Kafka ACL使用实战

自0.9.0.0.版本引入Security之后,Kafka一直在完善security的功能。当前Kafka security主要包含3大功能:认证(authentication)、信道加密(encryption)和授权(authorization)。信道加密就是为client到broker、broker到broker以及工具脚本与broker之间的数据传输配置SSL;认证机制主要是指配置SASL,而授权是通过ACL接口命令来完成的。

生产环境中,用户若要使用SASL则必须配置Kerberos,但对于一些小公司而言,他们的用户系统并不复杂(特别是专门为Kafka集群服务的用户可能不是很多),显然使用Kerberos有些大材小用,而且由于运行在内网环境,SSL加密也不是很必要。因此一个SASL+PLAINTEXT的集群环境足以应付一般的使用场景。本文给出一个可运行的实例来演示一下如何在不使用Kerberos的情况下配置SASL + ACL来构建secured Kafka集群。

在开始之前,我们简单学习下Kafka ACL的格式。根据官网的介绍,Kafka中一条ACL的格式如下:“Principal P is [Allowed/Denied] Operation O From Host H On Resource R”。它们的含义描述如下:

  • principal:表示一个Kafka user
  • operation:表示一个具体的操作类型,如WRITE, READ, DESCRIBE等。完整的操作列表详见:http://docs.confluent.io/current/kafka/authorization.html#overview
  • Host:表示连向Kafka集群的client的IP地址,如果是‘*’则表示所有IP。注意:当前Kafka不支持主机名,只能指定IP地址
  • Resource:表示一种Kafka资源类型。当前共有4种类型:TOPIC、CLUSTER、GROUP、TRANSACTIONID

下面我使用Kafka 0.11.0.0版本来演示下如何构建支持SASL + PLAINTEXT + ACL的Kafka集群环境。

1. Broker端配置

要配置SASL和ACL,我们需要在broker端进行两个方面的设置。首先是创建包含所有认证用户信息的JAAS文件。本例中,我们假设有3个用户:admin, reader和writer,其中admin是管理员,reader用户读取Kafka集群中topic数据,而writer用户则负责向Kafka集群写入消息。我们假设这3个用户的密码分别与用户名相同(在实际场景中,管理员需要单独把密码发给各自的用户),因此我们可以这样编写JAAS文件:

KafkaServer {
  org.apache.kafka.common.security.plain.PlainLoginModule required
  username="admin"
  password="admin"
  user_admin="admin"
  user_reader="reader"
  user_writer="writer";
};

保存该文件为kafka_cluster_jaas.conf(本例中的完整路径是/Users/huxi/SourceCode/newenv/kafka_cluster_jaas.conf),之后我们需要把该文件的完整路径作为一个JVM参数传递给Kafka的启动脚本。不过由于bin/kafka-server-start.sh只接收server.properties的位置,不再接收其他任何参数,故我们需要修改该启动脚本。具体做法如下:

$ pwd
/Users/huxi/SourceCode/newenv/kafka_0.11
$ cp bin/kafka-server-start.sh bin/secured-kafka-server-start.sh

$ vi bin/secured-kafka-server-start.sh

把该文件中的这行:
exec $base_dir/kafka-run-class.sh $EXTRA_ARGS kafka.Kafka "[email protected]"
修改为下面这行,然后保存退出
exec $base_dir/kafka-run-class.sh $EXTRA_ARGS -Djava.security.auth.login.config=/Users/huxi/SourceCode/newenv/kafka_cluster_jaas.conf kafka.Kafka "[email protected]"

做完上面的步骤后,我们就在bin/目录下新建了一个secured-kafka-server-start.sh启动脚本。

配置好JAAS文件后,我们开始修改broker启动所需的server.properties文件,你至少需要配置(或修改)以下这些参数:

# 配置ACL入口类
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
# 本例使用SASL_PLAINTEXT
listeners=SASL_PLAINTEXT://:9092
security.inter.broker.protocol= SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
# 设置本例中admin为超级用户
super.users=User:admin

Okay,现在我们可以启动broker了(当前肯定要先启动Zookeeper):

bin/secured-kafka-server-start.sh ../config_files/server.properties

.......

[2017-08-17 16:07:30,417] INFO [Kafka Server 0], started (kafka.server.KafkaServer)

可见,Kafka broker已经成功启动了。不过当前该broker只会接收已认证client发来的请求。下面我们继续clients端的配置。

2. Client端配置

我们先来创建一个测试topic,名为test,单分区,副本因子是1。

$ bin/kafka-topics.sh --create --zookeeper localhost:2181 --topic test --partitions 1 --replication-factor 1
Created topic "test".

