在Debian系统上配置Kafka的安全设置主要包括启用SSL/TLS加密、配置SASL认证、配置防火墙、限制操作系统权限以及使用访问控制列表(ACL)等步骤。以下是详细的配置指南:
生成SSL证书和密钥:
mkdir -p /etc/kafka/ssl
openssl req -newkey rsa:2048 -nodes -keyout /etc/kafka/ssl/server.key -x509 -days 365 -out /etc/kafka/ssl/server.crt
openssl req -newkey rsa:2048 -nodes -keyout /etc/kafka/ssl/client.key -x509 -days 365 -out /etc/kafka/ssl/client.crt
配置Kafka服务器:
编辑 /etc/kafka/server.properties 文件,添加或修改以下配置:
listeners=SSL://:9093
security.inter.broker.protocol=SSL
ssl.keystore.location=/etc/kafka/ssl/server.jks
ssl.keystore.password=your_keystore_password
ssl.key.password=your_key_password
ssl.truststore.location=/etc/kafka/ssl/server.jks
ssl.truststore.password=your_truststore_password
ssl.enabled.protocols=TLSv1.2,TLSv1.3
ssl.cipher.suites=TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384
安装并配置JAAS文件:
创建一个JAAS配置文件,例如 /etc/kafka/kafka_server_jaas.conf:
KafkaServer {
org.apache.kafka.common.security.plain.PlainLoginModule required
username="admin"
password="admin-secret";
}
修改Kafka配置文件:
编辑 /etc/kafka/server.properties 文件,添加或修改以下配置:
listeners=SASL_PLAINTEXT://:9092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
sasl.client.config=/etc/kafka/kafka_server_jaas.conf
确保Kafka所需的端口(如9092和9093)在防火墙中打开:
sudo ufw allow 9092/tcp
sudo ufw allow 9093/tcp
通过Kafka的ACL功能来定义用户和角色,为用户分配适当的权限,例如读取、写入或管理主题等。
kafka-acls.sh --zookeeper localhost:2181 --add --allow-principal User:admin --operation Read --topic test
kafka-acls.sh --zookeeper localhost:2181 --add --allow-principal User:admin --operation Write --topic test
完成上述配置后,重启Kafka服务以使更改生效:
sudo systemctl restart kafka
以上步骤涵盖了在Debian系统上配置Kafka的安全认证,包括SSL/TLS和SASL。确保在生产环境中使用有效的证书和强密码,并根据需要调整配置。