Kafka安全认证机制详解之SASL_PLAIN

已于 2024-01-02 17:20:57 修改
阅读量3.7k 收藏 16
点赞数 11
分类专栏: 大数据 Kafka 文章标签: kafka 安全 分布式
于 2024-01-02 17:18:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43929753/article/details/135345631
版权

一、概述

官方文档:
https://kafka.apache.org/documentation/#security
在官方文档中,kafka有五种加密认证方式,分别如下:

  • SSL:用于测试环境
  • SASL/GSSAPI (Kerberos) :使用kerberos认证,密码是加密的,也是当前企业中使用最多的,最小支持版本0.9
  • SASL/PLAIN :使用简单用户名和密码形式,生产环境中一般不使用,主要用于测试,最小支持版本0.10
  • SASL/SCRAM:主要解决PLAIN动态更新问题以及安全机制,最小支持版本0.10.2
  • SASL/OAUTHBEARER:基于OAuth2认证框架,最小支持版本2.0

几种认证方式的详细比较

  • SASL/GSSAPI 主要是给 Kerberos 使用的。GSSAPI 适用于本身已经做了 Kerberos 认证的场景,这样的话,SASL/GSSAPI 可以实现无缝集成。
  • SASL/PLAIN 是一个简单的用户名 / 密码认证机制,通常与 SSL 加密搭配使用。对于一些小公司而言,搭建公司级的 Kerberos 可能并没有什么必要,他们的用户系统也不复杂,特别是访问 Kafka 集群的用户可能不是很多。对于 SASL/PLAIN 而言,这就是一个非常合适的应用场景。总体来说,SASL/PLAIN 的配置和运维成本相对较小,适合于小型公司中的 Kafka 集群。SASL/PLAIN 有这样一个弊端:它不能动态地增减认证用户,必须重启 Kafka 集群才能令变更生效。因为所有认证用户信息全部保存在静态文件中,所以只能重启 Broker,才能重新加载变更后的静态文件。
  • SASL/SCRAM 通过将认证用户信息保存在 ZooKeeper 的方式,避免了动态修改需要重启 Broker 的弊端。在实际使用过程中,可以使用 Kafka 提供的命令动态地创建和删除用户,无需重启整个集群。因此,如果打算使用 SASL/PLAIN,不妨改用 SASL/SCRAM 试试。不过要注意的是,后者是 0.10.2 版本引入的。
  • SASL/OAUTHBEARER 是 2.0 版本引入的新认证机制,主要是为了实现与 OAuth 2 框架的集成。 Kafka 不提倡单纯使用 OAUTHBEARER,因为它生成的不安全的 JSON Web Token,必须配以 SSL 加密才能用在生产环境中。
  • Delegation Token 是在 1.1 版本引入的,它是一种轻量级的认证机制,主要目的是补充现有的 SASL 或 SSL 认证。 如果要使用 Delegation Token,需要先配置好 SASL 认证,然后再利用 Kafka 提供的 API 去获取对应的 Delegation Token。这样,Broker 和客户端在做认证的时候,可以直接使用这个 token,不用每次都去 KDC 获取对应的 ticket(Kerberos 认证)或传输 Keystore 文件(SSL 认证)。

二、SASL/PLAIN

SASL/PLAIN是基于用户名密码的认证方式,是比较常用的一种认证,通常与TLS一起用于加密以实现安全认证。

增加kafka配置

vim /opt/kafka_2.13-2.6.0/config/server.properties

# 增加以下配置,每台节点都要配置
listeners=SASL_PLAINTEXT://host.name:port
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN

# 分发配置,需要注意用户名和路径
scp /opt/kafka_2.13-2.6.0/config/server.properties root@kafka2-73085:/opt/kafka_2.13-2.6.0/config/

scp /opt/kafka_2.13-2.6.0/config/server.properties root@kafka3-73085:/opt/kafka_2.13-2.6.0/config/

