kafka权限控制

Posted 2023-03-19

参考技术A 转发文章-- https://www.jianshu.com/p/011567554f0f

请先在不配置任何身份验证的情况下启动Kafka

Kafka中的SCRAM实现使用Zookeeper作为凭证(credential)存储。 可以使用 kafka-configs.sh 在Zookeeper中创建凭据。 对于启用的每个SCRAM机制，必须通过添加具有机制名称的配置来创建凭证。 必须在启动Kafka broker之前创建代理间通信的凭据。 可以动态创建和更新客户端凭证，并使用更新的凭证来验证新连接。

这里只演示,不操作

或者不修改 kafka-server-start.sh 脚本, 而是将下面的内容添加到 ~/.bashrc

再官方文档中写的是

这里其实没必要写成 SASL_SSL , 我们可以根据自己的需求选择SSL或PLAINTEXT, 我这里选择PLAINTEXT不加密明文传输, 省事, 性能也相对好一些

Kafka所有Broker

先使用kafka-console-producer 和 kafka-console-consumer 测试一下

可以看到admin用户无需配置ACL就可以生成消息

生产消息

可以看到报错了, 因为fanboshi用户还没有权限

其实也会报错的, 报错内容就不贴了

生产者

消费者

都没问题了

好像只能去zookeeper看?

尝试删除alice

去ZK查看

kafka ACL常用权限操作

创建topic

使用bin/kafka-topics.sh创建
注意工具bin/kafka-topics.sh访问的是zookeeper而不是kafka，即他是一个zookeeper client而不是一个kafka client，所以它的认证都是通过zookeeper完成的。
Case 1：如果zookeeper没有配置ACL激活：

Case 2：如果zookeeper已经配置ACL激活：
命令还是前面的那个命令，但是必须提供java.security.auth.login.config指向jaas.conf文件。例如：

命令的配置可以直接修改jvm的启动脚本，或者设置在环境变量里：

这里配置的用户必须是zookeeper服务端已经配置运行可以访问的客户端用户。例如，下面的zookeeper服务端配置：

运行客户端为admin的用户作为zookeeper客户端连接访问。

查询topic

查询topic操作的ACL认证，同前面创建topic操作的认证一样，不细说，参考前面。

删除topic

删除topic操作的ACL认证，同前面创建topic操作的认证一样，不细说，参考前面。