kafka消息加密(SASL/PLAIN)

最新推荐文章于 2025-02-01 22:32:37 发布
最新推荐文章于 2025-02-01 22:32:37 发布
阅读量8.5k 收藏 4
点赞数 1
分类专栏: kafka 文章标签: kafka 消息加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhaoyu_nb/article/details/84324400
版权

kafka消息加密(SASL/PLAIN)

具体的配置方式官网已经说的很清楚了(尽量去官网看)
官网配置
分为以下几个步骤

  • 1、 在conf文件目录下添加文件kafka_server_jaas.conf(文件目录 文件名随意)内容如下
KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="admin-secret"
    user_admin="admin-secret"
    user_alice="alice-secret";
};

第一行 暂时不清楚干嘛
第二行 客户端连接的时候 可以使用这个用户名admin
最后两行的意思是 使用admin 密码得是 admin-secret 使用alice 密码得是alice-secret
至于如何扩展应该知道了

  • 2、 修改配置文件

一般启动命令后面 会指定配置文件 一般是server.properties 也可以自定义 我们以它为例
添加如下配置

 listeners=SASL_SSL(SASL_PLAINTEXT)://host.name:port
 security.inter.broker.protocol=SASL_SSL(SASL_PLAINTEXT)
 sasl.mechanism.inter.broker.protocol=PLAIN
 sasl.enabled.mechanisms=PLAIN

这里要将原来的 listeners改为上面的样子同时协议要保持一致

  • 3、 修改启动文件

win下和liunix会有些许不同 但是修改的文件的文件名都是一样的kafka-run-class
找到最下方(我的是win)

set COMMAND=%JAVA% %KAFKA_HEAP_OPTS% %KAFKA_JVM_PERFORMANCE_OPTS% %KAFKA_JMX_OPTS% %KAFKA_LOG4J_OPTS% -cp %CLASSPATH% %KAFKA_OPTS% %*
rem echo.
rem echo %COMMAND%
rem echo.
%COMMAND%

添加

set KAFKA_SASL_OPTS=-Djava.security.auth.login.config=D:/myprogram/kafka/config/kafka_server_jaas.conf
set后面的名字随便起
然后
set COMMAND=%JAVA% %KAFKA_HEAP_OPTS% %KAFKA_JVM_PERFORMANCE_OPTS% %KAFKA_JMX_OPTS% %KAFKA_LOG4J_OPTS% %KAFKA_SASL_OPTS% -cp %CLASSPATH% %KAFKA_OPTS% %*
在原来的COMMAND 里面把KAFKA_SASL_OPTS这个加进去 加到-cp的前面
上面的三步处理完 你的kafka服务就可以启动了

Java客户端配置

这边要做的就很少了 只要在配置文件里加上如下配置就可以了

 spring:
  kafka:
    bootstrap-servers: 127.0.0.1:9092
    consumer:
      group-id: tst-1
      auto-offset-reset: earliest
      properties:
        security.protocol: SASL_PLAINTEXT
        sasl.mechanism: PLAIN
        #sasl.jaas.config: org.apache.kafka.common.security.plain.PlainLoginModule required  username="admin"  password="admin-secret";
        sasl.jaas.config: org.apache.kafka.common.security.plain.PlainLoginModule required  username="alice" password="alice-secret";

对上面的配置进行简单的说明
group-id 这个在启用机密后 就必须配置了 不然会报错
@KafkaListener annotation; a group.id is required when group management is used.
这个我觉得应该是服务器要识别这个消费者吧 用id标识
security.protocol: SASL_PLAINTEXT
sasl.mechanism: PLAIN
上面的这两个要和服务器端使用的保持一致
最后的这个配置 sasl.jaas.config 后面的值一定要用分号结尾 另外这个值也可以保存到文件中 kafka.client.conf

