搭建zookeeper集群和kafka集群,SCRAM认证

原创 已于 2025-03-14 08:46:54 修改 · 740 阅读 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
cknow-ai Nemo_ZR

cknow-ai 关注

标签
#zookeeper #kafka #安全
分类 大数据
于 2025-03-13 15:36:42 首次发布

服务器

hostname      ip
test01192.168.12.101
test02        192.168.12.102
test03        192.168.12.103

软件版本

软件名   版本
linux Rocky Linux 8.6 (Green Obsidian)
java1.8.0_212
zookeeper3.7.1
kafka2.12-3.2.1

软件下载

软件安装

java,zookeeper,kafka都只需解压,解压后重命名一下

软件  目录
java/opt/program/jdk
zookeeper/opt/program/zookeeper
kafka/opt/program/kafka

软件配置与启动

以下操作无特殊说明,都是需要在三台服务器上运行

系统相关配置

echo "192.168.12.101     test01" >> /etc/hosts
echo "192.168.12.102     test02" >> /etc/hosts
echo "192.168.12.103     test03" >> /etc/hosts

java配置

echo "export JAVA_HOME=/opt/program/jdk" >> /etc/profile
echo "export PATH=$PATH:$JAVA_HOME/bin" >> /etc/profile

source /etc/profile

zookeeper配置

新建/opt/program/zookeeper/conf/java.env

# 配置zookeeper启动的jvm参数,分配2G内存
export JVMFLAGS="-Xms2g -Xmx2g $JVMFLAGS"
# 加载认证文件
export JVMFLAGS="-Djava.security.auth.login.config=/opt/program/zookeeper/conf/zookeeper_jaas.conf $JVMFLAGS"

新建/opt/program/zookeeper/conf/zookeeper-env.sh

# 该文件为空
# 有的博主将认证环境放入这个文件中配置
# 我将认证放在java.env中,是同样的效果,只是和zookeeper的启动代码有些许差别
# 还有一个差别是如果将zookeeper的服务器间的认证、客户端和服务器间的两个认证分开的话
# 就要分别配置,在这个文件中,使用不同的参数

新建/opt/program/zookeeper/conf/zoo.cfg

tickTime=2000
initLimit=10
syncLimit=5
# 数据目录,后面的myid就会写入到这个目录中
dataDir=/opt/program/zookeeper/data
clientPort=2181
maxClientCnxns=100

# 暴露指标,没有这个需求的可以关闭这两个配置
metricsProvider.className=org.apache.zookeeper.metrics.prometheus.PrometheusMetricsProvider
metricsProvider.httpPort=7000

# myid和这里的服务器是对应的
# server.myid=hostname:2888:3888
server.1=test01:2888:3888
server.2=test02:2888:3888
server.3=test03:2888:3888

# 配置客户端访问zookeeper,必须认证
zookeeper.sasl.client=true
sessionRequireClientSASLAuth=true
authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
requireClientAuthScheme=sasl
jaasLoginRenew=3600000

# zookeeper服务器之间认证
quorum.auth.enableSasl=true
quorum.auth.learnerRequireSasl=true
quorum.auth.serverRequireSasl=true
quorum.auth.learner.loginContext=QuorumLearner
quorum.auth.server.loginContext=QuorumServer

新建/opt/program/zookeeper/conf/zookeeper_jaas.conf

QuorumServer {
        org.apache.zookeeper.server.auth.DigestLoginModule required
        username="zookeeper"
        password="abc123456"
        user_zookeeper="abc123456";
};

QuorumLearner {
        org.apache.zookeeper.server.auth.DigestLoginModule required
        username="zookeeper"
        password="abc123456"
        user_zookeeper="abc123456";
};


Server {
        org.apache.zookeeper.server.auth.DigestLoginModule required
        username="kafka"
        password="abc123456"
        user_kafka="abc123456";
};

Client {
        org.apache.zookeeper.server.auth.DigestLoginModule required
        username="kafka"
        password="abc123456"
        user_kafka="abc123456";
};

如果有新的组件要使用到zookeeper,那么就在Server和Client中增加账号,重启zookeeper集群

QuorumServer {
        org.apache.zookeeper.server.auth.DigestLoginModule required
        username="zookeeper"
        password="abc123456"
        user_zookeeper="abc123456";
};

QuorumLearner {
        org.apache.zookeeper.server.auth.DigestLoginModule required
        username="zookeeper"
        password="abc123456"
        user_zookeeper="abc123456";
};


