117笔记问答在Debian上设置Kafka的安全认证,通常涉及配置SASL(Simple Authentication and Security Layer)和SSL(Secure Sockets Layer)两种安全策略。SASL用于身份验证,而SSL用于加密通信。以下是设置Kafka安全认证的步骤:
1. 配置Zookeeper以启用SASL
-
修改Zookeeper配置文件 (
/usr/local/zookeeper-3.4.14/conf/zoo.cfg):ticktime=2000 initlimit=1 synclimit=5 datadir=/data/zookeeper/data datalogdir=/data/zookeeper/datalog clientport=2181 admin.serverport=8888 maxclientcnxns=3000 autopurge.snapretaincount=3 autopurge.purgeinterval=24 server.1=192.xxx.xxx.112:2888:3888 server.2=192.xxx.xxx.114:2888:3888 server.3=192.xxx.xxx.115:2888:3888 fourlw.commands.whitelist=conf,stat,srvr,mntr saslauthprovider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider jaasloginrenew=3600000 requireclientauthscheme=sasl zookeeper.sasl.client=true
-
配置Zookeeper JAAS文件 (
/usr/local/zookeeper-3.4.14/conf/zk_jaas.conf):server { org.apache.zookeeper.server.auth.DigestLoginModule required username="admin" password="admin123" user_kafka="kafka123"; }; -
将JAAS配置文件添加到Zookeeper的环境变量中 (
/usr/local/zookeeper-3.4.14/bin/zkenv.sh):zoobindir="${zoobindir:-/usr/bin}" zookeeper_prefix="${zoobindir}/.." # 新增变量 server_jvmflags="-djava.security.auth.login.config=/usr/local/zookeeper-3.4.14/conf/zk_jaas.conf"
2. 配置Kafka以启用SASL
-
引入Kafka依赖包:将Kafka安装包下的相关依赖包拷贝到Zookeeper的目录下。
-
配置Kafka的SASL动态认证:
-
Broker的JAAS配置: 编辑Kafka的
server.properties文件,添加或修改以下配置:security.inter.broker.protocol=SASL_SSL sasl.mechanism.inter.broker.protocol=SCRAM-SHA-256 sasl.enabled.mechanisms=SCRAM-SHA-256,SCRAM-SHA-512
-
客户端的JAAS配置: 客户端也需要配置JAAS文件,例如:
client { org.apache.kafka.common.security.scram.ScramLoginModule required username="admin_sasl_plaintext_username" password="admin_sasl_plaintext_password"; };
-
3. 启动Zookeeper和Kafka集群
-
启动Zookeeper集群节点并查看集群状态:
zkserver.sh restart zkserver.sh status
-
启动Kafka Broker: 确保Kafka Broker配置文件中也启用了SASL和SSL相关设置,然后启动Kafka Broker。
注意事项
- 在生产环境中,推荐使用SCRAM认证结合SSL加密,以提供更好的安全性和灵活性。
- 确保所有相关的服务器和客户端都配置了正确的SASL和SSL证书。
- 在修改配置文件后,通常需要重启相应的服务以使更改生效。
以上步骤提供了一个基本的框架来设置Debian上的Kafka安全认证。根据具体的生产环境和需求,可能还需要进一步的定制和优化。