Kafka如何配置防火墙规则

Kafka配置防火墙规则需根据使用场景开放对应端口，以下是主要步骤和注意事项：

一、确认需开放的端口

• 默认端口：
  • 9092：Kafka Broker默认通信端口（非SSL）。
  • 9093：Kafka Broker默认SSL通信端口。
  • 2181：ZooKeeper默认端口（Kafka依赖ZooKeeper管理元数据）。
  • 其他端口：如需启用SASL认证，需开放对应端口（参考Kafka配置参数）。

二、基于系统防火墙工具配置

1. 使用iptables（适用于CentOS 6/7等）

• 开放端口：

  sudo iptables -A INPUT -p tcp --dport 9092 -j ACCEPT  # 开放Kafka默认端口  
  sudo iptables -A INPUT -p tcp --dport 2181 -j ACCEPT  # 开放ZooKeeper端口  
  sudo iptables-save | sudo tee /etc/iptables/rules.v4  # 保存规则  
  

• 验证规则：

  sudo iptables -L -n -v  # 查看已生效规则  
  

2. 使用firewalld（适用于CentOS 7/8、RHEL等）

• 开放端口：

  sudo firewall-cmd --add-port=9092/tcp --permanent  # 开放Kafka默认端口  
  sudo firewall-cmd --add-port=2181/tcp --permanent  # 开放ZooKeeper端口  
  sudo firewall-cmd --reload  # 重新加载规则  
  

• 验证规则：

  sudo firewall-cmd --list-ports  # 查看已开放端口  
  

三、关键注意事项

1. 端口匹配配置：

   • 确保防火墙开放的端口与Kafka配置文件（server.properties）中的listeners和advertised.listeners参数一致。
   • 例如：若配置listeners=PLAINTEXT://0.0.0.0:9092，则需开放9092端口。

2. 安全增强：

   • 仅开放必要端口，关闭非必需端口（如测试环境可临时关闭2181以外的端口）。
   • 结合IP白名单限制访问来源（需在防火墙规则中添加-s <允许的IP>参数）。

3. 集群场景：

   • 若为分布式集群，需确保所有Broker节点的对应端口在防火墙中开放，且跨节点通信端口一致。

4. 验证连通性：

   • 配置后通过Kafka客户端工具（如kafka-console-producer.sh/consumer.sh）测试内外网访问是否正常。

四、参考来源

• 防火墙命令示例：
• Kafka默认端口：