Server {
        org.apache.zookeeper.server.auth.DigestLoginModule required
        username="kafka"
        password="abc123456"
        user_kafka="abc123456"
		user_dolphine="abc123456";
};

Client {
        org.apache.zookeeper.server.auth.DigestLoginModule required
        username="kafka"
        password="abc123456"
        user_kafka="abc123456"
		user_dolphine="abc123456";
};

新建/opt/program/zookeeper/data/myid

# 在test01上执行
echo 1 > /opt/program/zookeeper/data/myid

# 在test02上执行
echo 2 > /opt/program/zookeeper/data/myid

# 在test03上执行
echo 3 > /opt/program/zookeeper/data/myid

zookeeper启动

cd /opt/program/zookeeper
bin/zkServer.sh start

zookeeper状态验证

# 三台服务器都启动了zookeeper后,查看状态,会是leader或者是follower
cd /opt/program/zookeeper
bin/zkServer.sh stataus

zookeeper客户端验证

# 登入客户端
cd /opt/program/zookeeper
bin/zkCli.sh -server 192.168.12.101:2181

# 能登入进去,就说明客户端的认证已经通过
ls /
# 结果是 [zookeeper]

kafka配置

新建/opt/program/kafka/config/server.properties

# 三台服务器上,有两处是不同的,要分别配置
# 一个是broker.id=编号
# 一个是advertised.listeners=SASL_PLAINTEXT://主机IP:9092
# test01我给的编号是1,test02是2,test03是3
# 下面的是test01上的配置,另外两台机器上的配置,自行修改
broker.id=1
listeners=SASL_PLAINTEXT://0.0.0.0:9092
advertised.listeners=SASL_PLAINTEXT://192.168.12.101:9092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.enabled.mechanisms=SCRAM-SHA-512
sasl.mechanism.inter.broker.protocol=SCRAM-SHA-512
authorizer.class.name=kafka.security.authorizer.AclAuthorizer
allow.everyone.if.no.acl.found=false
super.users=User:admin
num.network.threads=3
num.io.threads=8
socket.send.buffer.bytes=102400
socket.receive.buffer.bytes=102400
socket.request.max.bytes=104857600
log.dirs=/opt/program/kafka/data
num.partitions=3
default.replication.factor=3
num.recovery.threads.per.data.dir=1
offsets.topic.replication.factor=3 
transaction.state.log.replication.factor=3
transaction.state.log.min.isr=1
log.retention.hours=168
log.segment.bytes=1073741824
log.retention.check.interval.ms=300000
zookeeper.connect=192.168.12.101:2181,192.168.12.102:2181,192.168.12.103:2181/kafka
zookeeper.connection.timeout.ms=18000
group.initial.rebalance.delay.ms=0

新建/opt/program/kafka/config/kafka_jaas.conf

Server和Client是kafka作为zookeeper客户端的认证凭证,与前面zookeeper配置要对应

KafkaServer {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="admin"    
    password="abc123456";
};
KafkaClient {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="admin"    
    password="abc123456";
};


Server {
        org.apache.zookeeper.server.auth.DigestLoginModule required
        username="kafka"
        password="abc123456"
        user_kafka="abc123456";
};
Client {
        org.apache.zookeeper.server.auth.DigestLoginModule required
        username="kafka"
        password="abc123456"
        user_kafka="abc123456";
};

修改/opt/program/kafka/bin/kafka-server-start.sh

sed -i '16i export KAFKA_OPTS=" -Djava.security.auth.login.config=/opt/program/kafka/config/kafka_jaas.conf " $KAFKA_OPTS' /opt/program/kafka/bin/kafka-server-start.sh

kakfa预启动

# 在任意一台机器上执行就可以了,例如在test01上
# 这个启动肯定会报错,但是连接到zookeeper上是不会报错的
# 可以按照zookeeper客户端验证一样,等会查看根目录会有一个kafka节点
cd /opt/program/kafka
sh bin/kafka-server-start.sh config/server.properties

kafka配置的zookeeper连接zookeeper.connect=192.168.12.101:2181,192.168.12.102:2181,192.168.12.103:2181/kafka

