在Ubuntu上配置Kafka的安全设置主要包括启用SSL/TLS加密、SASL认证、配置防火墙规则、创建用户和角色以及监控和审计等步骤。以下是详细的配置指南:
keytool工具生成密钥库(keystore)和信任库(truststore)。keytool -genkey -alias kafka -keyalg RSA -keystore kafka.server.keystore.jks -validity 3650
keytool -export -alias kafka -file kafka.server.keystore.jks -keystore kafka.server.truststore.jks
server.properties,指定密钥库和信任库的位置以及密码。listeners=SSL://your_kafka_broker_ip:9093
security.inter.broker.protocol=SSL
ssl.keystore.location=/path/to/kafka.server.keystore.jks
ssl.keystore.password=your_keystore_password
ssl.key.password=your_key_password
ssl.truststore.location=/path/to/kafka.server.truststore.jks
ssl.truststore.password=your_truststore_password
kafka_server_start.sh脚本中包含SASL相关的配置。cat <<EOF > /opt/kafka/kafka_2.11-2.1.0/conf/kafka_server_jaas.conf
KafkaServer {
org.apache.kafka.common.security.plain.PlainLoginModule required
username="admin"
password="admin-secret";
};
EOF
sasl.mechanism.inter.broker.protocol=PLAINTEXT
sasl.enabled.mechanisms=SASL_PLAINTEXT
sasl.client.mechanism.inter.broker.protocol=PLAINTEXT
确保Kafka所需的端口(默认为9092)在防火墙中打开。如果需要远程访问Kafka集群,确保外部IP地址也被允许通过防火墙。
sudo ufw allow 9092/tcp
使用Kafka的ACL(访问控制列表)功能来定义用户和角色,为用户分配适当的权限,例如读取、写入或管理主题等。
kafka-topics.sh --zookeeper localhost:2181 --alter --topic test --add-partition 1 --partitions 2
kafka-topics.sh --zookeeper localhost:2181 --alter --topic test --replication-factor 2
启用Kafka的日志记录功能,以便跟踪活动和异常情况。定期审查日志文件,检查潜在的安全问题或异常行为。
log.flush.interval.messages=100000
log.flush.interval.ms=1000
log.retention.hours=10
sudo systemctl daemon-reload
sudo systemctl enable zookeeper
sudo systemctl enable kafka
sudo systemctl start zookeeper
sudo systemctl start kafka