增加kafka的权限配置信息

# 编辑配置文件
vim /opt/kafka_2.13-2.6.0/config/kafka_server_jaas.conf

# 增加以下配置
# 增加了两个用户 admin用户和tly用户,配置文件中间不能有注释
KafkaServer {
     org.apache.kafka.common.security.plain.PlainLoginModule required
     username="admin"
     password="123456"
     user_admin="123456"
     user_tly="123456";
 };

# 分发配置文件
scp kafka_server_jaas.conf root@kafka2-73085:/opt/kafka_2.13-2.6.0/config/

scp kafka_server_jaas.conf root@kafka3-73085:/opt/kafka_2.13-2.6.0/config/

上面配置是新增了两个用户,admin和tly,这两个用户都是普通用户,KafkaServer中的username、password配置的用户和密码,是用来broker和broker连接认证。在本例中,admin是代理broker间通信的用户。user_userName配置为连接到broker的所有用户定义密码,broker使用这些验证所有客户端连接,包括来自其他broker的连接。

将JAAS位置作为JVM参数传递给broker

# 编辑 kafka-run-class.sh
vim /opt/kafka_2.13-2.6.0/bin/kafka-run-class.sh

# 更改第219行
export KAFKA_OPTS="-Djava.security.auth.login.config=/opt/kafka_2.13-2.6.0/config/kafka_server_jaas.conf"

# 分发脚本
scp kafka-run-class.sh root@kafka2-73085:/opt/kafka_2.13-2.6.0/bin/kafka-run-class.sh       
scp kafka-run-class.sh root@kafka2-73085:/opt/kafka_2.13-2.6.0/bin/kafka-run-class.sh

启动kafka集群

kafka-server-start.sh -daemon /opt/kafka_2.13-2.6.0/config/server.properties

这个时候集群启动完毕已经带有权限

客户端连接

查看topic列表

kafka-topics.sh --bootstrap-server kafka1-73085:9092 --list

迟迟不出结果,卡住了,实际上是没有权限
image.png
查看日志如下:
image.png

配置权限信息

# 编辑权限文件
vim /root/auth.conf

# 输入如下内容
security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="tly" password="123456";

username和password必须是kafka_server_jaas.conf中配置的。

使用带账号密码配置文件连接

kafka-topics.sh --bootstrap-server kafka1-73085:9092 --list --command-config /root/auth.conf

已经可以正常返回了,说明有权限认证通过了:
image.png

创建topic

kafka-topics.sh --bootstrap-server kafka1-73085:9092 --create --topic topic_1 --partitions 3 --replication-factor 3 --command-config /root/auth.conf

生产消息

kafka-console-producer.sh  --bootstrap-server \
kafka1-73085:9092 --topic topic_1 --producer.config /root/auth.conf

消费消息

kafka-console-consumer.sh --bootstrap-server kafka1-73085:9092 \
--topic topic_1 --consumer.config /root/auth.conf

权限配置

# 修改server.properties 增加如下配置
# 指定通过ACL来控制权限
authorizer.class.name=kafka.security.authorizer.AclAuthorizer

# 指定超级管理员
super.users=User:admin

使用权限配置并且超级用户是admin,这个用户和我们上面配置的列表中的admin用户相互映射,每个机器都需要配置然后重启所有节点

# 配置用户认证文件信息
vim /root/admin.conf
# 输入如下内容
security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="123456";

# 重启所有节点,每个节点都要执行
# 停止节点
kafka-server-stop.sh

# 启动节点
kafka-server-start.sh -daemon /opt/kafka_2.13-2.6.0/config/server.properties

此时每个节点都有了权限认证

# 配置用户认证文件
vim /root/admin.conf

# 输入以下内容
security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="123456";

创建topic

这个时候使用auth.conf已经不能创建topic了,使用admin.conf可以创建,因为admin账号和配置的超级管理员一致;而auth.conf配置的是tly账号;

kafka-topics.sh --bootstrap-server kafka1-73085:9092 --create --topic topic_2 --partitions 3 --replication-factor 3 --command-conf /root/auth.conf

image.png
不使用认证创建会一直卡主不动,其实也是没权限的,时间久了就会报timeout异常

kafka-topics.sh --bootstrap-server kafka1-73085:9092 --create --topic topic_3 --partitions 3 --replication-factor 3

image.png

kafka-acls控制权限

命令为:kafka-acls.sh
参数如下:

  • –add 增加权限 --remove 删除权限
  • –allow-host 允许操作的主机 --deny-host 拒绝的主机
  • –allow-principal 允许操作的用户 --deny-principal 拒绝用户
  • –bootstrap-server 集群地址
  • –command-config 认证文件信息
  • –group 可以消费topic的消费者组
  • –list 查询所有权限
  • –operation 增加操作权限
    • describe
    • describeConfigs
    • alter
    • read
    • delete
    • create
    • all
    • write
    • alterconfig
  • –topic 指定topic
查询topic所有权限
kafka-acls.sh --bootstrap-server kafka1-73085:9092 --list  --command-config /root/admin.conf
删除所有权限
kafka-acls.sh --bootstrap-server  kafka1-73085:9092 --topic topic_1 --remove  --command-config /root/admin.conf
给用户增加权限

给之前的用户tly授权

kafka-acls.sh --bootstrap-server  kafka1-73085:9092  --add --allow-principal User:tly --topic topic_1 --operation all --command-config /root/admin.conf

使用tly用户查看当前topic

kafka-topics.sh --bootstrap-server kafka1-73085:9092  --list --command-config /root/auth.conf
回收权限
kafka-acls.sh --bootstrap-server kafka1-73085:9092 --remove --allow-principal user:tly --topic topic_1 --operation all --command-config /root/admin.conf
增加权限并且增加IP限制
kafka-acls.sh --bootstrap-server kafka1-73085:9092 --add  --deny-principal User:tly --topic topic_1 --operation all --deny-host 127.0.0.1 --command-config admin.conf
生产者和消费者的权限设置
# 删除所有权限信息
kafka-acls.sh --bootstrap-server kafka1-73085:9092  --topic topic_1 --remove --command-config /root/admin.conf

# 添加生产者权限
kafka-acls.sh --bootstrap-server kafka1-73085:9092 --add --allow-principal User:tly --operation Write --topic topic_1 --command-config /root/admin.conf

# 添加消费权限
kafka-acls.sh --bootstrap-server kafka1-73085:9092 --add --allow-principal User:tly --operation Read --topic topic_1 --command-config /root/admin.conf

# 消费消息
kafka-console-consumer.sh --bootstrap-server kafka1-73085:9092 --topic topic_1 --from-beginning --consumer.config /root/auth.conf

# 发现消费不到,原因是消费者组没有权限
# 增加消费者组权限
kafka-acls.sh --bootstrap-server kafka1-73085:9092 --add --allow-principal User:tly --operation Read --topic topic_1 --group group_1 --command-config /root/admin.conf