咦?稍等下,我们不是启用ACL了吗?这里为什么会创建成功呢?这里我简要说明一下: 首先我们启用ACL了吗?当然!由于我们没有显式地设置allow.everyone.if.no.acl.found,故这个参数默认是false,也就是说对于目前的这个Kafka集群而言,除了超级用户之外的其他任何用户都无法执行任何操作。其次,那为什么创建topic成功了呢?这是因为当前kafka-topics.sh脚本直接连接Zookeeper,故不受ACL的限制。所以无论是否配置了security,用户总是可以使用kafka-topics来管理topic。

言归正传,本例中我们的目的是要测试:

  • 用户writer向test topic写入消息
  • 用户reader从test topic读取消息

下面我们先来启动一个console-consumer和一个console-producer来看下当前是个什么状况:

$ bin/kafka-console-producer.sh --broker-list localhost:9092 --topic test
>hello, kafka
[2017-08-17 16:16:09,626] WARN Bootstrap broker localhost:9092 disconnected (org.apache.kafka.clients.NetworkClient)
[2017-08-17 16:16:09,685] WARN Bootstrap broker localhost:9092 disconnected (org.apache.kafka.clients.NetworkClient)
[2017-08-17 16:16:09,740] WARN Bootstrap broker localhost:9092 disconnected (org.apache.kafka.clients.NetworkClient)
[2017-08-17 16:16:09,799] WARN Bootstrap broker localhost:9092 disconnected (org.apache.kafka.clients.NetworkClient)

......

$ bin/kafka-console-consumer.sh --bootstrap-server localhost:9092 --topic test --from-beginning
[2017-08-17 16:16:47,936] WARN Bootstrap broker localhost:9092 disconnected (org.apache.kafka.clients.NetworkClient)
[2017-08-17 16:16:47,992] WARN Bootstrap broker localhost:9092 disconnected (org.apache.kafka.clients.NetworkClient)
[2017-08-17 16:16:48,052] WARN Bootstrap broker localhost:9092 disconnected (org.apache.kafka.clients.NetworkClient)
[2017-08-17 16:16:48,163] WARN Bootstrap broker localhost:9092 disconnected (org.apache.kafka.clients.NetworkClient)
......

看到了吧,当前的console producer/consumer都无法工作,报的错误就是无法连接broker(localhost:9092)。这就是因为我们设置了security的缘故。下面我们为writer用户配置安全,首先需要创建一个属于writer用户的JAAS文件,该文件中指定了writer用户的credentials,如下所示:

KafkaClient {
org.apache.kafka.common.security.plain.PlainLoginModule required
username="writer"
password="writer";
};

把上述内容保存到writer_jaas.conf文件(/Users/huxi/SourceCode/newenv/writer_jaas.conf)中。和broker类似,我们需要拷贝一份新的bin/kafka-console-producer.sh将该JAAS文件作为一个JVM参数传给console producer:

$ cp bin/kafka-console-producer.sh bin/writer-kafka-console-producer.sh
$ vi bin/writer-kafka-console-producer.sh

把该文件中的这行:
exec $(dirname $0)/kafka-run-class.sh kafka.tools.ConsoleProducer "[email protected]"
修改为下面这行,然后保存退出
exec $(dirname $0)/kafka-run-class.sh -Djava.security.auth.login.config=/Users/huxi/SourceCode/newenv/writer_jaas.conf kafka.tools.ConsoleProducer "[email protected]"

然后,我们创建一个producer.config为该console producer指定以下两个属性:

security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN

现在我们使用新的脚本来启动console producer:

$ bin/writer-kafka-console-producer.sh --broker-list localhost:9092 --topic test --producer.config producer.config
>hello, kafka
[2017-08-17 16:28:13,930] WARN Error while fetching metadata with correlation id 1 : {test=UNKNOWN_TOPIC_OR_PARTITION} (org.apache.kafka.clients.NetworkClient)
[2017-08-17 16:28:14,036] WARN Error while fetching metadata with correlation id 3 : {test=UNKNOWN_TOPIC_OR_PARTITION} (org.apache.kafka.clients.NetworkClient)
[2017-08-17 16:28:14,143] WARN Error while fetching metadata with correlation id 4 : {test=UNKNOWN_TOPIC_OR_PARTITION} (org.apache.kafka.clients.NetworkClient)
[2017-08-17 16:28:14,246] WARN Error while fetching metadata with correlation id 5 : {test=UNKNOWN_TOPIC_OR_PARTITION} (org.apache.kafka.clients.NetworkClient)