预启动的目的是在zookeeper中创建/kafka节点

如果说连接是

zookeeper.connect=192.168.12.101:2181,192.168.12.102:2181,192.168.12.103:2181

则不需要这一步

但是建议按照/kafka的方式,因为这样kafka的相关信息都会写入/kafka节点下,方便管理

如果有其他组件也要用,很容易混乱

kafka创建管理员账号

在任意一台机器上执行就可以了,例如在test01上

修改/opt/program/kafka/bin/kafka-configs.sh

sed -i '16i export KAFKA_OPTS=" -Djava.security.auth.login.config=/opt/program/kafka/config/kafka_jaas.conf " $KAFKA_OPTS' /opt/program/kafka/bin/kafka-configs.sh

创建admin账号

cd /opt/program/kafka
bin/kafka-configs.sh --zookeeper 192.168.12.101:2181/kafka --alter --add-config 'SCRAM-SHA-256=[iterations=8192,password=abc123456],SCRAM-SHA-512=[password=abc123456]' --entity-type users --entity-name admin

kafka启动

# 在三台服务器上执行
cd /opt/program/kafka
sh bin/kafka-server-start.sh -daemon config/server.properties

kafka查看日志

tail -100f logs/server.log

日志中没有报错,说明集群启动成功

kafka创建普通账号

如果上面创建admin账号时,在test01上,那么下面的命令也在test01上执行

cd /opt/program/kafka

# 创建producer账号
bin/kafka-configs.sh --zookeeper 192.168.12.101:2181/kafka --alter --add-config 'SCRAM-SHA-256=[iterations=8192,password=abc123456],SCRAM-SHA-512=[password=abc123456]' --entity-type users --entity-name producer

# 创建consumer账号
bin/kafka-configs.sh --zookeeper 192.168.12.101:2181/kafka --alter --add-config 'SCRAM-SHA-256=[iterations=8192,password=abc123456],SCRAM-SHA-512=[password=abc123456]' --entity-type users --entity-name producer

kafka创建主题

也在test01上执行

创建/opt/program/kafka/config/sasl_server.conf

security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-512
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="admin" password="abc123456";

创建topic

cd /opt/program/kafka
# 创建topic
bin/kafka-topics.sh --bootstrap-server 192.168.12.101:9092 --command-config config/sasl_server.conf --create --partitions 3 --replication-factor 3 --topic test

#查看topic信息
bin/kafka-topics.sh --bootstrap-server 192.168.12.101:9092 --command-config config/sasl_server.conf --describe --topic test

kafka授权

授予producer账号,对主题test的producer权限

授予consumer账号,对主题test消费组test的consumer权限

cd /opt/program/kafka

# 授予producer权限
bin/kafka-acls.sh --bootstrap-server 192.168.12.101:9092 --command-config config/sasl_server.conf --add --allow-principal User:cn_app_record --producer --topic test

# 授予consumer权限
bin/kafka-acls.sh --bootstrap-server 192.168.12.101:9092 --command-config config/sasl_server.conf --add --allow-principal User:consumer --consumer --topic test --group test

kafka生产数据和消费数据

可以在多台服务器上执行,也可以只在一台服务器上执行,那就都放在test01上执行

创建/opt/program/kafka/config/sasl_producer.conf

security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-512
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="producer" password="abc123456";

创建/opt/program/kafka/config/sasl_consumer.conf

security.protocol=SASL_PLAINTEXT
sasl.mechanism=SCRAM-SHA-512
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="consumer" password="abc123456";

启动生产者

cd /opt/program/kafka

bin/kafka-console-producer.sh --bootstrap-server 192.168.12.101:9092 --producer.config config/sasl_producer.conf --topic test

启动消费者

cd /opt/program/kafka

bin/kafka-console-consumer.sh --bootstrap-server 172.21.12.203:9092 --consumer.config config/sasl_consumer.conf --topic test --group test --from-beginning

