zookeeper、kakfa添加用户加密

最新推荐文章于 2025-03-03 13:20:41 发布
最新推荐文章于 2025-03-03 13:20:41 发布
阅读量1.9k 收藏 10
点赞数 4
分类专栏: 后端 文章标签: zookeeper 分布式 云原生 kafka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43964408/article/details/139587040
版权

背景

zookeeper无权限访问到根目录

步骤

  1. 在kafka/config 目录中创建

    vi config/zookeeper_jaas.conf

  2. 在zookeeper_jaas.conf中添加

    Server {
org.apache.kafka.common.security.plain.PlainLoginModule required
username="admin"
password="12345"
user_admin="12345";
};
#user_{username}="{password}"

  3. zookeeper.properties最后添加配置

    #auth
authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000

  4. 在zookeeper-server-start.sh中添加配置

    根据不同的目录位置进行修改-Djava.security.auth.login.config=/opt/kafka_2.13-3.5.1/config/zookeeper_jaas.conf

    if [ "x$KAFKA_HEAP_OPTS" = "x" ]; then
    export KAFKA_HEAP_OPTS="-Xmx512M -Xms512M -Djava.security.auth.login.config=/opt/kafka_2.13-3.5.1/config/zookeeper_jaas.conf"
fi

  5. 启动zookeeper

    ./zookeeper-server-start.sh -daemon ../config/zookeeper.properties

  6. 下面开始设置ACL配置

    1. 登录zookeeper192.168.6.42:2181IP地址根据自己的进行调整

      ./zookeeper-shell.sh 192.168.6.42:2181

    2. 添加用户

      addauth digest admin:12345
addauth digest kafka:12345

    3. 设置ACLip:192.168.6.42:cdrwa根据自己的ip地址进行修改

      setAcl / ip:192.168.4.235:cdrwa,ip:127.0.0.1:cdrwa,auth:kafka:cdrwa,auth:admin:cdrwa
setAcl /consumers ip:192.168.4.235:cdrwa,ip:127.0.0.1:cdrwa,auth:kafka:cdrwa,auth:admin:cdrwa

      cdrwa:

        create: 你可以创建子节点。

        read: 你可以获取节点数据以及当前节点的子节点列表。

        write: 你可以为节点设置数据。

        delete: 你可以删除子节点。

        admin: 可以为节点设置权限

    4. 查看是否配置正确

      getAcl /
getAcl /consumers

  7. 添加kafka的配置

    vim config/kafka_server_jaas.conf

  8. 添加内容

    KafkaServer {
  org.apache.kafka.common.security.plain.PlainLoginModule required
  username="admin"
  password="12345"
  user_admin="12345";
};

Client {
  org.apache.kafka.common.security.plain.PlainLoginModule required
  username="admin"
  password="12345";
};

  9. 修改config/server.properties

    # AUTH

security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN

authorizer.class.name=kafka.security.authorizer.AclAuthorizer
allow.everyone.if.no.acl.found=true
listeners=SASL_PLAINTEXT://0.0.0.0:9092
advertised.listeners=SASL_PLAINTEXT://:9092

#将zookeeper.connect改成zookeeper的地址
zookeeper.connect=192.168.6.42:2181

  10. 调整kafka的启动脚本 kafka-server-start.sh-Djava.security.auth.login.config=/opt/kafka_2.13-3.5.1/config/kafka_server_jaas.conf根据自己的地址进行配置

    if [ "x$KAFKA_HEAP_OPTS" = "x" ]; then
    export KAFKA_HEAP_OPTS="-Xmx1G -Xms1G -Djava.security.auth.login.config=/opt/kafka_2.13-3.5.1/config/kafka_server_jaas.conf"
fi

  11. 启动kafka

    ./kafka-server-start.sh -daemon ../config/server.properti

  12. 测试

    进入kafka目录,在config目录下创建kafka_client_jaas.conf文件,并写入如下内容。

    KafkaClient {  
org.apache.kafka.common.security.plain.PlainLoginModule required  
    username="admin"  
    password="admin";  
};