依然有错误,不过错误变成“无法获取元数据”了。这说明我们运行的console producer通过了认证,但是没有通过授权,因此我们需要配置ACL来让writer用户有权限写入topic:

$ bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=localhost:2181 --add --allow-principal User:writer --operation Write --topic test

再试producer:

$ bin/writer-kafka-console-producer.sh --broker-list localhost:9092 --topic test --producer.config producer.config
>hello
>hello, kafka
>message abc

......

producer生产消息成功了。等等!子曰:没有消费之前永远不要断言生产成功了!下面我们就来配置下consumer,即用户reader。

和writer用户类似,我们首先创建reader用户的JAAS文件,保存在/Users/huxi/SourceCode/newenv/kafka_0.11/reader_jaas.conf中:

KafkaClient {
org.apache.kafka.common.security.plain.PlainLoginModule required
username="reader"
password="reader";
};

然后拷贝一份新的console consumer来指定上面的reader_jaas.conf:

$ cp bin/kafka-console-consumer.sh bin/reader-kafka-console-consumer.sh
$ vi bin/reader-kafka-console-consumer.sh

把该文件中的这行:
exec $(dirname $0)/kafka-run-class.sh kafka.tools.ConsoleConsumer "[email protected]"
修改为下面这行,然后保存退出
exec $(dirname $0)/kafka-run-class.sh -Djava.security.auth.login.config=/Users/huxi/SourceCode/newenv/reader_jaas.conf kafka.tools.ConsoleConsumer "[email protected]"

然后,我们创建一个consumer.config为该console producer指定以下3个属性:

security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN
group.id=test-group

现在运行console consumer:

$ bin/reader-kafka-console-consumer.sh --bootstrap-server localhost:9092 --topic test --from-beginning --consumer.config consumer.config
[2017-08-17 16:37:54,124] WARN Error while fetching metadata with correlation id 2 : {test=UNKNOWN_TOPIC_OR_PARTITION} (org.apache.kafka.clients.NetworkClient)
[2017-08-17 16:37:54,127] ERROR Unknown error when running consumer: (kafka.tools.ConsoleConsumer$)
org.apache.kafka.common.errors.GroupAuthorizationException: Not authorized to access group: test-group

可以看到这次出现了两个错误:第一个问题依然是无法获取元数据——这表明reader用户通过了认证但没有通过授权;第二个问题表明reader用户无权访问consumer group——这同样是授权的问题。我们需要设置ACL来解决它们。首先,我们为reader用户设置test topic的读权限:

bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=localhost:2181 --add --allow-principal User:reader --operation Read --topic test

然后设置访问group的权限:

$ bin/kafka-acls.sh --authorizer kafka.security.auth.SimpleAclAuthorizer --authorizer-properties zookeeper.connect=localhost:2181 --add --allow-principal User:reader --operation Read --group test-group

做完这些之后,我们重新运行console consumer程序:

$ bin/reader-kafka-console-consumer.sh --bootstrap-server localhost:9092 --topic test --from-beginning --consumer.config consumer.config
hello
hello, kafka
message abc
.......

可以看到,这次reader用户成功地读取了writer用户生产的消息。这证明了writer和reader用户都可以正常地工作了。

最后总结一下,这种方案适用于用户数很少但又必须启用安全的Kafka集群,不过此方案比较麻烦的地方在于需要为每个脚本都重新定制,加上-Djava.security.auth.login.config参数以识别JAAS文件,不如Kerberos来得简单。另外用户完全可以根据官网的教程配置SSL,然后很轻易地把本文中的例子改成SASL_SSL。

时间: 2024-08-13 22:52:43

Kafka ACL使用实战的相关文章

【基础】华为设备基本和高级ACL配置实战

实验拓扑: 使用ENSP模拟器(版本V100R002C00 1.2.00.350)   实验要求: 1.在华为设备上配置标准ACL实现vlan 10主机不能和vlan20主机互访,但可以正常上网. 2. 在华为设备上配置扩展ACL实现vlan 10主机不能和vlan 20主机互访,但可以正常上网:vlan 10中C2需要和vlan 20中C3通信,vlan 10中C1不能打开网页,其他不受影响: 3. 在华为设备上配置命名ACL实现路由器R1只能被192.168.1.10主机远程管理. ACL原