# 再次执行消费消息命令并增加分组信息即可以消费到数据
kafka-console-consumer.sh --bootstrap-server kafka1-73085:9092 --topic topic_1 --from-beginning --consumer.config /root/auth.conf --group group_1
kafka安装部署-前面部分
wt6002的博客
09-03 456
step 1: 下载代码 你可以登录Apache kafka 官方下载。http://kafka.apache.org/downloads.html 下载和自己系统匹配的 Step 2: 启动服务 运行kafka需要使用Zookeeper,所以你需要先启动Zookeeper,如果你没有Zookeeper,你可以使用kafka自带打包和配置好的Zookeeper(PS:在kafka包里)。 在和kafka一个目录bin文件夹下面; //这是前台启动,启动以后,当前就无法进行其他操作(不推.
kafka安全认证与授权(SASL-PLAIN
wangluoanquan111的博客
02-22 2976
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。在每个Kafka broker的配置目录中添加一个经过适当修改的JAAS文件,类似于下面的文件,在本例中,我们将其称为kafka_server_jaas.conf。R匹配,则R没有关联的acl,因此除了超级用户之外,任何人都不允许访问R。
Kafka安全认证技术:SASL/SCRAM-ACL方案详解
虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
04-18 1072
Kafka安全认证技术:SASL/SCRAM-ACL方案详解
Kafka Security Mechanism (SASL/PLAIN)
张伟的专栏
11-10 2392
Bharat Viswanadham Published on April 10, 2017 / Updated on June 7, 2017 1 Starting from Kafka 0.10.x Kafka Broker supports username/password authentication. This
kafka安全认证与授权(SASL/PLAIN
u011618288的博客
02-09 8943
快速搭建kafka SASL+ACL实现安全认证、授权 kafka SASL/PLAIN
Kafka安全认证机制详解SASL_PLAIN_kafka sasl认证
2401_84264630的博客
04-26 1444
这个时候使用auth.conf已经不能创建topic了,使用admin.conf可以创建,因为admin账号和配置的超级管理员一致;而auth.conf配置的是tly账号;使用权限配置并且超级用户是admin,这个用户和我们上面配置的列表中的admin用户相互映射,每个机器都需要配置然后重启所有节点。不使用认证创建会一直卡主不动,其实也是没权限的,时间久了就会报timeout异常。命令为:kafka-acls.sh。使用tly用户查看当前topic。此时每个节点都有了权限认证。给之前的用户tly授权。
Kafka安全认证机制详解SASL_PLAIN_kafka sasl认证(1)
2401_84253850的博客
04-28 1018
上面配置是新增了两个用户,admin和tly,这两个用户都是普通用户,KafkaServer中的username、password配置的用户和密码,是用来broker和broker连接认证。在本例中,admin是代理broker间通信的用户。这个时候使用auth.conf已经不能创建topic了,使用admin.conf可以创建,因为admin账号和配置的超级管理员一致;使用权限配置并且超级用户是admin,这个用户和我们上面配置的列表中的admin用户相互映射,每个机器都需要配置然后重启所有节点。
Kafka安全认证机制详解SASL_PLAIN_kafka sasl认证,7年老网络安全一次操蛋的面试经历
m0_60732644的博客
04-05 2112
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Kafka安全认证机制详解SASL_PLAIN_kafka sasl认证,2024年最新2024疫情期间八家大厂的网络安全面试经历和真题整理
2301_78416732的博客
04-13 668
【代码】Kafka安全认证机制详解SASL_PLAIN_kafka sasl认证,2024年最新2024疫情期间八家大厂的网络安全面试经历和真题整理。
Kafka部署全攻略——基于SSL的SASL_PLAIN安全认证实现
bbsxb520的博客
06-28 315
基于SSL的SASL_PLAIN安全认证实现
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:9092 116.155.153.185:19092 192.168.1.157:2181 KAFKA02 192.168.1.158:9092 116.155.153.185:29092 192.168.1.157:2181 KAFKA03 192
