0
0

Kafka 开启 SASL/PLAINTEXT 认证及 ACL

Linux 安装 Kafka 并开启 SASL/PLAINTEXT 认证

前言

在之前的开发工作中,需要开发使用用户名密码的方式连接 Kafka 并对 Kafka 数据进行处理,但是客户并没有提供可以测试的环境,于是就自己着手搭建了一套单节点的 Kafka 并开启 SASL 认证。

一、环境准备

1、组件版本

组件版本kafka2.11-2.22zookeeper3.6.2

2、下载文件

  • KAFKA:下载地址
  • ZOOKEEPER:下载地址

3、上传文件

  1. # 将下载的 zookeeper 和 kafka 包上传到 /opt/software 目录下mkdir -p /opt/software
  2. # 组件的安装目录mkdir -p /opt/module
  3. # 组件数据存放目录mkdir -p /opt/data

二、安装 Zookeeper(单节点)

  1. # 解压zookeeper文件到/opt/modele/目录下cd /opt/software
  2. tar -zxvf apache-zookeeper-3.6.2-bin.tar.gz -C /opt/module/
  4. # 进入解压后的文件cd /opt/module/apache-zookeeper-3.6.2-bin
  6. # ll 可以发现文件夹结构如下
  7. ll
  8.     drwxr-xr-x 2 root root  4096 Sep  42020 bin
  9.     drwxr-xr-x 2 root root  4096 Sep  42020 conf
  10.     drwxr-xr-x 5 root root  4096 Sep  42020 docs
  11.     drwxr-xr-x 2 root root  4096 Jul  611:27 lib
  12.     -rw-r--r-- 1 root root 11358 Sep  42020 LICENSE.txt
  13.     -rw-r--r-- 1 root root   432 Sep  42020 NOTICE.txt
  14.     -rw-r--r-- 1 root root  1963 Sep  42020 README.md
  15.     -rw-r--r-- 1 root root  3166 Sep  42020 README_packaging.md
  17. # 创建zk配置文件cd conf/
  18. cp zoo_sample.cfg zoo.cfg
  19. vim zoo.cfg
  20.     # 修改如下配置(数据存储文件,自定义都行,不修改也行)dataDir=/tmp/zookeeper =>dataDir=/opt/data/zookeeper
  22. # 记得创建刚才配置的地址mkdir -p /opt/data/zookeeper
  24. # ok 启动 zkcd../bin/
  25. sh zkServer.sh start
  26.     
  27. # 执行启动命令后控制台打印如下日志
  28. ZooKeeper JMX enabled by default
  29. Using config: /opt/module/apache-zookeeper-3.6.2-bin/bin/../conf/zoo.cfg
  30. Starting zookeeper ... FAILED TO START
  32. # ok 很明显启动失败了 我们查看日志less../logs/zookeeper-root-server-zujian1.sdns.bigdata.suxr.sit.testpbcdci.out
  33.     #可以看到如下的日志
  34.     Problem starting AdminServer on address 0.0.0.0, port 8080 and command URL /commands
  35.     Caused by: java.io.IOException: Failed to bind to /0.0.0.0:8080
  36.     Caused by: java.net.BindException: Address already in use
  37.     # 发现 8080端口已经被占用了,这是Zookeeper 3.5 之后的新特性,AdminServer 默认使用8080端口# 修改 AdminServer 的默认端口vim../conf/zoo.cfg
  38.     # 添加如下配置
  39.     admin.serverPort=8081# 重新启动zksh zkServer.sh start
  41. # 看到如下日志表示启动成功
  42. ZooKeeper JMX enabled by default
  43. Using config: /opt/module/apache-zookeeper-3.6.2-bin/bin/../conf/zoo.cfg
  44. Starting zookeeper ... STARTED
  46. # 其他命令sh zkServer.sh restart # 重启sh zkServer.sh stop # 停止sh zkServer.sh status # 查看zk运行状态

三、安装 Kafka(单节点)

