Debian Kafka配置中的权限设置如何操作

Debian Kafka 权限设置实操指南

一 前置准备

• 启用认证机制：选择 SASL/PLAIN 或 SASL/SCRAM-SHA-256（推荐），并为 Broker 间通信设置一致的机制。
• 创建 JAAS 配置（示例为 /etc/kafka/kafka_server_jaas.conf）：
  • PLAIN 示例：

    KafkaServer {
      org.apache.kafka.common.security.plain.PlainLoginModule required
      username="admin"
      password="admin-secret"
      user_admin="admin-secret"
      user_alice="alice-secret";
    };
    

  • 说明：KafkaServer 中的 username/password 用于 Broker 之间握手；形如 user_<用户名> 的条目定义可被客户端使用的账号与口令。
• 配置 server.properties（关键项）：
  • 监听器与协议：

    listeners=SASL_PLAINTEXT://:9092
    security.inter.broker.protocol=SASL_PLAINTEXT
    sasl.mechanism.inter.broker.protocol=PLAIN
    sasl.enabled.mechanisms=PLAIN
    

  • 授权器与超级用户：

    authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
    super.users=User:admin
    

• 将 JAAS 传递给 Broker（Debian 上常用 systemd 管理）：在 /etc/systemd/system/kafka.service 的 [Service] 段加入

  Environment="KAFKA_OPTS=-Djava.security.auth.login.config=/etc/kafka/kafka_server_jaas.conf"
  

  然后执行：

  sudo systemctl daemon-reload
  sudo systemctl restart kafka
  

以上步骤完成后，Broker 侧认证与授权入口已就绪，后续通过 ACL 对用户进行细粒度授权。

二 基于 ACL 的权限配置

• 常用操作范式（使用 kafka-acls.sh）：
  • 为生产者授予写权限：

    bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 \
      --add --allow-principal User:alice --operation Write --topic test-topic
    

  • 为消费者授予读权限（需同时授予对消费组的读权限）：

    bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 \
      --add --allow-principal User:bob --operation Read --topic test-topic --group test-consumer-group
    

  • 便捷方式（自动为生产者/消费者常用操作授权）：

    bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 \
      --add --allow-principal User:alice --producer --topic test-topic
    
    bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 \
      --add --allow-principal User:bob --consumer --topic test-topic --group test-consumer-group
    

  • 查看与回收：

    bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --list --topic test-topic
    bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 --remove --topic test-topic
    

• 典型权限矩阵（示例）：

  主体	资源	权限	说明
  User:alice	Topic:test-topic	Write	允许生产消息
  User:bob	Topic:test-topic	Read	允许消费消息
  User:bob	Group:test-consumer-group	Read	允许加入该消费组
  User:admin	任意	全部	作为 super.users 不受 ACL 限制

以上命令与矩阵可直接用于日常授权与运维；注意消费者必须同时具备对 Topic 的 Read 与对 group.id 对应消费组的 Read 权限。

三 客户端连接与认证

• 准备客户端配置（如 client-sasl-plain.properties）：

  security.protocol=SASL_PLAINTEXT
  sasl.mechanism=PLAIN
  sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required \
    username="alice" password="alice-secret";
  

• 命令行使用：

  # 生产
  bin/kafka-console-producer.sh --bootstrap-server localhost:9092 \
    --topic test-topic --producer.config client-sasl-plain.properties
  
  # 消费
  bin/kafka-console-consumer.sh --bootstrap-server localhost:9092 \
    --topic test-topic --from-beginning --consumer.config client-sasl-plain.properties
  

• 若使用 SCRAM：将 sasl.mechanism 改为 SCRAM-SHA-256，并在 JAAS 中使用 ScramLoginModule，其余 ACL 操作一致。

四 常见问题与加固建议

• 未授权导致卡住或报错：ACL 未覆盖对应用户/资源/操作（特别是消费者的 group.id 权限）。先以 super.users 验证连通性，再按上节补齐 ACL。
• 超级用户：务必设置 super.users=User:admin，用于紧急排障与运维操作。
• 机制与协议一致性：Broker 间通信的 security.inter.broker.protocol 与 sasl.mechanism.inter.broker.protocol 需与监听器配置匹配。
• 防火墙与最小暴露面：仅开放必要端口（如 9092），例如使用 ufw：

  sudo ufw allow 9092/tcp
  

• 操作系统权限：以非 root 用户运行 Kafka，目录与证书权限最小化，避免泄露敏感文件。