在CentOS上配置Kafka的安全设置涉及多个步骤,包括启用SSL/TLS加密、配置SASL认证等。以下是一个基本的指南,帮助你在CentOS上配置Kafka的安全设置。
Kafka需要Java运行环境,首先确保你已经安装了Java。
sudo yum install java-1.8.0-openjdk-devel
从Apache Kafka官网下载最新版本的Kafka,并解压到指定目录。
wget https://downloads.apache.org/kafka/2.8.0/kafka_2.13-2.8.0.tgz
tar -xzf kafka_2.13-2.8.0.tgz
cd kafka_2.13-2.8.0
使用OpenSSL生成SSL证书和密钥。
# 创建一个目录来存储SSL证书和密钥
mkdir -p config/ssl
# 生成服务器证书和密钥
keytool -genkey -alias kafka-server -keystore config/ssl/server.jks -storepass password -validity 365 -keyalg RSA
# 导出服务器证书
keytool -export -alias kafka-server -file config/ssl/server.crt -keystore config/ssl/server.jks -storepass password
# 导入客户端证书到信任库
keytool -import -alias kafka-server -file config/ssl/server.crt -keystore config/ssl/client-truststore.jks -storepass password
编辑config/server.properties文件,添加以下配置:
listeners=SSL://:9093
ssl.keystore.location=/path/to/config/ssl/server.jks
ssl.keystore.password=password
ssl.key.password=password
ssl.truststore.location=/path/to/config/ssl/client-truststore.jks
ssl.truststore.password=password
ssl.enabled.protocols=TLSv1.2
ssl.cipher.suites=TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384
编辑config/client.properties文件,添加以下配置:
security.protocol=SSL
ssl.truststore.location=/path/to/config/ssl/client-truststore.jks
ssl.truststore.password=password
ssl.keystore.location=/path/to/config/ssl/client-keystore.jks
ssl.keystore.password=password
ssl.key.password=password
创建一个JAAS配置文件kafka_server_jaas.conf,用于配置SASL认证。
sudo vi config/kafka_server_jaas.conf
添加以下内容:
KafkaServer {
org.apache.kafka.common.security.plain.PlainLoginModule required
username="admin"
password="admin-secret"
user_admin="admin-secret";
};
编辑config/server.properties文件,添加以下配置:
listeners=SASL_SSL://:9093
security.inter.broker.protocol=SASL_SSL
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
allow.everyone.if.no.acl.found=false
super.users=User:admin
jaas.config=/path/to/config/kafka_server_jaas.conf
编辑config/client.properties文件,添加以下配置:
security.protocol=SASL_SSL
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin-secret";
启动Kafka服务器:
bin/kafka-server-start.sh config/server.properties
启动Kafka客户端:
bin/kafka-console-producer.sh --broker-list localhost:9093 --topic test --property security.protocol=SASL_SSL --property sasl.mechanism=PLAIN --property sasl.jaas.config="org.apache.kafka.common.security.plain.PlainLoginModule required username='admin' password='admin-secret';"
启动Kafka消费者:
bin/kafka-console-consumer.sh --bootstrap-server localhost:9093 --topic test --property security.protocol=SASL_SSL --property sasl.mechanism=PLAIN --property sasl.jaas.config="org.apache.kafka.common.security.plain.PlainLoginModule required username='admin' password='admin-secret';"
通过以上步骤,你可以在CentOS上配置Kafka的安全设置,包括SSL/TLS加密和SASL认证。根据实际需求,你可能需要进一步调整和优化配置。