  1. # 解压 kafka 安装包cd /opt/software/
  2. tar -zxvf kafka_2.11-2.2.2.tgz -C /opt/module/
  4. # 修改 kafka 配置文件cd /opt/module/kafka_2.11-2.2.2/config
  5. vim server.properties
  6.     # broker 服务器要监听的地址及端口listeners=PLAINTEXT://hostname:9092
  7.     # kafka消息存放的路径
  8.     log.dirs=/opt/data/kafka/kafka-logs
  9.     # zk 地址
  10.     zookeeper.connect=localhost:2181/kafka
  12. # 创建如上的文件夹mkdir -p /opt/data/kafka/kafka-logs
  14. # 启动 kafkacd../bin/
  15. sh kafka-server-start.sh ../config/server.properties
  17. # 查看日志,如果启动成功,则终止前台程序,改为守护进程启动sh kafka-server-start.sh -daemon ../config/server.properties
  19. # 查看启动日志tail 200f ../logs/kafkaServer.out
  21. # 创建 topic (这里需要使用主机名,使用IP会报错,我也不知道为什么)
  22. ./kafka-topics.sh --create --bootstrap-server hostname:9092 --replication-factor 1 --partitions 1 --topic topic-test
  24. # 经过一番研究,上面的bug解决了,修改配置文件,详情查看博客(https://blog.csdn.net/chenfeng_sky/article/details/103124473)vim../config/server.properties
  25.     advertised.host.name=ip
  27. # 查看 topic
  28. ./kafka-topics.sh --bootstrap-server hostname:9092 --list
  30. # 查看 topic 详细信息
  31. ./kafka-topics.sh --describe --bootstrap-server hostname:9092 --topic topic-test
  33. # 启动生产者
  34. ./kafka-console-producer.sh --broker-list hostname:9092 --topic topic-test
  36. # 开一个linux新窗口 启动消费者
  37. ./kafka-console-consumer.sh --bootstrap-server hostname:9092  --from-beginning --topic topic-test
  39. # 往生产者中输入消息,可以看到在消费者中会打印消息,到这里,kafka 安装完成

四、Zookeeper 开启 SASL 认证

1、修改 zoo.cfg,添加如下配置

  1. # 开启认证功能,注意是 阿拉伯数字的 1,而不是英文字母 L。
  2. authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
  3. # 设置认证方式为saslrequireClientAuthScheme=sasl
  4. # 客户端开启 SASL
  5. zookeeper.sasl.client=true
  6. jaasLoginRenew=3600000

2、新增 zk_server_jaas.conf

  1. cd../conf
  3. vim zk_server_jaas.conf
  5. # 添加如下内容
  6. Server {
  7.     org.apache.kafka.common.security.plain.PlainLoginModule required
  8.     username="admin"password="zookeeper-admin-pwd"user_kafka="kafka-zookeeper-pwd";};

Server字段用于指定服务端登录配置。通过org.apache.org.apache.kafka.common.security.plain.PlainLoginModule 由指定采用 PLAIN 机制。

定义了两个用户,username 和paasword 是 zk集群之间的认证密码,user_kafka = “kafka"定义了一个用户"kafka”,密码是"kafka-zookeeper-pwd", 通过“ user_ "为前缀后接用户名方式创建连接代理的用户名和密码。

3、将 kafka 认证的包导入 zk 中

从上面的配置可以看出,Zookeeper的认证机制是使用插件 “org.apache.kafka.common.security.plain.PlainLoginModule”,所以需要导入Kafka相关jar包,kafka-clients相关jar包,在kafka服务下的lib目录中可以找到,根据kafka不同版本,相关jar包版本会有所变化。

  1. cp /opt/module/kafka_2.11-2.2.2/libs/kafka-clients-2.2.2.jar /opt/module/apache-zookeeper-3.6.2-bin/lib/
  2. cp /opt/module/kafka_2.11-2.2.2/libs/lz4-java-1.5.0.jar /opt/module/apache-zookeeper-3.6.2-bin/lib/

4、修改 zkEnv.sh 添加环境变量

  1. cd /opt/module/apache-zookeeper-3.6.2-bin/bin/
  2. vim zkEnv.sh
  3. # 添加如下变量exportSERVER_JVMFLAGS=" -Djava.security.auth.login.config=/opt/module/apache-zookeeper-3.6.2-bin/conf/zk_server_jaas.conf"

5、重启 zk

  1. /opt/module/apache-zookeeper-3.6.2-bin/bin/zkServer.sh stop
  2. /opt/module/apache-zookeeper-3.6.2-bin/bin/zkServer.sh start
  3. /opt/module/apache-zookeeper-3.6.2-bin/bin/zkServer.sh status

