动Zookeeper

​ 在没有设置任何权限的配置下启动Zookeeper:

nohup sh ./bin/zookeeper-server-start.sh ./config/zookeeper.properties  >/dev/null 2>&1 &

2 创建SCRAM证书

2.1 创建broker通信用户admin

​ 在使用sasl之前必须先创建,否则启动报错

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --alter --add-config 'SCRAM-SHA-256=[password=admin-succ],SCRAM-SHA-512=[password=admin-succ]' --entity-type users --entity-name admin

2.2 创建生产用户producer

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --alter --add-config 'SCRAM-SHA-256=[iterations=8192,password=producer-succ],SCRAM-SHA-512=[password=producer-succ]' --entity-type users --entity-name producer

2.3 创建消费用户:consumer

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --alter --add-config 'SCRAM-SHA-256=[iterations=8192,password=consumer-succ],SCRAM-SHA-512=[password=consumer-succ]' --entity-type users --entity-name consumer

​ SCRAM-SHA-256/SCRAM-SHA-512是对密码加密的算法,二者有其一即可。

3 维护SCRAM证书

3.1 查看SCRAM证书

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --describe --entity-type users --entity-name producer

bin/kafka-configs.sh --zookeeper 127.0.0.1:2181 --describe --entity-type users --entity-name consumer

3.2 删除SCRAM证书

bin/kafka-configs.sh --zookeeper localhost:2181 --alter --delete-config 'SCRAM-SHA-512' --delete-config 'SCRAM-SHA-256' --entity-type users --entity-name producer

4 服务端配置

​ 在用户证书创建完毕之后开始Kafka服务端的配置

4.1 创建JAAS文件

​ 进入kafka/config文件夹,执行以下命令:

cat > kafka_server_jaas.conf << EOF
KafkaServer {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="admin"
    password="admin-succ";
};
EOF

4.2 启动加载jaas配置文件

​ 进入kafka/bin文件夹,在 kafka-server-start.sh 最上方添加(路径换成自己的)

export KAFKA_OPTS=" -Djava.security.auth.login.config=/data/bigdata/apps/kafka/config/kafka_server_jaas.conf"

4.3 配置server.properties【config/server.properties】

​ 将下面配置添加至其中

#认证配置
listeners=SASL_PLAINTEXT://:9092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=SCRAM-SHA-256
sasl.enabled.mechanisms=SCRAM-SHA-256

#ACL配置
allow.everyone.if.no.acl.found=false
super.users=User:admin
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer

​ 可以根据自己的需求选择SASL_SSL或SASL_PLAINTEXT, PLAINTEXT为不加密明文传输,性能好一点。

4.4 配置完后重启Zookeeper,再启动Kafka

./bin/zookeeper-server-stop.sh

nohup sh ./bin/zookeeper-server-start.sh ./config/zookeeper.properties  >/dev/null 2>&1 &
 
nohup sh ./bin/kafka-server-start.sh ./config/server.properties  >/dev/null 2>&1 &

5 客户端配置

5.1 创建的三个用户的三个JAAS文件

kafka_client_scram_admin_jaas.conf
kafka_client_scram_producer_jaas.conf
kafka_client_scram_consumer_jaas.conf
EOF

​ 进入kafka/config文件夹,执行以下命令:

cat > kafka_client_scram_admin_jaas.conf << EOF
KafkaClient {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="admin"
    password="admin-succ";
};
EOF

cat > kafka_client_scram_producer_jaas.conf << EOF
KafkaClient {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="producer"
    password="producer-succ";
};
EOF

cat > kafka_client_scram_consumer_jaas.conf << EOF
KafkaClient {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="consumer"
    password="consumer-succ";
};
EOF

5.2 在启动脚本中引入JAAS文件

​ 进入kafka/bin文件夹,在 kafka-console-producer.sh 最上方添加(路径换成自己的):

export KAFKA_HEAP_OPTS="-Xmx512M -Djava.security.auth.login.config=/data/bigdata/apps/kafka/config/kafka_client_scram_producer_jaas.conf"

​ 进入kafka/bin文件夹,在 kafka-console-consumer.sh 最上方添加(路径换成自己的):

export KAFKA_HEAP_OPTS="-Xmx512M -Djava.security.auth.login.config=/data/bigdata/apps/kafka/config/kafka_client_scram_consumer_jaas.conf"

5.3 配置consumer.properties和producer.properties,都加入以下配置

security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-256

5.4 创建配置文件command_config.properties

​ 该文件其实也是配置的连接Kafka的用户配置文件,但是该文件用于kafka-acls.sh,kafka-configs.sh等文件,同样的名称和路径可自定义,我这里还是把该文件放到解压的config目录中,内容如下:

sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="admin" password="admin-succ";
security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-256