KafkaClient {
 com.sun.security.auth.module.Krb5LoginModule required
 useKeyTab=true
 storeKey=true
 keyTab="/etc/security/keytabs/kafka_client.keytab"
 principal="kafka-client-1@EXAMPLE.COM";
};

然后在使用jvm参数
-Djava.security.auth.login.config=…/kafka.client.conf也是可以的

另外还有一条
同一个用户名和密码 可以在多个java客户端使用

Kafka消息加密:保护您的数据安全
CvhShell的博客
09-22 694
本文介绍了如何在Kafka中实现消息加密来保护数据安全。我们首先讨论了加密算法的选择,包括对称加密和非对称加密。然后,我们通过示例代码演示了在生产者端使用对称密钥对消息进行加密,并在消费者端对加密消息进行解密的过程。通过对Kafka消息加密,可以有效保护数据的机密性,防止未经授权的用户访问敏感信息。然而,加密并非万能之策,仍然需要综合考虑数据的完整性、鉴别性和可用性等方面的安全需求。希望本文对您理解Kafka消息加密有所帮助,如果您有任何疑问,请随时向我提问。
Kafka系列之:Apache Kafka端到端安全性,实现数据加密
zhengzaifeidelushang的博客
07-09 1421
Kafka系列之:Apache Kafka端到端安全性,实现数据加密
Kafka SASL/PLAIN介绍
王多鱼的梦想
02-01 1604
SASL/PLAIN是一种基于简单用户名和密码的身份验证方式,通常用于保护 Kafka 集群的访问安全。它是 Kafka 中的 SASL(Simple Authentication and Security Layer)认证机制之一。使用SASL/PLAIN时,客户端和服务器之间通过简单的明文用户名和密码进行身份验证。
Kafka身份验证:保护您的消息传递
LmzActionscript的博客
09-21 157
SASL(Simple Authentication and Security Layer)是一种通用的身份认证框架,Kafka支持基于SASL的身份认证机制。Kafka身份认证是一种验证客户端身份的过程,以确保只有经过授权的客户端才能与Kafka集群进行通信。Kafka身份认证是一种验证客户端身份的过程,以确保只有经过授权的客户端才能与Kafka集群进行通信。在上面的代码中,我们配置了Kafka生产者的安全属性,包括使用SSL/TLS协议进行通信、信任证书库和密钥库的位置和密码等。
kafka SSL加密 —— 筑梦之路
筑梦之路
05-14 690
kafka安全加固ssl传输加密
kafka使用ssl加密和认证
每个人都是一道菜。。。
04-28 4975
学习过kafka的人都知道,kafka的默认端口是9092,且消费kafka消息的命令也极其简单。现在随着kafka消息传输应用中使用的越来越广泛,那么生产环境中消息的保密性也变的重要了,所以生产环境使用ssl来认证kafka是比较必要的。 ...
Kafka配置SASL/PLAINTEXT安全认证
隐0士的博客
12-03 1738
Kafka 配置SASL_PLAINTEXT安全认证
centos7搭建单机kafka,开启SASL/PLAIN加密,并使用kafka tool 登录
qq_29365787的博客
03-19 1530
一、搭建单机kafka 1、安装kafka 下载地址:http://kafka.apache.org/downloads 复制代码 (1)cd /opt (2)wget http://mirror.bit.edu.cn/apache/kafka/2.3.0/kafka_2.11-2.3.0.tgz (3)tar zxvf kafka_2.11-2.3.0.tgz 复制代码 2、启动测试 (1)编辑...
flink连接加密kafkaSasl/Plain
qq_39890221的博客
03-17 3447
代码中添加以下配置: properties prop = new Properties(); prop.setProperty(“security.protocol”,“SASL_PLAINTEXT”); prop.setProperty(sasl.mechanism”,“PLAIN) prop.setProperty(sasl.jaas.config”,"org.apache.kafka.common.security.plain.PlainLoginModule required userna
Kafka SASL/PLAIN静态认证集群部署
Astralisxoxo的博客
09-16 1450
