在Linux上配置Kafka权限是确保系统安全性和数据完整性的重要步骤。以下是详细的权限设置步骤:
创建专用的用户和组:
sudo groupadd kafka
sudo useradd -g kafka kafka
配置Kafka服务启动用户:
/etc/systemd/system/kafka.service或/lib/systemd/system/kafka.service),设置User和Group为kafka。[Service]
User=kafka
Group=kafka
设置Kafka安装目录及其子目录的所有权:
sudo chown -R kafka:kafka /usr/local/kafka
sudo chown -R kafka:kafka /usr/local/kafka/kafka-logs
设置适当的目录权限:
sudo chmod -R 750 /usr/local/kafka
sudo chmod -R 750 /usr/local/kafka/kafka-logs
配置文件权限:
server.properties和其他配置文件的权限设置正确。sudo chmod 644 /usr/local/kafka/kafka_2.12-2.2.0/config/server.properties
编辑server.properties文件:
listeners=SASL_PLAINTEXT://:9092
advertised.listeners=SASL_PLAINTEXT://your_host_ip:9092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
authorizer.class.name=org.apache.kafka.common.security.auth.SimpleAclAuthorizer
allow.everyone.if.no.acl.found=false
super.users=User:kafka
配置SASL认证:
kafka_server_jaas.conf):KafkaServer {
org.apache.kafka.common.security.plain.PlainLoginModule required
username="kafka"
password="kafka-secret";
}
export KAFKA_OPTS="-Djava.security.auth.login.config=/path/to/kafka_server_jaas.conf"
kafka-acls.sh脚本创建和管理ACL。例如,为特定用户授予对特定主题的读写权限:kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 \
--add --allow-principal User:username --operation Read --topic topic-name
--add --allow-principal User:username --operation Write --topic topic-name
sudo iptables -A INPUT -p tcp --dport 9092 -j ACCEPT
sudo service iptables save
生成SSL证书和密钥:
sudo openssl req -newkey rsa:2048 -nodes -keyout kafka.server.key -x509 -days 365 -out kafka.server.crt
sudo keytool -import -alias kafka -file kafka.server.crt -keystore kafka.server.jks -storepass your_password
编辑server.properties文件:
ssl.keystore.location=/path/to/kafka.server.jks
ssl.keystore.password=your_keystore_password
ssl.key.password=your_key_password
通过以上步骤,您可以在Linux上为Kafka设置适当的权限和配置,以确保系统的安全性和稳定性。