5.5 创建主题

bin/kafka-topics.sh --zookeeper 127.0.0.1:2181 --create --topic test --partitions 3 --replication-factor 1

bin/kafka-topics.sh --zookeeper 127.0.0.1:2181 --list

#或者:

bin/kafka-topics.sh --create --bootstrap-server 127.0.0.1:9092 --topic test --partitions 3 --replication-factor 1 --command-config ./config/command_config.properties

bin/kafka-topics.sh --list --bootstrap-server 127.0.0.1:9092 --command-config ./config/command_config.properties

5.6 启动生产

bin/kafka-console-producer.sh --broker-list 127.0.0.1:9092 --topic test --producer.config config/producer.properties

5.7 对生产者赋予写的权限

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=127.0.0.1:2181 --add --allow-principal User:producer --operation Write --topic test

5.8 查看权限

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=127.0.0.1:2181 --list

5.9 对消费者赋予读的权限

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=127.0.0.1:2181 --add --allow-principal User:consumer --operation Read --topic test

5.10 对消费者赋予组的权限

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=127.0.0.1:2181 --add --allow-principal User:consumer --operation Read --group test-consumer-group

5.11 启动消费者

bin/kafka-console-consumer.sh --bootstrap-server 127.0.0.1:9092 --topic test --from-beginning --consumer.config config/consumer.properties