kafka配置SASL/PLAIN 安全认证
weixin_44280356的博客
08-29 2711
由上一步可发现,认证方式使用的是Kafka认证类org.apache.kafka.common.security.plain.PlainLoginModule。网上的说法是 Client,是kafka作为用户使用zk的认证信息,这里的username和password一定要和zk_server_jaas.conf的配置对的上。user_kafka=“kafkapasswd"定义了一个用户"kafka”,密码是"kafkapasswd",本次测试用户是kafka broker。在zkEnv.sh添加。
Kafka SASL/PLAIN认证模式
虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
10-09 2009
Kafka Kraft模式SASL认证
Kafka 开启 SASL/PLAINTEXT 认证及 ACL
我吃柠檬的博客
07-06 5267
Linux 安装 Kafka 并开启 SASL/PLAINTEXT 认证
Kafka配置SASL认证
Healer_银尘的博客
07-12 1615
在本博客中我们使用SASL/PLAIN的方式来进行Kafka加密。
Kafka安全认证 SASL/PLAINTEXT,账号密码认证
weixin_43564627的博客
07-01 2596
Kafka安全认证 SASL/PLAINTEXT,账号密码认证 一.背景 kafka提供了多种安全认证机制,主要分为SSL和SASL2大类。其中SASL/PLAIN是基于账号密码的认证方式,比较常用。最近做了个kafka的鉴权,发现官网上讲的不是很清楚,网上各种博客倒是很多,但是良莠不齐,巨多坑。经过一天的研究,终于搞定了,特在此记录下。 一、Zookeeper集群配置SASL zookeeper所有节点都是对等的,只是各个节点角色可能不相同。以下步骤所有的节点配置相同。 1、zoo.cfg文件配置 为zo
Kafka安全认证:使用SASL/PLAINTEXT进行账号密码认证
LmzActionscript的博客
09-20 809
本文将介绍如何配置和使用SASL/PLAINTEXT认证机制,并提供相应的源代码示例。通过以上配置和代码示例,您可以在Kafka中启用SASL/PLAINTEXT认证,并使用账号密码进行安全认证。首先,需要在Kafka服务器上进行配置,以启用SASL/PLAINTEXT认证。现在可以使用配置好的Kafka客户端创建生产者和消费者来进行数据的发送和接收。在上述代码中,首先创建了一个生产者,设置了相关的配置项,包括。请注意,上述代码中的用户名和密码需要替换为实际的有效值。参数指定了认证的用户名和密码,需要将。
kafka配置SASL(简单认证安全安全认证
wangzhicheng2013的专栏
08-24 2716
1.增加kafka_server_jaas.conf 进入kafka的配置目录config: vim kafka_server_jaas.conf #增加如下内容: KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="kafka" password="kafka#secret" user_kafka="kafka#secret" ...
SASL_PLAINTEXT是什么
最新发布
04-28
<think>好的,我现在需要帮助用户理解Kafka中的SASL_PLAINTEXT模式的含义、原理和使用场景。根据用户提供的引用内容,我需要整合这些信息,并结合之前的回答,给出一个清晰的解释。 首先,用户的问题是关于SASL_PLAINTEXT在Kafka中的含义、原理和使用场景。用户之前遇到了Kafka Producer构建失败的问题,现在想深入理解其中涉及的安全认证机制。 根据引用中的内容,多个引用提到了SASL_PLAINTEXT的配置,比如引用1和4提到了使用PlainLoginModule配置用户名和密码,引用2和3涉及ZooKeeper和KafkaSASL配置。这说明SASL_PLAINTEXT主要用于身份验证,并且通常与PLAIN机制结合使用,可能是在非加密的通道上进行认证。 接下来需要确定SASL_PLAINTEXT的原理。SASL是负责认证的框架,而PLAINTEXT指的是传输层不使用SSL加密。因此,SASL_PLAINTEXT应该是在不加密的连接上使用SASL进行认证,比如使用明文传输用户名和密码。但根据引用中的配置,比如使用PlainLoginModule,可能PLAIN机制在这里是Base64编码的,但仍然是明文传输,所以安全性较低,适合内部网络环境。 使用场景方面,用户提供的引用中有Docker Compose配置、ZooKeeper集成等,可能适用于测试环境或内部受信任的网络,不需要高强度的加密,但需要基本的认证。比如引用3提到在docker-compose中配置SASL_PLAINTEXT,可能用于开发或测试环境的快速搭建。 需要区分SASL_PLAINTEXT和SASL_SSL的区别,前者没有加密,后者使用SSL/TLS加密通道。