  13. 配置提供者认证,修改提供者启动脚本,vi bin/kafka-console-producer.sh

    if [ "x$KAFKA_HEAP_OPTS" = "x" ]; then
    export KAFKA_HEAP_OPTS="-Xmx512M -Djava.security.auth.login.config=/opt/kafka_2.13-3.5.1/config/kafka_client_jaas.conf"
fi
exec $(dirname $0)/kafka-run-class.sh kafka.tools.ConsoleProducer "$@"

  14. 启动消费者

    ./kafka-console-producer.sh --broker-list 192.168.4.235:9092 --topic testTopic --producer-property security.protocol=SASL_PLAINTEXT --producer-property sasl.mechanism=PLAIN

  15. 配置消费者认证,修改提供者启动脚本,vi bin/kafka-console-consumer.sh

    if [ "x$KAFKA_HEAP_OPTS" = "x" ]; then
    export KAFKA_HEAP_OPTS="-Xmx512M -Djava.security.auth.login.config=/opt/kafka_2.13-3.5.1/config/kafka_client_jaas.conf"
fi

exec $(dirname $0)/kafka-run-class.sh kafka.tools.ConsoleConsumer "$@"

  16. 启动消费者

    ./kafka-console-consumer.sh --bootstrap-server 192.168.4.235:9092 --topic testTopic --from-beginning --consumer-property security.protocol=SASL_PLAINTEXT --consumer-property sasl.mechanism=PLAIN

    有消息输出即为成功

  17. springboot的配置

    spring:
  kafka:
    # docker http://192.168.2.202:8080
    bootstrap-servers: http://192.168.6.42:9092
    # 配置用户名密码
    producer:
      properties:
        sasl:
            mechanism: PLAIN
        security:
            protocol: SASL_PLAINTEXT
    consumer:
      properties:
        sasl:
            mechanism: PLAIN
        security:
            protocol: SASL_PLAINTEXT

  18. 在相关的kafkaConfig中增加相关配置

       @Bean
    public KafkaTemplate kafkaTemplate() {

        Map<String, Object> configs = new HashMap<>();
        configs.put(ProducerConfig.BOOTSTRAP_SERVERS_CONFIG, bootstrap_servers_config);
        configs.put(ProducerConfig.RETRIES_CONFIG, pro_retry_config);
        configs.put(ProducerConfig.BATCH_SIZE_CONFIG, batch_size_config);
        configs.put(ProducerConfig.ACKS_CONFIG, acks_config);
        configs.put(ProducerConfig.LINGER_MS_CONFIG, linger_ms_config);
        configs.put(ProducerConfig.BUFFER_MEMORY_CONFIG, buffer_memory_config);
        configs.put(ProducerConfig.KEY_SERIALIZER_CLASS_CONFIG,key_serializer_config);
        configs.put(ProducerConfig.VALUE_SERIALIZER_CLASS_CONFIG,value_serializer_config);
        configs.put(ProducerConfig.COMPRESSION_TYPE_CONFIG, compression_type_config);

        if (Boolean.valueOf(auth_enabled)) {
            configs.put(CommonClientConfigs.SECURITY_PROTOCOL_CONFIG, SecurityProtocol.SASL_PLAINTEXT.name());
            configs.put(SaslConfigs.SASL_MECHANISM, sasl_mechanism);
        }
        DefaultKafkaProducerFactory  producerFactory = new DefaultKafkaProducerFactory(configs);
        return new KafkaTemplate(producerFactory);
    }