参考文档

(1):Kafka配置动态SASL_SCRAM认证

武舞悟
关注
Kafka部署指南:SASL_SCRAM/SSL认证的ACL权限控制
DeoSql的博客
09-18 208
在本篇文章中,我们提供了一个详细的Kafka部署指南,重点介绍了如何使用SASL_SCRAM/SSL认证来实现ACL权限控制。我们涵盖了安装和配置Kafka、生成SSL证书和密钥、配置SSL认证配置SASL_SCRAM认证以及配置ACL权限控制的步骤。在本篇文章中,我们将为您提供一个详细的Kafka部署指南,重点介绍如何使用SASL_SCRAM/SSL认证来实现ACL权限控制。我们将提供相应的源代码和步骤,帮助您完成Kafka的安装和配置。接下来,我们将生成SSL证书和密钥,用于Kafka的SSL认证
KafKa 开启 SASL 验证
41981DC的博客
08-12 2978
kafka 配置 sasl 权限认证
Apache zookeeper kafka 开启SASL安全认证
heming20122012的专栏
03-13 3348
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展和具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用。Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
kafka认证部署
最新发布
青春不流名
04-19 1180
kafka 配置文件目录 config 创建文件 kafka-server-jass.conf,如我的目录是:/home/kafka/config。将下面的内容追加到producer.properties和consumer.properties,并创建auth.conf文件。/home/kafka/config/server.properties设置配置kafka-run-class.sh文件追加内容。首先启动 zookeeper。
Kafka SASL认证与ACL配置
u010100623的博客
04-30 2407
SASL/PLAIN,这种方式其实就是一个的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,等等!建议大家用SASL/SCRAM的方式 ,这种方式 用户名/密码是存储在zookeeper中,能够。该种认证方式还会使用sha256或sha512对,安全性相对会高一些。本文主要介绍SASL/PLAIN。
kafka集群、单机 开启Sasl_Scram认证
weixin_48055770的博客
12-02 1904
kafka配置开启SASL认证
centos 7 kafka2.6单机安装及动态认证SASL SCRAM配置
manwufeilong的博客
10-31 1581
producer 用于生产消息,consumer 用于消费消息,producer和consumer用于测试使用,生产中使用可根据业务需要创建对应用户,这里仅用于演示。创建用户之后,需要为每个 Broker 创建一个对应的 JAAS 文件。配置 SASL/SCRAM 的第一步,是创建能连接 Kafka 集群的用户,创建用户admin ,用于实现 Broker 间通信。broker启动命令添加 jaas conf配置,用于通信认证配置消费者启动脚本添加JAAS文件配置配置生产者启动脚本添加JAAS文件。
Kafka部署全攻略——Kafka SASL_SCRAM安全认证实现
bbsxb520的博客
06-28 904
Kafka SASL_SCRAM安全认证实现
Kafka部署全攻略——基于SASL_SCRAM/SSL认证的ACL权限控制
bbsxb520的博客
06-28 365
基于SASL_SCRAM/SSL认证的ACL权限控制
Kafka部署全攻略——基于SSL的SASL_SCRAM安全认证实现
bbsxb520的博客
06-28 650
基于SSL的SASL_SCRAM安全认证实现
Kafka配置SASL_PLAIN、ACL认证授权
u011085311的博客
12-04 949
SASL/PLAIN认证:含义是简单身份验证和授权层应用程序接口,PLAIN认证是其中一种最简单的用户名、密码认证方式,生产环境使用维护简单易用。可用于Kafka和其他应用程序之间的认证配置SASL/PLAIN+ACL认证目前需要编辑两个文件,一个是server.properties,另一个是kafka_server_jaas.conf。server.properties是kafka的主要配置文件,里面有很多参数可以调整。
kafka安全机制(SASL_SCRAM
qq_44062110的博客
03-07 3154
zookeeper和kafka在默认情况下,是没有开启安全认证的,那么任意客户端可以在不需要任何身份认证的情况下访问zookeeper和kafka下的各节点,甚至可以进行节点的增加,修改以及删除的动作。除了最基本的身份认证以外,还有针对每个节点的权限访问,但本文不涉及该话题。如果是集群模式,那么只需要对单机模式的配置文件做相应的修改即可:确保集群中每个broker的broker.id配置参数的值不一样,以及listeners配置参数也需要修改为与broker对应的IP地址或域名,之后就可以各自启动服务。
Kafka配置动态SASL_SCRAM认证
冰之杍的博客
10-12 4401
(Kafka配置动态SASL_SCRAM认证)Kafka中需要加上认证,并动态新增用户,SASL/SCRAM验证可以支持
Kafka安全认证机制详解之SASL_SCRAM
空城的博客
01-05 3305
SASL/SCRAM 通过将认证用户信息保存在 ZooKeeper 的方式,避免了动态修改需要重启 Broker 的弊端。在实际使用过程中,可以使用 Kafka 提供的命令动态地创建和删除用户,无需重启整个集群。因此,如果打算使用 SASL/PLAIN,不妨改用 SASL/SCRAM 试试。不过要注意的是,后者是 0.10.2 版本引入的。
kafka开启sasl认证
atarik@163.com
02-28 2082
SASL/PLAIN认证机制开启方法: 修改Kafka配置文件 server.properties 或者其它名字(CDH和Ambari的发行版可能文件名有所差异) sasl.enabled.mechanisms = PLAIN sasl.mechanism.inter.broker.protocol = PLAIN security.inter.broker.protocol = SASL_P...
KafkaKafka 配置 SCRAM认证
九师兄
08-08 2624
PLAIN认证有个问题,就是不能动态新增用户,每次添加用户后,需要重启正在运行的Kafka集群才能生效。为此,在生产环境,这种认证方式不符合实际业务场景。而SCRAM不一样,使用SCRAM认证,可以动态新增用户,添加用户后,可以不用重启正在运行的Kafka集群即可进行鉴权。 本篇文档中使用的是自己部署的zookeeper, zookeeper无需做任何特殊配置 1.准备 使用SASL / SCRAM进行身份验证,请先在不配置任何身份验证的情况下启动Kafka 2.创建SCRAM Credentials.
Apache zookeeper kafka 开启SASL安全认证_kafka开启认证
2401_86951311的博客
09-11 1708
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展和具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用。Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
ambari-kafka 开启 sasl 认证
weixin_43545410的博客
12-25 1306
创建 kafka_server_jaas.conf vim /opt/kafka_server_jaas.conf #其中kafka为admin用户,格式:user_用户名="密码" KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="kafka" password="kafka-secret" user_kafka="kafka-secret" user_t
Kubernetes上部署带有SASL认证Kafka单机版2.7.2,使用环境变量
03-22
