在 Debian 系统中配置 Apache Kafka 的安全策略,通常涉及以下几个方面:SSL/TLS 加密、SASL 认证和授权。以下是一个基本的步骤指南,帮助你在 Debian 系统上配置 Kafka 的安全策略。
首先,确保你已经在 Debian 系统上安装了 Kafka。你可以从 Kafka 官方网站下载并按照安装指南进行安装。
wget https://downloads.apache.org/kafka/3.2.0/kafka_2.13-3.2.0.tgz
tar -xzf kafka_2.13-3.2.0.tgz
cd kafka_2.13-3.2.0
SSL/TLS 用于加密 Kafka 集群中的通信。
使用 keytool 生成自签名证书和密钥。
# 创建一个目录来存储证书和密钥
mkdir -p kafka/config/ssl
# 生成服务器证书和密钥
keytool -genkey -alias kafka-server -keyalg RSA -keystore kafka/config/ssl/server.jks -storepass password -validity 3650 -keysize 2048
# 导出服务器证书
keytool -export -alias kafka-server -file kafka/config/ssl/server.crt -keystore kafka/config/ssl/server.jks -storepass password
# 生成客户端证书和密钥
keytool -genkey -alias kafka-client -keyalg RSA -keystore kafka/config/ssl/client.jks -storepass password -validity 3650 -keysize 2048
# 导出客户端证书
keytool -export -alias kafka-client -file kafka/config/ssl/client.crt -keystore kafka/config/ssl/client.jks -storepass password
编辑 server.properties 文件,添加或修改以下配置:
listeners=SSL://:9093
ssl.keystore.location=/path/to/kafka/config/ssl/server.jks
ssl.keystore.password=password
ssl.key.password=password
ssl.truststore.location=/path/to/kafka/config/ssl/server.jks
ssl.truststore.password=password
ssl.enabled.protocols=TLSv1.2,TLSv1.3
ssl.cipher.suites=TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384
编辑 client.properties 文件,添加或修改以下配置:
security.protocol=SSL
ssl.truststore.location=/path/to/kafka/config/ssl/client.jks
ssl.truststore.password=password
ssl.keystore.location=/path/to/kafka/config/ssl/client.jks
ssl.keystore.password=password
ssl.enabled.protocols=TLSv1.2,TLSv1.3
ssl.cipher.suites=TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384
SASL 用于在 Kafka 集群中进行认证。
编辑 server.properties 文件,添加或修改以下配置:
sasl.enabled.mechanisms=PLAIN,SCRAM-SHA-256,SCRAM-SHA-512
sasl.mechanism.inter.broker.protocol=SCRAM-SHA-256
listener.name.sasl_ssl.plain.sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="admin" password="admin-secret";
listener.name.sasl_ssl.scram-sha-256.sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="admin" password="admin-secret";
创建一个 JAAS 配置文件 /etc/kafka/kafka_server_jaas.conf,内容如下:
KafkaServer {
org.apache.kafka.common.security.scram.ScramLoginModule required
username="admin"
password="admin-secret";
};
编辑 client.properties 文件,添加或修改以下配置:
sasl.mechanism=SCRAM-SHA-256
security.protocol=SASL_SSL
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="admin" password="admin-secret";
授权用于控制用户对 Kafka 资源的访问。
使用 Kafka 提供的 kafka-acls.sh 脚本创建 ACL。
bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 \
--add --allow-principal User:admin --operation Read --topic test-topic
完成上述配置后,重启 Kafka 服务以应用更改。
systemctl restart kafka
通过以上步骤,你可以在 Debian 系统上配置 Kafka 的安全策略,包括 SSL/TLS 加密、SASL 认证和授权。根据你的具体需求,可能需要进行更多的配置和调整。