  19. 最后在启动脚本中新增一个配置

-Djava.security.auth.login.config=客户端登录文件所在的位置
#eg:
-Djava.security.auth.login.config=/opt/kafka/config/kafka_client_jaas.conf
zookeeper设置密码_Zookeeper详细教程、分布式协调服务原理
weixin_29670781的博客
01-26 1万+
Zookeeper分布式服务框架是Apache Hadoop的一个子项目,主要为分布式系统提供协调服务以及一些数据管理问题,如命名服务、集群管理、分布式应用配置等。zookeeper可以将简单易用的接口和高效稳定的系统提供给用户。在大型网站中,zookeeper一直占据着重要地位,主要功能如下:zookeeper是为别的分布式程序服务的Zookeeper本身就是一个分布式程序(只要有半数以上节点存...
zookeeper+kafka消息队列群集部署
weixin_73188318的博客
07-15 1889
基本概念ZooKeeper是一个开源的分布式协调服务,由Apache软件基金会开发。它主要用于维护配置信息、命名、提供分布式同步和提供组服务等。主要特点原子性:ZooKeeper的更新操作是原子的,即要么成功,要么失败,不会出现部分成功的情况。持久性:一旦数据被创建,它就会一直存在,直到被显式地删除。顺序性:ZooKeeper为每一个更新操作提供一个唯一的时间戳(ZXID),从而保证了操作的顺序性。架构ZooKeeper的架构包括客户端(Client)和服务器(Server)两部分。
zookeeper增加权限登录验证
11-19
针对zookeeper的安全漏洞,增加了对访问ip地址的限制。
(十五) 5分钟搞懂 : Zookeeper 的详细安装,使用及注意事项
最新发布
m0_61361390的博客
03-03 1152
zookeeper的安装,使用和注意事项
zookeeper设置密码
ciqingloveless的博客
07-15 3575
自用zookeeper添加密码
zookeeper - 添加/ 密码
vbaspdelphi的专栏
04-06 1万+
command lines# 先把密码addauth,这个实际上是用于验证的,不知道为啥, 打就打上吧 addauth digest machtalk:Kr5w5aopF3RSTesZ}# 添加密码,这个实际上无需对密码进行过多处理 setAcl / auth:zookeeper:Kr5w5aopF3RSTesZ}:rwadc
SpringCloud Zookeeper 配置用户名密码 源码分析
Return_Code的专栏
09-07 4025
SpringCloud Zookeeper 配置用户名密码
[zookeeper] SASL(Simple Authentication and Security Layer) 用户名密码认证配置
FaceFullofConfused的博客
07-12 6694
使用zookeeper zkCli.sh 连接 zookeeper服务时,默认裸连,晓得ip与端口之后即可连接zookeeper服务,本文使用SASL 用户名密码配置服务端与客户端,在zkCli连接前,服务端配置xxxjaas.conf保存用户名密码,客户端(也就是zkCli或者各种语言的sdk)连接时同样也需要xxxjaas.conf文件来进行认证。
docker-compose搭建zookeeper+kafka集群
2301_81023618的博客
04-09 1118
2. 规划zk和kafka的IP地址。三、创建zookeeper集群。1. 规划一个集群使用的子网。1. 创建zk.yaml文件。
kafka2.4.0+zookeeper+kafka-connect集成环境包
03-18
标题中的“kafka2.4.0+zookeeper+kafka-connect集成环境包”指的是一个包含了Apache Kafka 2.4.0版本、ZooKeeper以及Kafka Connect的完整集成环境。这个安装包是为了方便用户一次性安装和配置这三个关键组件,用于...
Kafka集群多用户访问权限分治和消息共享配置指导
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
04-24 3205
这明显在生产环境,这种认证方式时不符合实际业务场景的。allow.everyone.if.no.acl.found=true #false的话就只能超级用户才能访问资源,true的话其他也可以,如果用户读写一个 Topic,但是没有配置 ACL 权限,客户端会报认证失败错误。现场业务由于多厂商集成,共享数据需要,需对接当前kafka集群,为做到类似租户隔离的功能,需要开启kafka的权限控制和动态用户管理功能,实现不同厂商访问被授权的合法资源,消费者账号只能消费数据,生产者账号只能生产数据。
