问答
问答
centos

centos中kafka安全配置怎么做

小樊
32
2025-12-27 09:02:26
栏目: 智能运维

在CentOS系统中配置Kafka的安全性,可以遵循以下步骤:

1. 配置SSL/TLS

生成SSL证书和密钥

首先,你需要为Kafka的Broker和客户端生成SSL证书和密钥。

# 创建一个目录来存放证书和密钥
mkdir -p /etc/kafka/ssl

# 生成CA证书
keytool -genkey -alias kafka_ca -keyalg RSA -keystore /etc/kafka/ssl/ca.jks -storepass changeit -validity 3650

# 导出CA证书
keytool -export -alias kafka_ca -file /etc/kafka/ssl/ca.crt -keystore /etc/kafka/ssl/ca.jks -storepass changeit

# 为Broker生成证书和密钥
keytool -genkey -alias kafka_broker -keyalg RSA -keystore /etc/kafka/ssl/broker.jks -storepass changeit -validity 3650 -ext SAN=dns:kafka.example.com

# 导出Broker证书
keytool -export -alias kafka_broker -file /etc/kafka/ssl/broker.crt -keystore /etc/kafka/ssl/broker.jks -storepass changeit

# 为客户端生成证书和密钥
keytool -genkey -alias kafka_client -keyalg RSA -keystore /etc/kafka/ssl/client.jks -storepass changeit -validity 3650 -ext SAN=dns:client.example.com

# 导出客户端证书
keytool -export -alias kafka_client -file /etc/kafka/ssl/client.crt -keystore /etc/kafka/ssl/client.jks -storepass changeit

配置Kafka Broker

编辑server.properties文件,添加或修改以下配置:

listeners=SSL://:9093
ssl.keystore.location=/etc/kafka/ssl/broker.jks
ssl.keystore.password=changeit
ssl.key.password=changeit
ssl.truststore.location=/etc/kafka/ssl/broker.jks
ssl.truststore.password=changeit
ssl.enabled.protocols=TLSv1.2
ssl.protocol=TLSv1.2
ssl.cipher.suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

配置Kafka客户端

编辑客户端的配置文件(例如client.properties),添加或修改以下配置:

security.protocol=SSL
ssl.truststore.location=/etc/kafka/ssl/client.jks
ssl.truststore.password=changeit
ssl.keystore.location=/etc/kafka/ssl/client.jks
ssl.keystore.password=changeit
ssl.enabled.protocols=TLSv1.2
ssl.protocol=TLSv1.2
ssl.cipher.suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

2. 配置SASL

创建JAAS配置文件

创建一个JAAS配置文件(例如kafka_server_jaas.conf),用于配置SASL认证:

KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="admin-secret"
    user_admin="admin-secret";
};

配置Kafka Broker

编辑server.properties文件,添加或修改以下配置:

listeners=SASL_SSL://:9093
security.inter.broker.protocol=SASL_SSL
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin-secret";

配置Kafka客户端

编辑客户端的配置文件(例如client.properties),添加或修改以下配置:

security.protocol=SASL_SSL
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin-secret";

3. 配置防火墙

确保防火墙允许Kafka的端口(默认是9092和9093):

firewall-cmd --permanent --zone=public --add-port=9092/tcp
firewall-cmd --permanent --zone=public --add-port=9093/tcp
firewall-cmd --reload

4. 重启Kafka服务

最后,重启Kafka服务以应用所有配置更改:

systemctl restart kafka

通过以上步骤,你可以在CentOS系统中配置Kafka的安全性,包括SSL/TLS加密和SASL认证。

0
看了该问题的人还看了
产品服务
地区划分
帮助支持
关于我们
行业资讯-文章归档 问答-问答归档
广州亿速云计算有限公司

7*24小时在线电话:400-100-2938

7*24小时在线QQ:800811969

Copyright © Yisu Cloud Ltd. All Rights Reserved. 2018 版权所有
粤ICP备17096448号-1 粤公网安备 44010402001142号