阅读量:2
在Debian上配置Kafka安全设置主要包括SSL/TLS加密、SASL认证、防火墙及权限管理,步骤如下:
-
SSL/TLS加密
- 生成证书:用
keytool或openssl生成密钥库(keystore)和信任库(truststore),如:
keytool -genkey -alias kafka -keyalg RSA -keystore kafka.server.keystore.jks -validity 3650。 - 配置Kafka:修改
server.properties,指定证书路径及密码,启用SSL协议:
listeners=SSL://:9093
ssl.keystore.location=/path/to/keystore.jks
ssl.truststore.location=/path/to/truststore.jks。
- 生成证书:用
-
SASL认证
- 创建JAAS配置文件(如
/etc/kafka/kafka_server_jaas.conf),指定认证方式(如PLAIN、SCRAM-SHA-256):
KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin-secret"; };。 - 修改
server.properties,启用SASL并指定JAAS文件:
security.inter.broker.protocol=SASL_SSL
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.jaas.config=/path/to/kafka_server_jaas.conf。
- 创建JAAS配置文件(如
-
防火墙设置
- 使用
ufw或iptables限制Kafka端口(默认9092/9093)访问,仅允许可信IP:
sudo ufw allow 9093/tcp。
- 使用
-
操作系统权限
- 创建专用用户(如
kafka)运行Kafka服务,限制目录权限:
sudo useradd -r kafka
sudo chown -R kafka:kafka /path/to/kafka。
- 创建专用用户(如
-
可选:Kerberos认证
- 安装Kerberos服务端/客户端,创建Kafka服务主体并配置
krb5.conf,在Kafka中启用GSSAPI机制。
- 安装Kerberos服务端/客户端,创建Kafka服务主体并配置
-
验证与重启
- 重启Kafka服务:
sudo systemctl restart kafka。 - 使用客户端工具(如
kafkacat)验证SSL/SASL连接是否生效。
- 重启Kafka服务:
参考来源:
以上就是关于“Debian上Kafka的安全设置怎么做”的相关介绍,筋斗云是国内较早的云主机应用的服务商,拥有10余年行业经验,提供丰富的云服务器、租用服务器等相关产品服务。云服务器资源弹性伸缩,主机vCPU、内存性能强悍、超高I/O速度、故障秒级恢复;电子化备案,提交快速,专业团队7×24小时服务支持!
简单好用、高性价比云服务器租用链接:https://www.jindouyun.cn/product/cvm