kerberos服务搭建,zookeeperkafka使用kerberos
lyflyyvip的博客
01-03 2954
1. centos安装kerberos 下载安装kerberos yum install krb5-libs krb5-server krb5-workstation krb5-libs 安装成功后etc下应该有krb5.conf文件,编辑该文件vi /etc/krb5.conf # Configuration snippets may be placed in this directo...
Zookeeper的安全认证与加密
AI天才研究院
01-18 1378
1.背景介绍 Zookeeper是一个开源的分布式协调服务,用于构建分布式应用程序的基础设施。它提供了一种可靠的、高性能的、分布式的协调服务,以实现分布式应用程序的一致性。Zookeeper的安全认证和加密是确保分布式应用程序的安全性和数据完整性的关键部分。 在本文中,我们将讨论Zookeeper的安全认证与加密,包括其核心概念、算法原理、具体操作步骤、数学模型公式、代码实例以及未来发展趋势与...
zookeeper服务注册中心 设置连接时的账号密码策略
梦里蓝天
07-31 1万+
启动Zookeeper服务 本示例是在window环境下的,安装配置非常简单,下载zookeeper安装包后只要是复制con文件下zoo.cfg重命名为zoo_sample.cfg即可启动 启动Zookeeper客户端 如果在dubbo中没有指定分组的话,dubbo会默认生成一个分组dubbo,也就是在zookeeper下面会有个子节点dubbo也可以自己手动创建 create /dubbo 我这里已经创建过,所以提示dubbo已经存在。 添加用户名和密码 addauth digest test:t
ZooKeeper设置ACL权限控制
热门推荐
专注技术交流、咨询
12-19 1万+
ZK的节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写) 注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限 身份的认证有4种方式: world:默认方式,相当于全世界都能访问 auth:代表已经认证通过的用户(cli中可以通
zookeeper的 目录加密
weixin_33830216的博客
08-19 517
import org.apache.zookeeper.CreateMode;import org.apache.zookeeper.WatchedEvent;import org.apache.zookeeper.Watcher;import org.apache.zookeeper.ZooDefs.Ids;import org.apache.zookeeper.ZooKeeper; publ...
zookeeper 集群配置文件中增加账号认证
网络战争的博客
01-18 1551
4. 设置环境变量:在每个Zookeeper服务器上设置环境变量,指定`ZOO_OPTS`为`-Djava.security.auth.login.config=zoo_jaas.conf`。该文件将用于配置Zookeeper的权限设置。3. 创建一个JAAS登录文件:在`zoo.cfg`文件同级目录下创建一个命名为`zoo_jaas.conf`的文件,用于存储Zookeeper的登录凭据。其中,`Server`是一个标识符,`user_admin`是用户名,`adminpassword`是密码。
marathon和mesos的zookeeper数据加密和验证
weixin_33813128的博客
02-15 375
2019独角兽企业重金招聘Python工程师标准>>> ...
Zookeeper的数据加密策略
AI天才研究院
01-25 833
1.背景介绍 1. 背景介绍 Zookeeper是一个开源的分布式协调服务,用于构建分布式应用程序的基础设施。它提供了一种可靠的、高性能的协调服务,以解决分布式系统中的一些常见问题,如集群管理、配置管理、负载均衡等。 在分布式系统中,数据的安全性和隐私性是非常重要的。因此,Zookeeper需要一种有效的数据加密策略来保护数据的安全性。本文将深入探讨Zookeeper的数据加密策略,涉及到的...
ZookeeperKafka集群搭建详解及安装包指南
除了基本的集群搭建之外,还需要考虑到安全性设置,包括Kafka的身份验证、授权以及SSL/TLS加密通信,确保数据在传输过程中的安全性。 11. ZooKeeper集群的运维: ZooKeeper作为Kafka集群协调的关键组件,其自身的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值