在Debian上配置Apache Kafka的认证与授权涉及多个步骤,包括设置SSL/TLS、SASL/PLAIN、JAAS配置等。以下是一个基本的指南,帮助你在Debian上配置Kafka的认证与授权。
首先,确保你已经在Debian上安装了Kafka。你可以从Kafka官方网站下载并解压Kafka。
wget https://downloads.apache.org/kafka/3.2.0/kafka_2.13-3.2.0.tgz
tar -xzf kafka_2.13-3.2.0.tgz
cd kafka_2.13-3.2.0
SSL/TLS用于加密Kafka集群中的通信。
你可以使用OpenSSL生成自签名证书。
# 创建一个目录来存储证书
mkdir -p kafka/config/ssl
# 生成CA证书
openssl req -new -x509 -days 365 -keyout kafka/config/ssl/ca-key.pem -out kafka/config/ssl/ca-cert.pem -subj "/CN=kafka-ca"
# 生成服务器证书
openssl req -newkey rsa:2048 -days 365 -nodes -keyout kafka/config/ssl/server-key.pem -out kafka/config/ssl/server-cert.pem -subj "/CN=kafka"
# 生成客户端证书
openssl req -newkey rsa:2048 -days 365 -nodes -keyout kafka/config/ssl/client-key.pem -out kafka/config/ssl/client-cert.pem -subj "/CN=kafka-client"
编辑server.properties文件,添加以下配置:
listeners=SSL://:9093
ssl.keystore.location=/path/to/kafka/config/ssl/server-keystore.jks
ssl.keystore.password=password
ssl.key.password=password
ssl.truststore.location=/path/to/kafka/config/ssl/ca-cert.pem
ssl.truststore.password=password
ssl.enabled.protocols=TLSv1.2
ssl.protocol=TLSv1.2
ssl.cipher.suites=TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384
编辑client.properties文件,添加以下配置:
security.protocol=SSL
ssl.truststore.location=/path/to/kafka/config/ssl/client-truststore.jks
ssl.truststore.password=password
ssl.keystore.location=/path/to/kafka/config/ssl/client-keystore.jks
ssl.keystore.password=password
ssl.key.password=password
SASL/PLAIN用于基于用户名和密码的认证。
创建一个JAAS配置文件kafka_server_jaas.conf,内容如下:
KafkaServer {
org.apache.kafka.common.security.plain.PlainLoginModule required
username="admin"
password="admin-secret"
user_admin="/path/to/kafka/config/users.properties";
};
创建一个用户配置文件users.properties,内容如下:
admin=admin-secret
编辑server.properties文件,添加以下配置:
listeners=SASL_SSL://:9093
security.inter.broker.protocol=SASL_SSL
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
jaas.config=/path/to/kafka/config/kafka_server_jaas.conf
编辑client.properties文件,添加以下配置:
security.protocol=SASL_SSL
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin-secret";
启动Kafka服务器和Zookeeper:
# 启动Zookeeper
bin/zookeeper-server-start.sh config/zookeeper.properties
# 启动Kafka服务器
bin/kafka-server-start.sh config/server.properties
使用Kafka客户端连接到服务器,验证认证和授权是否生效。
bin/kafka-console-producer.sh --broker-list localhost:9093 --topic test --property security.protocol=SASL_SSL --property sasl.mechanism=PLAIN --property sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin-secret"
通过以上步骤,你应该能够在Debian上成功配置Kafka的认证与授权。根据你的具体需求,可能还需要进行更多的配置和调整。