Kafka 原理和实战

本文首发于 vivo互联网技术 微信公众号 https://mp.weixin.qq.com/s/bV8AhqAjQp4a_iXRfobkCQ作者简介:郑志彬,毕业于华南理工大学计算机科学与技术(双语班).先后从事过电子商务.开放平台.移动浏览器.推荐广告和大数据.人工智能等相关开发和架构.目前在vivo智能平台中心从事 AI中台建设以及广告推荐业务.擅长各种业务形态的业务架构.平台化以及各种业务解决方案.博客地址:http://arganzheng.life. 背景 最近要把原来做的那套集中式

Kafka核心技术与实战

Kafka是linkedIn开发并开源的一套分布式的高性能消息引擎服务,后来被越来越多的公司应用在自己的系统中,可以说,Kafka是大数据时代数据管道技术的首选.在设计的时候,它就实现了高可靠.高吞吐.高可用和可伸缩,得益于这些特性,加上活跃的社区,Kafka成为了一个完备的分布式消息引擎解决方案. 历经多年发展,Kafka的功能和特性也在不断迭代,如今的Kafka集消息系统.存储系统和流式处理平台于一身,并作为连接着各种业务前台和数据后台的消息中间件,在线上环境承担了非常重要的作用. 但在Ka

Kafka 高级API 实战

1. 环境 CDH 5.16.1 kafka版本 2.1.0-kafka-4.0.0 <dependency> <groupId>org.apache.kafka</groupId> <artifactId>kafka_2.12</artifactId> <version>2.1.0-kafka-4.0.0</version> </dependency> 2.生产者 2.1 生产者,带回调函数 package

Kafka SCRAM和PLAIN实战

1.概述 目前Kafka ACL支持多种权限认证,今天笔者给大家介绍一下SCRAM和PLAIN的权限认证.验证环境如下: JDK:1.8 Kafka:2.3.0 Kafka Eagle:1.3.8 2.内容 2.1 PLAIN认证 首先,在$KAFAK_HOME/config目录新建一个文本文件,名为kafka_server_plain_jaas.conf,配置内容如下: KafkaServer { org.apache.kafka.common.security.plain.PlainLogi

第89课:SparkStreaming on Kafka之Kafka解析和安装实战

本篇博文将从以下方面组织内容: 1. Kafka解析 2. 消息组件Kafka 3. Kafka安装 实验搭建所需要的软件: kafka_2.10-0.9.0.1 Zookeeper集群已经安装好.在上一篇博文有安装步骤,不清楚的朋友可以参考下. 一:Kafka解析 1. Kafka是生产者和消费者模式中广播概念,Kafka也可以实现队列的方式. 2. Kafka不仅是一个消息中间键,还是一个存储系统,可以将流进来的数据存储一段时间.这就与传统的流式处理不一样,传统的流式处理处理完数据之后就消失

Kafka项目实战-用户日志上报实时统计之应用概述

1.概述 本课程的视频教程地址:<Kafka实战项目之应用概述> 本课程是通过一个用户实时上报日志来展开的,通过介绍 Kafka 的业务和应用场景,并带着大家搭建本 Kafka 项目的实战开发环境.下面我们来看看本课程有哪些课时,如下图所示: 接下来,我们开始第一课时的学习:<Kafka 回顾>. 2.内容 2.1 Kafka 回顾 本课时简述 Kafka 平台部署的注意事项,以及 Kafka 在企业中的业务场景和应用场景.让大家了解 Kafka 在企业中的使用. 本课时主要包含以

建立标准ACL实战

建立标准ACL实战 本次实验拓扑图如下: 实验目的: 完成在R1路由上标准ACL的建立,实现实验要求:仅允许PC1访问PC3,禁止PC2对PC3进行访问. 实验步骤: 1.完成三台PC机IP地址的设置 2.对sw二层交换机进行设置 sw#conf t //进入全局模式 Enter configuration commands, one per line. End with CNTL/Z. sw(config)#no ip routing //GNS3中原镜像为路由镜像,现改为交换机需关闭路由功能

Kafka Eagle安装详情及问题解答

1.概述 最近有很多同学给笔者留言,说在安装Kafka Eagle的时候,会遇到一些问题,请教如何解决?今天笔者就在这里总结一下安装步骤,和一些安装的注意事项,以及解决方式. 2.内容 在安装Kafka Eagle之前,可能新接触的同学对Kafka Eagle不太了解,那我们现在简要介绍一下Kafka Eagle. 源代码地址:https://github.com/smartloli/kafka-eagle (感兴趣的同学可以关注一波) 2.1 Kafka Eagle是什么? Kafka Eag