在Linux上配置Apache Kafka的安全认证,通常涉及以下几个步骤:
生成SSL证书和密钥: 使用OpenSSL等工具生成SSL证书和私钥。
openssl req -newkey rsa:2048 -nodes -keyout /path/to/kafka.server.keystore.jks -x509 -days 365 -out /path/to/kafka.server.keystore.jks
配置Kafka服务器:
编辑Kafka的配置文件server.properties,添加或修改以下配置:
listeners=SSL://:9093
security.inter.broker.protocol=SSL
ssl.keystore.location=/path/to/kafka.server.keystore.jks
ssl.keystore.password=your_keystore_password
ssl.key.password=your_key_password
ssl.truststore.location=/path/to/kafka.server.truststore.jks
ssl.truststore.password=your_truststore_password
ssl.enabled.protocols=TLSv1.2,TLSv1.3
ssl.cipher.suites=TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384
配置客户端: 在客户端配置文件中,添加类似的SSL配置。
安装并配置JAAS文件:
创建一个JAAS配置文件,例如kafka_server_jaas.conf:
KafkaServer {
org.apache.kafka.common.security.plain.PlainLoginModule required
username="admin"
password="admin-secret"
user_admin="/home/admin";
};
修改Kafka配置文件:
编辑Kafka的配置文件server.properties,启用SASL认证并指定JAAS配置文件的位置:
listeners=SASL_SSL://:9093
security.inter.broker.protocol=SASL_SSL
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required \
username="admin" \
password="admin-secret" \
user_admin="/home/admin";
配置客户端:
编辑客户端的配置文件(例如client.properties),添加或修改以下配置:
security.protocol=SASL_SSL
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required \
username="admin" \
password="admin-secret";
kafka-acls.sh --add --allow-principal User:user1 --allow-operation Read --topic test-topic
kafka-acls.sh --add --allow-principal User:user2 --allow-operation Write --topic test-topic
