kafka权限控制

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了kafka权限控制相关的知识,希望对你有一定的参考价值。

参考技术A 转发文章-- https://www.jianshu.com/p/011567554f0f

请先在不配置任何身份验证的情况下启动Kafka

Kafka中的SCRAM实现使用Zookeeper作为凭证(credential)存储。 可以使用 kafka-configs.sh 在Zookeeper中创建凭据。 对于启用的每个SCRAM机制,必须通过添加具有机制名称的配置来创建凭证。 必须在启动Kafka broker之前创建代理间通信的凭据。 可以动态创建和更新客户端凭证,并使用更新的凭证来验证新连接。

这里只演示,不操作

或者不修改 kafka-server-start.sh 脚本, 而是将下面的内容添加到 ~/.bashrc

再官方文档中写的是

这里其实没必要写成 SASL_SSL , 我们可以根据自己的需求选择SSL或PLAINTEXT, 我这里选择PLAINTEXT不加密明文传输, 省事, 性能也相对好一些

Kafka所有Broker

先使用kafka-console-producer 和 kafka-console-consumer 测试一下

可以看到admin用户无需配置ACL就可以生成消息

生产消息

可以看到报错了, 因为fanboshi用户还没有权限

其实也会报错的, 报错内容就不贴了

生产者

消费者

都没问题了

好像只能去zookeeper看?

尝试删除alice

去ZK查看

kafka ACL常用权限操作

创建topic

使用bin/kafka-topics.sh创建
注意工具bin/kafka-topics.sh访问的是zookeeper而不是kafka,即他是一个zookeeper client而不是一个kafka client,所以它的认证都是通过zookeeper完成的。
Case 1:如果zookeeper没有配置ACL激活:

Case 2:如果zookeeper已经配置ACL激活:
命令还是前面的那个命令,但是必须提供java.security.auth.login.config指向jaas.conf文件。例如:

命令的配置可以直接修改jvm的启动脚本,或者设置在环境变量里:

这里配置的用户必须是zookeeper服务端已经配置运行可以访问的客户端用户。例如,下面的zookeeper服务端配置:

运行客户端为admin的用户作为zookeeper客户端连接访问。

查询topic

查询topic操作的ACL认证,同前面创建topic操作的认证一样,不细说,参考前面。

删除topic

删除topic操作的ACL认证,同前面创建topic操作的认证一样,不细说,参考前面。

以上是关于kafka权限控制的主要内容,如果未能解决你的问题,请参考以下文章

Kafka安全机制解析及重构(四) ACL权限控制

kafka权限

zookeeperzookeeper的ACL权限控制

kakfa 安全机制

大数据平台之权限管理组件 - Aapche Ranger

怎么配置activemq屏蔽管理控制台