在CentOS上配置Kafka的安全设置,通常涉及以下几个方面:SSL/TLS加密、SASL认证、防火墙设置和ACL(访问控制列表)。以下是一个基本的步骤指南:
# 创建一个目录来存储证书和密钥
mkdir -p /etc/kafka/ssl
# 生成服务器证书和密钥
keytool -genkey -alias kafka-server -keyalg RSA -keystore /etc/kafka/ssl/server.jks -storepass password -validity 365 -keysize 2048
# 导出服务器证书
keytool -export -alias kafka-server -file /etc/kafka/ssl/server.crt -keystore /etc/kafka/ssl/server.jks -storepass password
# 生成CA证书
keytool -genkey -alias ca -keyalg RSA -keystore /etc/kafka/ssl/ca.jks -storepass password -validity 365 -keysize 2048
# 导出CA证书
keytool -export -alias ca -file /etc/kafka/ssl/ca.crt -keystore /etc/kafka/ssl/ca.jks -storepass password
# 将CA证书导入到客户端的信任库
keytool -import -alias ca -file /etc/kafka/ssl/ca.crt -keystore /etc/kafka/ssl/client.jks -storepass password
编辑/etc/kafka/server.properties文件,添加或修改以下配置:
listeners=SSL://:9093
ssl.keystore.location=/etc/kafka/ssl/server.jks
ssl.keystore.password=password
ssl.key.password=password
ssl.truststore.location=/etc/kafka/ssl/server.jks
ssl.truststore.password=password
ssl.enabled.protocols=TLSv1.2
ssl.protocol=TLSv1.2
ssl.cipher.suites=TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384
编辑客户端的producer.properties和consumer.properties文件,添加以下配置:
security.protocol=SSL
ssl.truststore.location=/etc/kafka/ssl/client.jks
ssl.truststore.password=password
ssl.keystore.location=/etc/kafka/ssl/client.jks
ssl.keystore.password=password
ssl.enabled.protocols=TLSv1.2
ssl.protocol=TLSv1.2
ssl.cipher.suites=TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384
创建一个JAAS配置文件/etc/kafka/kafka_server_jaas.conf,内容如下:
KafkaServer {
org.apache.kafka.common.security.plain.PlainLoginModule required
username="admin"
password="admin-secret"
user_admin="admin-secret";
};
编辑/etc/kafka/server.properties文件,添加或修改以下配置:
listeners=SASL_SSL://:9093
security.protocol=SASL_SSL
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin-secret";
编辑客户端的producer.properties和consumer.properties文件,添加以下配置:
security.protocol=SASL_SSL
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin-secret";
确保防火墙允许Kafka端口(默认是9092和9093)的流量:
firewall-cmd --permanent --zone=public --add-port=9092/tcp
firewall-cmd --permanent --zone=public --add-port=9093/tcp
firewall-cmd --reload
创建一个ACL配置文件/etc/kafka/acl.properties,内容如下:
# 允许admin用户访问所有主题
user=admin
host=localhost
permission=rwa
# 允许user1用户访问特定主题
user=user1
host=localhost
topic=topic1
permission=rw
编辑/etc/kafka/server.properties文件,添加以下配置:
authorizer.class.name=kafka.security.authorizer.AclAuthorizer
allow.everyone.if.no.acl.found=false
super.users=User:admin
启动Kafka服务器后,使用以下命令加载ACL配置:
kafka-configs.sh --zookeeper localhost:2181 --entity-type users --entity-name admin --alter --add-config ACL_FILE=/etc/kafka/acl.properties
kafka-configs.sh --zookeeper localhost:2181 --entity-type users --entity-name user1 --alter --add-config ACL_FILE=/etc/kafka/acl.properties
通过以上步骤,你可以在CentOS上配置Kafka的安全设置,包括SSL/TLS加密、SASL认证、防火墙设置和ACL。根据实际需求,你可能需要进一步调整和优化这些配置。
