问答
问答
centos

centos kafka如何进行安全设置

小樊
39
2025-08-14 18:30:46
栏目: 智能运维

在CentOS上对Kafka进行安全设置,可以遵循以下步骤:

1. 配置SSL/TLS加密

生成SSL证书和密钥

使用OpenSSL生成自签名证书或从CA获取证书。

# 生成密钥
openssl genrsa -alias kafka -out kafka.key 2048

# 生成CSR(证书签名请求)
openssl req -new -key kafka.key -out kafka.csr -subj "/CN=kafka"

# 生成自签名证书
openssl x509 -req -days 365 -in kafka.csr -signkey kafka.key -out kafka.crt

配置Kafka服务器

编辑server.properties文件,添加以下配置:

listeners=SSL://:9093
ssl.keystore.location=/path/to/kafka.keystore.jks
ssl.keystore.password=your_keystore_password
ssl.key.password=your_key_password
ssl.truststore.location=/path/to/kafka.truststore.jks
ssl.truststore.password=your_truststore_password
ssl.enabled.protocols=TLSv1.2
ssl.protocol=TLSv1.2
ssl.cipher.suites=TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384

配置Kafka客户端

在客户端配置文件client.properties中添加:

security.protocol=SSL
ssl.truststore.location=/path/to/client.truststore.jks
ssl.truststore.password=your_truststore_password
ssl.keystore.location=/path/to/client.keystore.jks
ssl.keystore.password=your_keystore_password
ssl.key.password=your_key_password

2. 配置SASL认证

安装JAAS配置文件

创建JAAS配置文件kafka_server_jaas.conf

KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="admin-secret"
    user_admin="admin-secret";
};

配置Kafka服务器

编辑server.properties文件,添加以下配置:

listeners=SASL_SSL://:9093
security.inter.broker.protocol=SASL_SSL
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
allow.everyone.if.no.acl.found=false
super.users=User:admin
jaas.login.relogin.enable=true

配置Kafka客户端

在客户端配置文件client.properties中添加:

security.protocol=SASL_SSL
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin-secret";

3. 配置防火墙

确保防火墙允许Kafka使用的端口(默认9092和9093):

sudo firewall-cmd --permanent --zone=public --add-port=9092/tcp
sudo firewall-cmd --permanent --zone=public --add-port=9093/tcp
sudo firewall-cmd --reload

4. 配置ACL(访问控制列表)

编辑server.properties文件,启用ACL并配置相关设置:

authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
allow.everyone.if.no.acl.found=false
super.users=User:admin

然后使用kafka-acls.sh脚本创建和管理ACL:

# 创建一个主题的读权限
kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 \
            --add --allow-principal User:admin \
            --operation Read --topic your_topic

# 创建一个主题的写权限
kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 \
            --add --allow-principal User:admin \
            --operation Write --topic your_topic

5. 监控和日志

确保Kafka的日志级别设置为适当的级别,并定期检查日志文件以监控安全事件。

log4j.logger.kafka=INFO

通过以上步骤,你可以显著提高Kafka在CentOS上的安全性。记得定期更新证书和密钥,并监控系统的安全状态。

0
看了该问题的人还看了
产品服务
地区划分
帮助支持
关于我们
行业资讯-文章归档 问答-问答归档
广州亿速云计算有限公司

7*24小时在线电话:400-100-2938

7*24小时在线QQ:800811969

Copyright © Yisu Cloud Ltd. All Rights Reserved. 2018 版权所有
粤ICP备17096448号-1 粤公网安备 44010402001142号