Kafka SASL集群部署 在Kafka中,SASL机制包含三种,它们分别是Kerberos、PLAIN、SCRAM。以PLAIN认证为示例 1.配置Server 1)解压安装包 tar -zxvf kafka_2.11-2.4.1.tgz -C /home/xyp9x/ 2)改名 mv kafka_2.11-2.4.1 kafka_sasl 2)在kafka目录下创建logs、kafka-logs文件夹 mkdir logs kafka-logs 3)config目录中创建kafka_server
kafka集群使用 SASL/PLAIN 认证
weixin_42591789的博客
01-04 3682
kafka集群使用 SASL/PLAIN 认证 SASL/PLAIN 是一种简单的 username/password 认证机制, 通常与 TLS 加密一起使用, 用于实现安全认证. Kafka 提供了一个默认的 SASL/PLAIN 实现, 可以做扩展后在生产环境使用. username 在 ACL 等的配置中作为已认证的 Principal. 1.配置 Kafka Broker 在每一个 Ka...
kafka2.x版本配置SSL进行加密和身份验证
heming20122012的专栏
03-19 3635
与步骤 1 中存储每台机器自己的身份的密钥库不同,客户机的信任库存储客户机应信任的所有证书。您可以使用单个 CA 对集群中的所有证书进行签名,并让所有计算机共享信任该 CA 的同一信任库。因此,只要 CA 是真实且受信任的颁发机构,客户端就可以高度保证它们连接到真实的计算机。部署一个或多个支持 SSL 的代理的第一步是为集群中的每台计算机生成密钥和证书。完成第一步后,群集中的每台计算机都有一个公钥-私钥对,以及一个用于标识计算机的证书。生成的 CA 只是一个公钥-私钥对和证书,它旨在对其他证书进行签名。
Kafka(十)安全
yunyun1886358的专栏
03-17 2652
Kafka中,可以自定义授权这样就可以实,现额外的控制或增加新的访问控制类型,比如基于角色的访问控制。下面的自定义授权器限制了只有内部监听器可以处理某些请求。// 如果不是内部请求,并且ACL是创建和删除的操作,禁止执行 if(!} else {// 如果是内部请求,执行默认的授权逻辑 return super . authorize(context , actions);} } }
kafka安全认证与授权(SASL/PLAIN
u011618288的博客
02-09 8851
快速搭建kafka SASL+ACL实现安全认证、授权 kafka SASL/PLAIN
kafka安全认证与授权(SASL-PLAIN
wangluoanquan111的博客
02-22 2834
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。在每个Kafka broker的配置目录中添加一个经过适当修改的JAAS文件,类似于下面的文件,在本例中,我们将其称为kafka_server_jaas.conf。R匹配,则R没有关联的acl,因此除了超级用户之外,任何人都不允许访问R。
Kafka系列之:基于Apache Kafka Connect实现端到端topic数据字段级加密的详细方法
zhengzaifeidelushang的博客
07-09 1315
Kafka系列之:基于Apache Kafka Connect实现端到端topic数据字段级加密的详细方法
【读取Kafka信息以及加密配置--Java】
weixin_46356409的博客
08-08 1434
在读取Kafka的某个topic时,不需要在配置中写入所有集群的IP地址。只需指定一个或几个broker作为bootstrap servers,客户端会通过这些broker获取集群的元数据,并连接到集群中的其他broker。为了提高高可用性,建议至少指定两个或三个broker的地址。通过以上示例,您可以看到如何配置Kafka客户端以使用SSL/TLS和SASL进行安全通信和身份验证。SSL/TLS配置需要CA证书、客户端证书和客户端密钥。配置和。SASL配置。
Kafka SASL/PLAIN加密Kafka-Python整合
Aarend的博客
10-10 4920
SASL/PLAINkafka中一种使用用户名/密码的身份验证机制,本文使用Kafka-Python2.02 及kafka3.2.0进行简单的整合操作。
Docker-compose部署Kafka,并开启SASL/PLAIN认证
最新发布
03-13
