Ubuntu Kafka如何进行权限控制配置
导读:Ubuntu Kafka权限控制配置指南 在Ubuntu环境下,Kafka的权限控制需通过身份验证(Authentication)、授权(Authorization)、加密通信(Encryption)及系统级权限四层机制实现,确保集群访问安...
Ubuntu Kafka权限控制配置指南
在Ubuntu环境下,Kafka的权限控制需通过身份验证(Authentication)、授权(Authorization)、加密通信(Encryption)及系统级权限四层机制实现,确保集群访问安全。以下是具体配置步骤:
一、前置准备
- 确保Kafka已正确安装并运行(版本≥0.10.0,支持ACL功能);
- 安装Java环境(
sudo apt install openjdk-11-jdk); - 确认Zookeeper服务已启动(Kafka依赖Zookeeper管理ACL规则)。
二、配置系统级权限
限制Kafka进程对目录的访问权限,避免未授权修改:
# 假设Kafka数据目录为/var/lib/kafka/data,日志目录为/var/log/kafka,用户为kafka
sudo chown -R kafka:kafka /var/lib/kafka/data
sudo chown -R kafka:kafka /var/log/kafka
sudo chmod 750 /var/lib/kafka/data # 仅kafka用户可写,其他用户只读
sudo chmod 750 /var/log/kafka # 同上
三、配置SASL身份验证(强制身份核查)
SASL用于验证客户端与Broker的身份,常用PLAIN机制(适合测试环境,生产环境建议用SCRAM-SHA-256)。
1. 创建JAAS配置文件
新建/etc/kafka/kafka_server_jaas.conf,定义Broker用户凭据:
KafkaServer {
org.apache.kafka.common.security.plain.PlainLoginModule required
username="admin" # Broker管理员账号
password="admin-secret" # 管理员密码
user_producer="producer-secret" # 生产者账号及密码
user_consumer="consumer-secret";
# 消费者账号及密码
}
;
2. 修改Kafka配置文件
编辑/etc/kafka/server.properties,启用SASL:
# 指定SASL监听端口(默认9092改为SASL_PLAINTEXT)
listeners=SASL_PLAINTEXT://0.0.0.0:9092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=PLAIN # Broker间认证机制
sasl.enabled.mechanisms=PLAIN # 支持的客户端认证机制
# 指定JAAS配置文件路径
sasl.jaas.config=/etc/kafka/kafka_server_jaas.conf
3. 重启Kafka服务
sudo systemctl restart kafka
四、配置SSL/TLS加密(保障通信安全)
加密客户端与Broker之间的数据传输,防止窃听。
1. 生成SSL证书
使用keytool生成密钥库(Keystore)和信任库(Truststore):
# 生成密钥库(含Broker私钥)
keytool -genkey -alias kafka -keyalg RSA -keystore /etc/kafka/kafka.server.keystore.jks -validity 365 -storepass kafka-pass -keypass kafka-key-pass -dname "CN=localhost"
# 导出Broker证书(用于客户端信任)
keytool -export -alias kafka -file /etc/kafka/kafka.server.crt -keystore /etc/kafka/kafka.server.keystore.jks -storepass kafka-pass
# 生成信任库(导入Broker证书)
keytool -import -alias kafka -file /etc/kafka/kafka.server.crt -keystore /etc/kafka/kafka.server.truststore.jks -storepass kafka-trust-pass -noprompt
2. 修改Kafka配置文件
编辑/etc/kafka/server.properties,添加SSL配置:
# 添加SSL监听端口(与SASL监听端口共存)
listeners=SSL://0.0.0.0:9093,SASL_PLAINTEXT://0.0.0.0:9092
security.inter.broker.protocol=SSL # Broker间通信协议
# SSL证书路径及密码
ssl.keystore.location=/etc/kafka/kafka.server.keystore.jks
ssl.keystore.password=kafka-pass
ssl.key.password=kafka-key-pass
ssl.truststore.location=/etc/kafka/kafka.server.truststore.jks
ssl.truststore.password=kafka-trust-pass
# 仅允许SSL加密的客户端连接
ssl.client.auth=required
3. 配置客户端SSL参数
客户端需在producer.properties(生产者)和consumer.properties(消费者)中添加:
security.protocol=SSL
ssl.truststore.location=/etc/kafka/kafka.server.truststore.jks
ssl.truststore.password=kafka-trust-pass
五、配置ACL授权(细粒度权限控制)
通过ACL定义用户对Kafka资源(主题、分区)的操作权限(如读、写、创建)。
1. 启用ACL
编辑/etc/kafka/server.properties,开启ACL功能:
# 指定ACL授权器
authorizer.class.name=kafka.security.authorizer.AclAuthorizer
allow.everyone.if.no.acl.found=false # 无ACL规则时拒绝访问
super.users=User:admin # 超级用户(拥有所有权限)
2. 创建ACL规则
使用kafka-acls.sh工具添加规则(示例):
# 授权用户producer向主题test-topic写入数据
kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 \
--add --allow-principal User:producer --operation Write --topic test-topic
# 授权用户consumer从主题test-topic读取数据
kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 \
--add --allow-principal User:consumer --operation Read --topic test-topic
# 授权超级用户admin管理所有主题
kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 \
--add --allow-principal User:admin --operation All --topic * --group *
3. 验证ACL规则
查看主题test-topic的ACL列表:
kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 \
--list --topic test-topic
六、配置防火墙限制访问
通过防火墙仅允许受信任IP访问Kafka端口(如9092、9093):
# 允许本地回环接口访问
sudo ufw allow from 127.0.0.1 to any port 9092
sudo ufw allow from 127.0.0.1 to any port 9093
# 允许特定IP(如192.168.1.100)访问
sudo ufw allow from 192.168.1.100 to any port 9092
sudo ufw allow from 192.168.1.100 to any port 9093
# 开启防火墙(若未开启)
sudo ufw enable
七、测试配置
- 生产者测试:使用生产者客户端发送消息(需指定SASL/SSL参数):
kafka-console-producer.sh --broker-list localhost:9093 --topic test-topic \ --producer.config /etc/kafka/producer.properties - 消费者测试:使用消费者客户端接收消息(需指定相同参数):
kafka-console-consumer.sh --bootstrap-server localhost:9093 --topic test-topic --from-beginning \ --consumer.config /etc/kafka/consumer.properties
通过以上步骤,可实现Ubuntu环境下Kafka的身份验证、授权、加密通信及系统级权限控制,有效提升集群安全性。生产环境中,建议关闭SASL_PLAINTEXT(改用SASL_SSL),并定期审计ACL规则。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Ubuntu Kafka如何进行权限控制配置
本文地址: https://pptw.com/jishu/743391.html