在生产者的窗口随意输入字符,会在消费者窗口中打印出来,说明运行正常

点赞 点赞 23
评论 0
书签 书签 13
Kafka安全认证(Java)
skh2015java的博客
12-03 8742
一、概述 GSSAPI: 使用的Kerberos认证,可以集成目录服务,比如AD。从Kafka0.9版本开始支持 PLAIN: 使用简单用户名密码形式。从Kafka0.10版本开始支持 SCRAM: 主要解决PLAIN动态更新问题以及安全机制,从Kafka0.10.2开始支持 OAUTHBEARER: 基于OAuth 2认证框架,从Kafka2.0版本开始支持 二、配置SASL/PLAIN kafka配置文件server.properties配置 securi...
Kafka配置SASL身份认证及权限实现文档
柳宏(Java)
08-04 2万+
Kafka配置SASL身份认证及权限实现文档Version:1.0Author:liuhongDate:2017-08-04一、 版本说明本例使用:zookeeper-3.4.10,kafka_2.11-0.11.0.0。zookeeper版本无要求,kafka必须使用0.8以后的版本二、 zookeeper配置SASLzookeeper集群或者单节点配置相同。具体步骤如下:1、zoo.cfg文件
kafka 集群部署
最新发布
weixin_39966417的博客
05-07 860
Kafka集群中,没有“中心主节点”的概念,集群中的所有节点都是对等的。Kafka是面向海量消息设计的,一个Topic下的消息会非常多,单机服务很难存得下来。维护集群元数据:Zookeeper负责维护Kafka集群的元数据,这包括broker的状态、topic的分区配置以及consumer group的消费状态等。总的来说,ZookeeperKafka集群中扮演了元数据存储、Broker管理、Leader选举以及集群配置管理等关键角色,是确保Kafka集群正常运行高可用性的重要组成部分。
Kafka配置kerberos(CDH)
peidezhi的专栏
03-08 3204
参考文档:https://www.jianshu.com/p/dd73b318e743 vi jaas.conf KafkaClient{ com.sun.security.auth.module.Krb5LoginModule required useTicketCache=true; renewTicket=true; }; vi client...
Kafka配置用户名密码访问
热门推荐
Jepson的博客
04-08 3万+
1 软件版本 kafka_2.12-2.4.0.tgz(带zookeeper) 2 kafka服务端部署 2.1 将安装包上传到服务器,并解压 tar zxvf kafka_2.12-2.4.0.tgz -C /data mv kafka_2.12-2.4.0 kafka 2.2 修改kafka配置文件 server.properties vim /data/kafka/config/server.properties: ############################# Server Basi
Java安全认证与授权
YvesHe的专栏
09-23 3463
ava安全认证与授权 Java平台提供的认证与授权服务(Java Authentication and Authorization Service (JAAS)),能够控制代码对敏感或关键资源的访问,例如文件系统,网络服务,系统属性访问等,加强代码的安全性。主要包含认证与授权两部分,认证的目的在于可靠安全地确定当前是谁在执行代码,代码可以是一个应用,applet,bean,servlet;授权的目的在于确定了当前执行代码的用户有什么权限,资源是否可以进行访问。虽然JAAS表面上分为了两大部分,而实际上两
kafka安全机制(SASL_SCRAM
qq_44062110的博客
03-07 3831
zookeeperkafka在默认情况下,是没有开启安全认证的,那么任意客户端可以在不需要任何身份认证的情况下访问zookeeperkafka下的各节点,甚至可以进行节点的增加,修改以及删除的动作。除了最基本的身份认证以外,还有针对每个节点的权限访问,但本文不涉及该话题。如果是集群模式,那么只需要对单机模式的配置文件做相应的修改即可:确保集群中每个broker的broker.id配置参数的值不一样,以及listeners配置参数也需要修改为与broker对应的IP地址或域名,之后就可以各自启动服务。
kafka集群搭建+权限认证(SASL/SCRAM)+整合springboot
xianglinsao123的专栏
03-19 6691
1、创建kafka日志zookeeper文件目录: /data/kafka/kafka-logs /data/zookeeper/zkdata /data/zookeeper/zklogs 2、修改kafka配置文件server.properties 2.1、将原文件重命名为server.properties_bak20220311 2.2、新建server.properties,编辑: # fixed params listeners=PLAINTEXT://10.132.105.20:9092 a
Linux-Kafka 3.7.2 Kraft+SASL认证模式 集群安装与部署
DanBrownWang的博客
12-29 1000
在常规模式下,Kafka 依赖 ZooKeeper 存储元数据,通过动态选举产生 Controller 节点来管理集群。而在实验性的 KRaft 模式下,架构进行了重大改进:完全移除了对 ZooKeeper 的依赖,改用三个预配置的 Controller 节点来存储元数据并直接管理 Kafka 集群。实现完全自主运行,消除了对外部组件的依赖提升集群性能,Controller 可直接访问本地存储的元数据,无需经过 ZooKeeper 中转突破 ZooKeeper 的读写性能瓶颈,使集群扩展更加灵活。