五、Kafka 开启 SASL 认证

1、新增 kafka_server_jaas.conf 配置文件

  1. cd /opt/module/kafka_2.11-2.2.2/config/
  3. vim kafka_server_jaas.conf
  5. # 添加如下内容
  6.     KafkaServer {
  7.        org.apache.kafka.common.security.plain.PlainLoginModule required
  8.        username="admin"password="kafka-admin-pwd"user_admin="kafka-admin-pwd"user_kafka_client="kafka-server-pwd";};
  9.     Client {
  10.        org.apache.kafka.common.security.plain.PlainLoginModule required
  11.        username="kafka"password="kafka-zookeeper-pwd";};

KafkaServer,使用 user_ 来定义多个用户,供客户端程序(生产者、消费者程序)认证使用,可以定义多个,后续配置还可以根据不同的用户定义ACL。username 和password 的值必须在 user_*中有配置,且用户名密码一致,否则kafka启动就会报错。

Client 配置 kafka 和 zookeeper 通信用的,从上文的Zookeeper JAAS文件中选择一个用户,填写用户名和密码即可。

2、修改 kafka-run-class.sh,添加环境变量

  1. vim../bin/kafka-run-class.sh
  3. # 添加如下内容exportKAFKA_OPTS=" -Djava.security.auth.login.config=/opt/module/kafka_2.11-2.2.2/config/kafka_server_jaas.conf"

3、修改 server.properties 配置文件

  1. listeners=SASL_PLAINTEXT://10.98.0.116:9092
  2. advertised.listeners=SASL_PLAINTEXT://10.98.0.116:9092
  3. # 用于在代理之间进行通信的安全协议。有效值为:PLAINTEXT、SSL、SASL_PLAINTEXT、SASL_SSL。
  4. security.inter.broker.protocol=SASL_PLAINTEXT
  5. sasl.enabled.mechanisms=PLAIN
  6. sasl.mechanism.inter.broker.protocol=PLAIN
  7. authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
  8. allow.everyone.if.no.acl.found=false
  9. # super.users=User:*的值和kafka_server_jaas.conf中KafkaServer的username的值保持一致
  10. super.users=User:admin
  11. # 配置 kafka 使用 zookeeper 的 ACL
  12. zookeeper.set.acl=true

4、重启 kafka

  1. ../bin/kafka-server-stop.sh
  2. ../bin/kafka-server-start.sh -daemon ../config/server.properties

5、查看 Topic

  1. ../bin/kafka-topics.sh --zookeeper hostname:2181 --list
  2. ../bin/kafka-topics.sh --bootstrap-server hostname:9092 --list

此时我们会发现,使用 --bootstrap-server 命令卡住不动了,我们可以查看一下日志

  1. tail -200f /opt/module/kafka_2.11-2.2.2/logs/server.log
  3. # 可以看到一直在打印异常信息[2022-07-06 19:16:07,363] INFO [SocketServer brokerId=0] Failed authentication with /hostname (Unexpected Kafka request of type METADATA during SASL handshake.)(org.apache.kafka.common.network.Selector)# 可以发现,SASL握手失败,brokerId=0 的 broker 认证失败了,这说明 SASL 认证开启成功了,我们和 broker 通信需要经过认证,而访问 zk 时,kafka 会将认证信息携带过去。所以我们在访问 broker 的时候也将认证信息传递过去可以了vim /opt/module/kafka_2.11-2.2.2/config/sasl.properties
  4.     # 添加如下认证信息,需要注意的是,username 和 password 就是之前 KafkaServer 中配置好的用户名密码。在这里先使用超级用户,因为别的用户都涉及到 ACL 授权的事,这个后面再说,超级用户不受ACL权限控制。
  5.     sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="admin"password="kafka-admin-pwd";
  6.     security.protocol=SASL_PLAINTEXT
  7.     sasl.mechanism=PLAIN
  9. # 携带认证信息查看 Topic
  10. ./kafka-topics.sh --bootstrap-server hostname:9092 --list --command-config ../config/sasl.properties

6、启动生产者和消费者

  1. # 启动生产者
  2. ./kafka-console-producer.sh --broker-list hostname:9092 --topic topic-test -producer.config ../config/sasl.properties
  4. # 开一个linux新窗口 启动消费者
  5. ./kafka-console-consumer.sh --bootstrap-server hostname:9092  --from-beginning --topic topic-test -consumer.config ../config/sasl.properties