<think>好的,我现在需要帮助用户解决在Kubernetes上部署带SASL认证的单节点Kafka 2.7.2的问题,特别是如何使用环境变量配置。首先,我得理清楚步骤,确保覆盖所有必要环节。 用户提到了使用环境变量,可能是指通过Kubernetes的配置来传递SASL相关的参数,比如用户名、密码等。KafkaSASL认证通常涉及几个配置文件,比如server.properties和jaas.conf,这些需要在容器启动时生成或注入。 首先,Kafka的部署通常需要Zookeeper,所以可能需要先部署Zookeeper。不过用户的问题集中在Kafka本身,所以可能假设Zookeeper已经部署好了。接下来,Kafka配置中需要启用SASL,比如设置listeners、security.inter.broker.protocol等参数。这些可以通过环境变量传递到容器中,或者通过ConfigMap挂载配置文件。 环境变量的使用方面,可能需要编写一个启动脚本,在容器启动时读取环境变量并写入到配置文件中。比如,在Dockerfile中有一个entrypoint脚本,负责生成server.properties和jaas.conf,使用envsubst之类的工具替换变量。 然后,涉及到SASL的JAAS配置,这部分比较敏感,因为包含用户名和密码,所以应该使用Kubernetes Secret来存储,而不是ConfigMap。用户可能需要创建一个Secret,包含JAAS配置中的用户名和密码,然后挂载到容器的指定路径。 另外,KafkaSASL认证有多种机制,比如PLAIN、SCRAM等,用户可能使用的是PLAIN机制,所以需要确认配置正确的SASL机制,并在server.properties中设置相应的安全协议。 接下来是Kubernetes的部署文件,包括Deployment和Service。Deployment中需要配置环境变量,从Secret中获取敏感信息,并挂载配置文件。可能需要使用环境变量来设置Kafka的broker id、监听地址等参数,同时将jaas.conf通过volume挂载到指定位置。 最后,测试部署是否成功,可以使用客户端工具进行验证,比如使用kafka-console-producer和kafka-console-consumer,并指定SASL认证参数。这部分可能需要另一个Pod来执行测试命令,或者使用已有的工具。 需要确保所有步骤中的配置正确,特别是环境变量与配置文件中的占位符对应,Secret的键名正确,以及Kubernetes资源的权限设置正确。另外,Kafka的版本和对应的配置是否兼容也需要检查,用户指定的是2.7.2版本,可能需要参考该版本的官方文档确认配置项。 可能遇到的问题包括环境变量未正确替换,导致配置文件错误;SASL配置未正确加载,导致认证失败;网络策略或服务暴露的问题,导致客户端无法连接。需要逐一排查这些可能性,确保每一步都正确无误。 总结步骤大致如下: 1. 创建包含SASL用户和密码的Secret。 2. 创建ConfigMap或使用环境变量来配置Kafka的server.properties。 3. 编写启动脚本,在容器启动时生成配置文件,替换环境变量。 4. 配置Kubernetes Deployment,挂载Secret和ConfigMap,设置环境变量。 5. 部署Service以暴露Kafka的端口。 6. 验证部署,测试SASL认证是否生效。 需要详细检查每个步骤的具体实现,确保用户能够按照指导顺利部署。</think>### 在Kubernetes上部署带SASL认证Kafka单机版(2.7.2) #### 1. **创建Kafka配置文件和SASL认证信息** 首先通过Kubernetes **Secret** 存储SASL认证的用户名和密码,避免明文暴露敏感信息: ```yaml # kafka-secret.yaml apiVersion: v1 kind: Secret metadata: name: kafka-sasl-secret type: Opaque data: kafka-jaas.conf: | KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin-secret" user_admin="admin-secret"; }; server.properties: | listeners=SASL_PLAINTEXT://:9092 advertised.listeners=SASL_PLAINTEXT://${HOST_IP}:9092 security.inter.broker.protocol=SASL_PLAINTEXT sasl.mechanism.inter.broker.protocol=PLAIN sasl.enabled.mechanisms=PLAIN ``` #### 2. **编写Kubernetes Deployment配置** 通过环境变量注入配置参数,并挂载Secret到容器内指定路径: ```yaml # kafka-deployment.yaml apiVersion: apps/v1 kind: Deployment metadata: name: kafka spec: replicas: 1 selector: matchLabels: app: kafka template: metadata: labels: app: kafka spec: containers: - name: kafka image: bitnami/kafka:2.7.2 env: - name: KAFKA_CFG_LISTENER_SECURITY_PROTOCOL_MAP value: "SASL_PLAINTEXT:SASL_PLAINTEXT" - name: KAFKA_CFG_LISTENERS value: "SASL_PLAINTEXT://:9092" - name: KAFKA_CFG_ADVERTISED_LISTENERS value: "SASL_PLAINTEXT://$(HOST_IP):9092" - name: HOST_IP valueFrom: fieldRef: fieldPath: status.podIP volumeMounts: - name: kafka-secret mountPath: /opt/bitnami/kafka/config/kafka_jaas.conf subPath: kafka-jaas.conf volumes: - name: kafka-secret secret: secretName: kafka-sasl-secret ``` #### 3. **创建Service暴露Kafka服务** ```yaml # kafka-service.yaml apiVersion: v1 kind: Service metadata: name: kafka spec: selector: app: kafka ports: - port: 9092 targetPort: 9092 ``` #### 4. **部署与验证** 1. 执行命令部署资源: ```bash kubectl apply -f kafka-secret.yaml kubectl apply -f kafka-deployment.yaml kubectl apply -f kafka-service.yaml ``` 2. 验证Pod状态: ```bash kubectl get pods -l app=kafka ``` 3. 测试SASL认证(需进入Pod执行): ```bash kubectl exec -it <kafka-pod-name> -- bash # 生产消息(使用SASL配置kafka-console-producer --broker-list localhost:9092 --topic test --producer.config /opt/bitnami/kafka/config/producer.properties # 消费消息 kafka-console-consumer --bootstrap-server localhost:9092 --topic test --consumer.config /opt/bitnami/kafka/config/consumer.properties ``` #### 关键配置说明 - **SASL机制**:使用`PLAIN`认证,需在`server.properties`中明确协议和机制[^1]。 - **环境变量**:通过`HOST_IP`动态获取Pod IP,确保`advertised.listeners`正确指向。 - **Secret挂载**:将JAAS配置文件挂载到Kafka容器内指定路径,避免硬编码敏感信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值