同时,需要提到PLAIN机制的具体实现,比如如何配置JAAS文件,以及相关的安全风险。 另外,用户之前的回答中提到了SASL/SSL的配置,这里需要对比说明SASL_PLAINTEXT的不同之处,强调其适用场景和安全性考虑。可能还需要提到其他SASL机制,如SCRAM,但用户的问题主要集中在PLAINSASL_PLAINTEXT的组合上。 需要确保回答结构清晰,分点说明含义、工作原理、使用场景和配置示例,并给出安全建议。同时,根据用户提供的引用,引用中的配置示例可以作为配置步骤的一部分,比如JAAS文件的创建和Kafka broker的配置参数。 最后,生成的相关问题需要围绕用户可能进一步想知道的内容,比如配置步骤、与其他模式的对比、安全性提升方法等。</think>#### Kafka SASL_PLAINTEXT 模式详解 --- ### **一、基本含义** **SASL_PLAINTEXT** 是 Kafka 中基于 SASL(Simple Authentication and Security Layer)框架的认证协议,**通过明文传输身份凭证**(如用户名/密码)实现客户端与服务端的安全认证。其核心特点包括: 1. **SASL**:负责身份验证的通用框架,支持多种认证机制(如 `PLAIN`、`SCRAM`)。 2. **PLAINTEXT**:表示传输层**未启用 SSL/TLS 加密**,数据以明文形式传输[^1][^4]。 --- ### **二、工作原理** #### 1. **认证流程** - **客户端**:发送包含用户名和密码的认证请求(如 `PLAIN` 机制下直接明文传输凭证)。 - **服务端**:验证凭证的有效性(如检查 JAAS 配置文件中的用户列表)。 - **认证通过**:建立通信连接;**失败**则拒绝连接[^1][^4]。 #### 2. **PLAIN 机制实现** - **JAAS 配置文件**:定义合法用户及其密码,例如: ```properties KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin-secret" user_admin="admin-secret"; // 允许访问的用户列表 }; ``` - **客户端配置**:需与服务端 JAAS 文件中的用户名密码一致[^2][^3]。 #### 3. **协议交互** ```mermaid sequenceDiagram Client->>Kafka Broker: 发送SASL_PLAINTEXT连接请求 Kafka Broker->>Client: 要求提供身份凭证 Client->>Kafka Broker: 明文传输用户名/密码 Kafka Broker-->>JAAS配置: 校验凭证 alt 验证成功 Kafka Broker->>Client: 允许通信 else 验证失败 Kafka Broker->>Client: 断开连接 end ``` --- ### **三、使用场景** 1. **内部可信网络** 适用于**无需加密**但需基础认证的环境(如企业内网、开发测试环境)。 *示例*:开发团队通过 Docker Compose 快速搭建含认证Kafka 集群[^3]。 2. **与其他组件的集成** 需与 ZooKeeper 或其他服务共享认证配置时(如 `user_admin` 需在 Kafka 和 ZooKeeper 的 JAAS 文件中保持一致)[^2]。 3. **轻量级安全需求** 对性能敏感且安全性要求较低的场景(明文传输省去加密开销)。 --- ### **四、配置示例(Kafka Broker)** ```shell # 修改 server.properties security.inter.broker.protocol=SASL_PLAINTEXT sasl.mechanism.inter.broker.protocol=PLAIN sasl.enabled.mechanisms=PLAIN listeners=SASL_PLAINTEXT://:9092 ``` --- ### **五、与 SASL_SSL 对比** | 特性 | SASL_PLAINTEXT | SASL_SSL | |---------------------|----------------------|----------------------| | **传输加密** | ❌ 明文传输 | ✅ TLS/SSL 加密 | | **性能开销** | 低 | 较高(加解密计算) | | **适用场景** | 内部可信网络 | 公网或敏感数据环境 | --- ### **六、安全建议** 1. **仅限内部网络使用**:避免在公网暴露 SASL_PLAINTEXT 端口。 2. **定期更换密码**:防止凭证泄露导致未授权访问。 3. **结合 ACL 使用**:通过 Kafka ACL 细化权限控制(如 `kafka-acls.sh`)。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

4935同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值