在生产中我们使用生产者和消费者,大都使用下面的方式进行配置。

  1. # 在 kafka_server_jaas.conf 中添加 KafkaClient 的认证信息vim../config/kafka_server_jaas.conf
  2. KafkaClient {
  3.    org.apache.kafka.common.security.plain.PlainLoginModule required
  4.    username="admin"password="kafka-admin-pwd";};# 修改 consumer.properties  producer.properties 配置文件,添加如下内容cat>../config/consumer.properties <<EOF
  5. security.protocol=SASL_PLAINTEXT
  6. sasl.mechanism=PLAIN
  7. EOFcat>../config/producer.properties <<EOF
  8. security.protocol=SASL_PLAINTEXT
  9. sasl.mechanism=PLAIN
  10. EOF

配置好了之后,启动命令如下

  1. # 启动生产者
  2. ./kafka-console-producer.sh --broker-list hostname:9092 --topic topic-test -producer.config ../config/producer.properties
  4. # 开一个linux新窗口 启动消费者
  5. ./kafka-console-consumer.sh --bootstrap-server hostname:9092 --from-beginning --topic topic-test -consumer.config ../config/consumer.properties

后续还有 ACL 相关问题,我自己也还没有搞懂。。。

六、配置 ACL

又稍微的研究了一下zk和kafka的ACL,有点懂了,下面就带大家来进行配置。

在我们开始之前,我们可以先阅读一下下面的内容

ZK ACL

Apache Kafka

1、配置 Zookeeper ACL

首先我们来看一下官网的这一段话

If you are running a version of Kafka that does not support security or simply with security disabled, and you want to make the cluster secure, then you need to execute the following steps to enable ZooKeeper authentication with minimal disruption to your operations:

  1. Perform a rolling restart setting the JAAS login file, which enables brokers to authenticate. At the end of the rolling restart, brokers are able to manipulate znodes with strict ACLs, but they will not create znodes with those ACLs
  2. Perform a second rolling restart of brokers, this time setting the configuration parameter zookeeper.set.acl to true, which enables the use of secure ACLs when creating znodes
  3. Execute the ZkSecurityMigrator tool. To execute the tool, there is this script: ./bin/zookeeper-security-migration.sh with zookeeper.acl set to secure. This tool traverses the corresponding sub-trees changing the ACLs of the znodes

所以,我们要开启 Zookeeper 的 ACL 身份认证功能,执行一下的步骤即可

1、配置 jaas 文件,使得 kafka broker 需要认证操作 zk 中的节点。这个我们在之前开启 SASL 已经配置完成了。

2、在 kafka 配置文件(server.properties)中添加如下的配置

  1. # 配置 kafka 使用 zookeeper 的 ACL
  2.     zookeeper.set.acl=true

3、执行如下脚本,将 zookeeper.acl 设置为 secure。此工具会遍历相应的子节点,更改 znode 的 ACL。

  1.     ./zookeeper-security-migration.sh --zookeeper.acl=secure --zookeeper.connect=localhost:2181/kafka

在执行前,我们可以通过 zk 客户端来查看一下 kafka 节点的 ACL

  1.    /opt/module/apache-zookeeper-3.6.2-bin/bin/zkCli.sh
  2.     [zk: localhost:2181(CONNECTED)3] getAcl /kafka
  3.     'world,'anyone
  4.     : cdrwa
  5.     [zk: localhost:2181(CONNECTED)4]# 可以看到是默认的权限,然后我们执行上述脚本,再次查看发现节点ACL已经发生改变,表示经过 sasl 认证的kafka 用户具有 cdrwa 权限,其他所有用户都只有 r 权限。[zk: localhost:2181(CONNECTED)5] getAcl /kafka
  6.     'sasl,'kafka
  7.     : cdrwa
  8.     'world,'anyone
  9.     : r
  10.     [zk: localhost:2181(CONNECTED)6]

经过我的测试,我发现如果在 zookeeper.set.acl=true 配置完成后,zk 中没有 kafka 的节点信息,那么启动 kafka 后,zk 中生成的节点信息,自动就修改了 ACL。

2、配置 Kafka ACL

在开始之前,我们简单学习下Kafka ACL的格式。根据官网的介绍,Kafka中一条ACL的格式如下:“Principal P is [Allowed/Denied] Operation O From Host H On Resource R”。它们的含义如下:

  1. principal:表示一个Kafka user
  2. operation:表示一个具体的操作类型,有效值: Read(读), Write(写), Create(创建), Delete(删除), Alter(修改),Describe(描述), ClusterAction(集群操作), All(所有)
  3. Host:表示连向Kafka集群的client的IP地址,如果是‘*’则表示所有IP。注意:当前Kafka不支持主机名,只能指定IP地址
  4. Resource:表示一种Kafka资源类型。当前共有5种类型:TOPIC、CLUSTER、GROUP、transactional-id、delegation-token

ok,在之前的配置中,我们配置 kafkaClient 都是使用的超级用户,跳过了 ACL,现在我们将用户修改回来。

  1. vim /opt/module/kafka_2.11-2.2.2/config/sasl.properties
  2.     sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="kafka_client"password="kafka-server-pwd";vim../config/kafka_server_jaas.conf
  3.     KafkaClient {
  4.        org.apache.kafka.common.security.plain.PlainLoginModule required
  5.        username="kafka_client"password="kafka-server-pwd";};

配置好了之后,我们重启服务,再次启动生产者和消费者,此时我们会发现,我们当前没有权限操作 topic 了

  1. [root@hostname bin]# ./kafka-console-consumer.sh --bootstrap-server hostname:9092 --topic topic-test -consumer.config ../config/consumer.properties[2022-07-07 12:16:27,284] WARN [Consumer clientId=consumer-1, groupId=test-consumer-group] Error while fetching metadata with correlation id2:{topic-test=TOPIC_AUTHORIZATION_FAILED}(org.apache.kafka.clients.NetworkClient)[2022-07-07 12:16:27,285] ERROR Error processing message, terminating consumer process:  (kafka.tools.ConsoleConsumer$)
  2.     org.apache.kafka.common.errors.TopicAuthorizationException: Not authorized to access topics: [topic-test]
  3.     Processed a total of 0 messages
  4.     [root@hostname bin]#

我们可以通过,如下命令来查看 topic 的权限信息

  1. # 查看所有权限
  2.     ./kafka-acls.sh --authorizer-properties zookeeper.connect=hostname:2181/kafka --list 
  3.     # 查看单个
  4.     ./kafka-acls.sh --authorizer-properties zookeeper.connect=hostname:2181/kafka --list --topic topic-test

然后可以通过如下命令来对topic进行acl

  1. # 给用户kafka_client topic topic-test 的 producer 权限
  2.     bin/kafka-acls.sh --authorizer-properties zookeeper.connect=hostname:2181/kafka --topic "topic-test" --add --allow-principal User:kafka_client --producer
  3.     
  4.     # 给用户kafka_client 所有消费者组的 topic topic-test 的 consumer 权限
  5.     bin/kafka-acls.sh --authorizer-properties zookeeper.connect=hostname:2181/kafka --topic "topic-test" --add --allow-principal User:kafka_client --consumer --group "*"

配置好了之后,kafka_client 用户对 topic-test topic 就有了正常的生产消费权限,如下

  1. [root@hostname bin]# ./kafka-acls.sh --authorizer-properties zookeeper.connect=hostname:2181/kafka --list
  2.     Current ACLs for resource `Topic:LITERAL:topic-test`:
  3.             User:kafka_client has Allow permission for operations: Write from hosts: *
  4.             User:kafka_client has Allow permission for operations: Describe from hosts: *
  5.             User:kafka_client has Allow permission for operations: Create from hosts: *
  6.             User:kafka_client has Allow permission for operations: Read from hosts: *

ACL 还有很多中限制,就看大家的实际需求去配置就行。

标签: kafka linux java
本文转载自: https://blog.csdn.net/qq_41581031/article/details/125648498
版权归原作者 shixiaomingye 所有, 如有侵权,请联系我们删除。
登录后发布评论

“Kafka 开启 SASL/PLAINTEXT 认证及 ACL”的评论:

还没有评论
关于作者
...
overfit同步小助手
文章同步
相关阅读

网络安全法-网络运行安全

使用selenium/drissionpage时如何阻止chrome自动跳转http到https

docker desktop 里部署的Open WebUI 管理员密码忘记了的处理方法

在ubuntu20.04中搭建onsite比赛运行环境

利用开源的低代码表单设计器FcDesigner高效管理和渲染复杂表单结构

Kafka学习笔记

【前端】浏览器输入url到页面呈现发生了什么?