Kafka】从安装到配置再到监控,教你搭建一套sasl/scram类型的Kafka集群
浩瀚宇宙的一粒尘埃
02-05 1360
文章目录准备工作修改配置文件创建初始用户创建jaas文件修改启动脚本启动Kafka添加SystemdKafka监控部署jmx_exporter配置Prometheus配置Grafana后记 本文的主要内容是讲解一个4个broker,SASL/SCRAM类型的Kafka集群搭建过程。 准备工作 安装jdk 安装Zookeeperkafka之前,需要先安装java环境,并配置环境变量,推荐Java 8。 安装zookeeper Kafka依赖zookeeper,安装Kafka之前需要安装zk。 搭建过程参考:
tomcat服务加载华为认证配置顺序问题
我是传奇
07-06 641
华为平台版本号:FusionInsight V100R002C70SPC200 平台认证模式:安全模式 连接的服务包括solr cloud hbase。 现象:用junittest测试solr cloud 可以正常连接查询。但是在springcloud的服务中调用同样的代码,却发现连接zookeeper异常。 报错:KeeperErrorCode = ConnectionLoss f...
Activemq配置——Jaas方式配置用户登录验证
jaylong35的专栏
11-14 7182
配置方式: 一、要配置系统环境变量:配置Jaas加载的配置文件路径。 linux下使用 export ACTIVEMQ_OPTS=-Djava.security.auth.login.config= 或是在profile文件末尾添加上这样一个导出 windows下 SET ACTIVEMQ_OPTS=%ACTIVEMQ_OPTS% -Djava.security
kafka服务端设置用户密码登录及springboot访问实现
guaotianxia的博客
11-02 1万+
一、背景:做物联网项目,需要用MQ做消息队列做缓冲,选择了使用kafka,部署在公网环境,部署kafka后没有设置登录验证,刚刚部署就被恶意扫描到,向kafka里面push超过1G的文件,直接导致kafka宕掉,虽然无法获取主机权限,但是比较膈应,因此设置了登录 验证,记录下安装、设置及项目程序代码实现整个过程 二、部署环境:Linux+Ubuntu+kafka(2.8.0)+zookeeper(3.5.9,单机版kafka默认自带) 三、部署安装 1、从官网下载kafka,Apache Kafka.
实战:kafkazookeeper SASL+ACL实现动态权限认证、授权
u011618288的博客
02-18 8734
kafka基于SASL/SCRAM 集合zookeeper SASL,实现安全认证、权限校验ACL。
JAAS 认证过程
atarik@163.com
02-26 951
本文通过一个示例说明 JAAS Authentication 过程。 运行示例 运行示例分三步: 获取代码,编译代码,运行示例 获取代码 $ git clone git@github.com:kylinsoong/security-examples.git 编译代码 $ cd security-examples/jaas-authentication-tutorial $ mvn...
Zookeeper & Kafka 开启安全认证的配置
IT布道
08-10 1万+
Zookeeper&Kafka 安全认证
kafka的sasl配置
atarik@163.com
02-27 3677
1、Kafka brokers的SASL配置 在broker中选择1个或多个支持的机制启用,kafka目前支持的机制有 GSSAPI PLAIN 。 添加一个JAAS文件来配置选择的 GSSAPI(Kerberos)或 PLANIN。 JAAS配置文件位置作为JVM参数传递给每个broker代理。例如: - Djava.security.auth.login....
Kafka增加安全验证安全认证,SASL认证,并通过spring boot-Java客户端连接配置
m0_59598029的博客
02-23 3279
这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。部分中的属性用户名密码来启动与其他代理的连接。中的不同客户机可以通过指定不同的用户名作为不同的用户进行连接 中的密码。
kafka用户认证与权限管理(SASL/PLAIN+ACL)
浪子天涯行世录
11-18 3052
Kafka 目前支持SSL、SASL/Kerberos、SASL/PLAIN三种认证机制 kafka认证范围 kafka client 与 kafka server(broker) broker与broker之间 broker与zookeeper之间 zookpeer认证zookeeper安装根目录的conf目录下,创建zk_server_jaas.conf文件 Server {...
开启kafka密码认证
雅冰石的专栏
04-02 2万+
Kafka默认未开启密码认证,可以免密登录,太不安全,因此需要开启密码认证。 一 kafka认证方式类型 kafka提供了多种安全认证机制,主要分为SSLSASL大类。其中SASL/PLAIN是基于账号密码的认证方式,比较常用 1.1 SSL 1.2 SASL 1.2.1 SASL/Kerberos 1.2.2 SASL/PLAIN 1.2.3 SASL/SCRAM 二 测试SASL/PLAIN进行身份验证 SASL/PLAIN是一种简单的用户名/密码身份..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值