1.概述
在Kafka0.9版本之前,Kafka叢集時沒有安全機制的。Kafka Client應用可以通過連線Zookeeper地址,例如zk1:2181:zk2:2181,zk3:2181等。來獲取儲存在Zookeeper中的Kafka後設資料資訊。拿到Kafka Broker地址後,連線到Kafka叢集,就可以操作叢集上的所有主題了。由於沒有許可權控制,叢集核心的業務主題時存在風險的。
2.內容
2.2 身份認證
Kafka的認證範圍包含如下:
- Client與Broker之間
- Broker與Broker之間
- Broker與Zookeeper之間
當前Kafka系統支援多種認證機制,如SSL、SASL(Kerberos、PLAIN、SCRAM)。
2.3 SSL認證流程
在Kafka系統中,SSL協議作為認證機制預設是禁止的,如果需要使用,可以手動啟動SSL機制。安裝和配置SSL協議的步驟,如下所示:
- 在每個Broker中Create一個Tmp金鑰庫
- 建立CA
- 給證照籤名
- 配置Server和Client
執行指令碼如下所示:
#! /bin/bash # 1.Create rsa keytool -keystore server.keystore.jks -alias dn1 -validity 365 -genkey -keyalg RSA # 2.Create CA openssl req -new -x509 -keyout ca-key -out ca-cert -days 365 # 3.Import client keytool -keystore client.truststore.jks -alias CAROOT -import -file ca-cert # 4.Import server keytool -keystore server.truststore.jks -alias CAROOT -import -file ca-cert # 5.Export keytool -keystore server.keystore.jks -alias dn1 -certreq -file cert-file # 6.Signed openssl x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out cert-signed -days 365 -CAcreateserial -passin pass:123456 # 7.Import ca-cert keytool -keystore server.keystore.jks -alias CARoot -import -file ca-cert # 8.Import cert-signed keytool -keystore server.keystore.jks -alias dn1 -import -file cert-signed
2.4 SASL認證流程
在Kafka系統中,SASL機制包含三種,它們分別是Kerberos、PLAIN、SCRAM。以PLAIN認證為示例,下面給大家介紹PLAIN認證流程。
2.4.1 配置Server
首先,在$KAFKA_HOME/config目錄中新建一個檔案,名為kafka_server_jaas.conf,配置內容如下:
KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="smartloli" password="smartloli-secret" user_admin="smartloli-secret"; }; Client { org.apache.kafka.common.security.plain.PlainLoginModule required username="smartloli" password="smartloli-secret"; };
然後在Kafka啟動指令碼(kafka-server-start.sh)中新增配置檔案路徑,設定內容如下:
[hadoop@dn1 bin]$ vi kafka-server-start.sh # Add jaas file export KAFKA_OPTS="-Djava.security.auth.login.config=/data/soft/new/kafka/config/kafka_server_jaas.conf"
接下來,配置server.properties檔案,內容如下:
# Set ip & port listeners=SASL_PLAINTEXT://dn1:9092 advertised.listeners=SASL_PLAINTEXT://dn1:9092 # Set protocol security.inter.broker.protocol=SASL_PLAINTEXT sasl.enabled.mechanisms=PLAIN sasl.mechanism.inter.broker.protocol=PLAIN # Add acl allow.everyone.if.no.acl.found=true auto.create.topics.enable=false delete.topic.enable=true advertised.host.name=dn1 super.users=User:admin # Add class authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
2.4.2 配置Client
當Kafka Server端配置啟用了SASL/PLAIN,那麼Client連線的時候需要配置認證資訊,Client配置一個kafka_client_jaas.conf檔案,內容如下:
KafkaClient { org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin-secret"; };
然後,在producer.properties和consumer.properties檔案中設定認證協議,內容如下:
security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN
最後,在kafka-console-producer.sh指令碼和kafka-console-producer.sh指令碼中新增JAAS檔案的路徑,內容如下:
# For example: kafka-console-producer.sh hadoop@dn1 bin]$ vi kafka-console-producer.sh # Add jaas file export KAFKA_OPTS="-Djava.security.auth.login.config=/data/soft/new/kafka\ /config/kafka_client_jaas.conf"
2.5 ACL操作
在配置好SASL後,啟動Zookeeper叢集和Kafka叢集之後,就可以使用kafka-acls.sh指令碼來操作ACL機制。
(1)檢視:在kafka-acls.sh指令碼中傳入list引數來檢視ACL授權新
[hadoop@dn1 bin]$ kafka-acls.sh --list --authorizer-properties zookeeper.connect=dn1:2181
(2)建立:建立待授權主題之前,在kafka-acls.sh指令碼中指定JAAS檔案路徑,然後在執行建立操作
[hadoop@dn1 bin]$ kafka-topics.sh --create --zookeeper dn1:2181 --replication-factor 1 --partitions 1 --topic kafka_acl_topic
(3)生產者授權:對生產者執行授權操作
[hadoop@dn1 ~]$ kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=dn1:2181 --add --allow-principalUser:producer --operation Write --topic kafka_acl_topic
(4)消費者授權:對生產者執行授權後,通過消費者來進行驗證
[hadoop@dn1 ~]$ kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=dn1:2181 --add --allow-principalUser:consumer --operation Read --topic kafka_acl_topic
(5)刪除:通過remove引數來回收相關許可權
[hadoop@dn1 bin]$ kafka-acls.sh --authorizer-properties zookeeper.connect=dn1:2181 --remove --allow-principal User:producer --operation Write --topic kafka_acl_topic3
3.總結
在處理一些核心的業務資料時,Kafka的ACL機制還是非常重要的,對核心業務主題進行許可權管控,能夠避免不必要的風險。
4.結束語
這篇部落格就和大家分享到這裡,如果大家在研究學習的過程當中有什麼問題,可以加群進行討論或傳送郵件給我,我會盡我所能為您解答,與君共勉!