### 使用 Docker Compose 部署 Kafka 并启用 SASL/PLAIN 认证 为了使用 Docker Compose 启动带有 SASL/PLAIN 身份验证的 Apache Kafka 实例,需要对 `docker-compose.yml` 文件以及 Kafka 和 ZooKeeper 的配置文件进行适当修改。 #### 修改 `docker-compose.yml` 创建或编辑现有的 `docker-compose.yml` 文件来定义服务: ```yaml version: '2' services: zookeeper: image: confluentinc/cp-zookeeper:latest environment: ZOOKEEPER_CLIENT_PORT: 2181 KAFKA_BROKER_ID: 1 ALLOW_PLAINTEXT_LISTENER: "yes" volumes: - ./zoo.cfg:/etc/kafka/zookeeper.properties kafka: image: confluentinc/cp-kafka:latest depends_on: - zookeeper ports: - "9092:9092" - "9093:9093" environment: KAFKA_ADVERTISED_LISTENERS: PLAINTEXT://kafka:9092,SASL_PLAINTEXT://kafka:9093 KAFJA_LISTENER_SECURITY_PROTOCOL_MAP: PLAINTEXT:PLAINTEXT,SASL_PLAINTEXT:SASL_PLAINTEXT KAFKA_INTER_BROKER_LISTENER_NAME: SASL_PLAINTEXT KAFKA_SASL_ENABLED_MECHANISMS: PLAIN KAFKA_SASL_MECHANISM_INTER_BROKER_PROTOCOL: PLAIN KAFKA_AUTHORIZER_CLASS_NAME: kafka.security.auth.SimpleAclAuthorizer KAFKA_ZOOKEEPER_CONNECT: zookeeper:2181 KAFKA_OFFSETS_TOPIC_REPLICATION_FACTOR: 1 volumes: - ./server.properties:/etc/kafka/server.properties ``` 此设置指定了两个监听器:一个是用于内部通信的未加密连接 (`PLAINTEXT`);另一个则是启用了 SASL/PLAIN 协议的安全连接(`SASL_PLAINTEXT`). 此外还设置了跨代理间的通讯协议为安全模式,并指定授权类以便实施访问控制[^1]. #### 创建必要的配置文件 对于上述 YAML 中提到的服务端口映射和其他环境变量,在实际环境中还需要准备相应的配置文件如 `server.properties`. 特别是在这个场景下要确保包含了如下几项: - 设置 JAAS 登录模块路径指向自定义 jaas.conf 文件位置. ```properties listeners=SASL_PLAINTEXT://:9093,PLAINTEXT://:9092 advertised.listeners=SASL_PLAINTEXT://your.host.name:9093,PLAINTEXT://your.host.name:9092 listener.security.protocol.map=PLAINTEXT:PLAINTEXT,SASL_PLAINTEXT:SASL_PLAINTEXT sasl.enabled.mechanisms=PLAIN sasl.mechanism.inter.broker.protocol=PLAIN security.inter.broker.protocol=SASL_PLAINTEXT authorizer.class.name=kafka.security.authorizer.AclAuthorizer allow.everyone.if.no.acl.found=true super.users=User:admin;User:someuser ``` 另外还需提供一个名为 `jaas.conf` 的 Java Authentication and Authorization Service (JAAS) 配置文件给 Kafka 容器使用. ```plaintext KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="password"; }; Client { org.apache.kafka.common.security.plain.PlainLoginModule required username="someuser" password="another_password"; }; ``` 最后一步就是通过挂载的方式让这些额外资源能够被容器读取到. 将它们放置于主机上的合适目录并将该路径作为卷装载至对应的容器中即可完成整个过程. 一旦完成了以上所有准备工作之后就可以按照常规方式运行命令启动集群了:`docker-compose up -d`.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值