在 Debian 系统中配置 Apache Kafka 的安全策略,通常涉及以下几个方面:SSL/TLS 加密、SASL 认证和授权。以下是一个基本的步骤指南,帮助你在 Debian 系统上配置 Kafka 的安全策略。
首先,确保你已经在 Debian 系统上安装了 Kafka。你可以从 Kafka 官方网站下载并按照安装指南进行安装。
wget https://downloads.apache.org/kafka/3.2.0/kafka_2.13-3.2.0.tgz tar -xzf kafka_2.13-3.2.0.tgz cd kafka_2.13-3.2.0 SSL/TLS 用于加密 Kafka 集群中的通信。
使用 keytool 生成自签名证书和密钥。
# 创建一个目录来存储证书和密钥 mkdir -p kafka/config/ssl # 生成服务器证书和密钥 keytool -genkey -alias kafka-server -keyalg RSA -keystore kafka/config/ssl/server.jks -storepass password -validity 3650 -keysize 2048 # 导出服务器证书 keytool -export -alias kafka-server -file kafka/config/ssl/server.crt -keystore kafka/config/ssl/server.jks -storepass password # 生成客户端证书和密钥 keytool -genkey -alias kafka-client -keyalg RSA -keystore kafka/config/ssl/client.jks -storepass password -validity 3650 -keysize 2048 # 导出客户端证书 keytool -export -alias kafka-client -file kafka/config/ssl/client.crt -keystore kafka/config/ssl/client.jks -storepass password 编辑 server.properties 文件,添加或修改以下配置:
listeners=SSL://:9093 ssl.keystore.location=/path/to/kafka/config/ssl/server.jks ssl.keystore.password=password ssl.key.password=password ssl.truststore.location=/path/to/kafka/config/ssl/server.jks ssl.truststore.password=password ssl.enabled.protocols=TLSv1.2,TLSv1.3 ssl.cipher.suites=TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384 编辑 client.properties 文件,添加或修改以下配置:
security.protocol=SSL ssl.truststore.location=/path/to/kafka/config/ssl/client.jks ssl.truststore.password=password ssl.keystore.location=/path/to/kafka/config/ssl/client.jks ssl.keystore.password=password ssl.enabled.protocols=TLSv1.2,TLSv1.3 ssl.cipher.suites=TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384 SASL 用于在 Kafka 集群中进行认证。
编辑 server.properties 文件,添加或修改以下配置:
sasl.enabled.mechanisms=PLAIN,SCRAM-SHA-256,SCRAM-SHA-512 sasl.mechanism.inter.broker.protocol=SCRAM-SHA-256 listener.name.sasl_ssl.plain.sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="admin" password="admin-secret"; listener.name.sasl_ssl.scram-sha-256.sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="admin" password="admin-secret"; 创建一个 JAAS 配置文件 /etc/kafka/kafka_server_jaas.conf,内容如下:
KafkaServer { org.apache.kafka.common.security.scram.ScramLoginModule required username="admin" password="admin-secret"; }; 编辑 client.properties 文件,添加或修改以下配置:
sasl.mechanism=SCRAM-SHA-256 security.protocol=SASL_SSL sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required username="admin" password="admin-secret"; 授权用于控制用户对 Kafka 资源的访问。
使用 Kafka 提供的 kafka-acls.sh 脚本创建 ACL。
bin/kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 \ --add --allow-principal User:admin --operation Read --topic test-topic 完成上述配置后,重启 Kafka 服务以应用更改。
systemctl restart kafka 通过以上步骤,你可以在 Debian 系统上配置 Kafka 的安全策略,包括 SSL/TLS 加密、SASL 认证和授权。根据你的具体需求,可能需要进行更多的配置和调整。
