Linux Kafka如何进行安全认证

发布时间:2025-07-18 08:10:18

阅读量:56

在Linux上配置Apache Kafka的安全认证，通常涉及以下几个步骤：

1. 启用SSL/TLS认证

生成SSL证书和密钥：使用OpenSSL等工具生成SSL证书和私钥。

openssl req -newkey rsa:2048 -nodes -keyout /path/to/kafka.server.keystore.jks -x509 -days 365 -out /path/to/kafka.server.keystore.jks

配置Kafka服务器：编辑Kafka的配置文件server.properties，添加或修改以下配置：

listeners=SSL://:9093
security.inter.broker.protocol=SSL
ssl.keystore.location=/path/to/kafka.server.keystore.jks
ssl.keystore.password=your_keystore_password
ssl.key.password=your_key_password
ssl.truststore.location=/path/to/kafka.server.truststore.jks
ssl.truststore.password=your_truststore_password
ssl.enabled.protocols=TLSv1.2,TLSv1.3
ssl.cipher.suites=TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384

配置客户端：在客户端配置文件中，添加类似的SSL配置。

2. 配置SASL认证

安装并配置JAAS文件：创建一个JAAS配置文件，例如kafka_server_jaas.conf：

KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="admin-secret"
    user_admin="/home/admin";
};

修改Kafka配置文件：编辑Kafka的配置文件server.properties，启用SASL认证并指定JAAS配置文件的位置：

listeners=SASL_SSL://:9093
security.inter.broker.protocol=SASL_SSL
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required \
    username="admin" \
    password="admin-secret" \
    user_admin="/home/admin";

配置客户端：编辑客户端的配置文件（例如client.properties），添加或修改以下配置：

security.protocol=SASL_SSL
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required \
    username="admin" \
    password="admin-secret";

3. 启用访问控制列表（ACL）

配置ACL：使用Kafka的ACL功能来定义用户和角色，为用户分配适当的权限，例如读取、写入或管理主题等。

kafka-acls.sh --add --allow-principal User:user1 --allow-operation Read --topic test-topic
kafka-acls.sh --add --allow-principal User:user2 --allow-operation Write --topic test-topic