欧美一级特黄大片做受成人-亚洲成人一区二区电影-激情熟女一区二区三区-日韩专区欧美专区国产专区

怎么配置客戶端以安全連接到Kafka集群

這篇文章主要介紹“怎么配置客戶端以安全連接到Kafka集群”,在日常操作中,相信很多人在怎么配置客戶端以安全連接到Kafka集群問題上存在疑惑,小編查閱了各式資料,整理出簡單好用的操作方法,希望對大家解答”怎么配置客戶端以安全連接到Kafka集群”的疑惑有所幫助!接下來,請跟著小編一起來學習吧!

公司主營業(yè)務:成都做網(wǎng)站、成都網(wǎng)站建設、移動網(wǎng)站開發(fā)等業(yè)務。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳,提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴謹、自律”為核心的企業(yè)文化,感謝他們對我們的高要求,感謝他們從不同領域給我們帶來的挑戰(zhàn),讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)推出東平免費做網(wǎng)站回饋大家。

這是有關Apache Kafka安全性的簡短博客文章系列的第一部分。在本文中,我們將說明如何配置客戶端以使用不同的身份驗證機制對集群進行身份驗證。

可以將受保護的Apache Kafka集群配置為使用以下不同方法來強制執(zhí)行身份驗證:

  • SSL – TLS客戶端身份驗證

  • SASL / GSSAPI – Kerberos身份驗證

  • SASL / PLAIN – LDAP和基于文件的身份驗證

  • SASL / SCRAM-SHA-256和SASL / SCRAM-SHA-512

  • SASL /OAUTHBEARER

在本文中,我們將開始研究Kerberos身份驗證,并將重點介紹通過配置為使用Kerberos的集群進行身份驗證所需的客戶端配置

我們將不在本文中介紹服務器端配置,但在需要使示例更清楚時將添加一些引用。

此處顯示的示例將以粗體突出顯示與身份驗證相關的屬性,以將其與其他必需的安全屬性區(qū)分開,如下例所示。假定已為Apache Kafka集群啟用了TLS,并且應該為每個安全集群啟用TLS。

security.protocol=SASL_SSL
ssl.truststore.location=/opt/cloudera/security/jks/truststore.jks

我們在以下所有示例中使用kafka-console-consumer 。所有概念和配置也適用于其他應用程序。 

Kerberos身份驗證

迄今為止,Kerberos是我們在該領域中用于保護Kafka集群安全的最常用選項。它使用戶能夠使用存儲在Active Directory,RedHat IPA和FreeIPA等服務中的公司身份,從而簡化了身份管理。Kerberos化的Kafka集群還使與大數(shù)據(jù)生態(tài)系統(tǒng)中的其他服務集成變得更加容易,該服務通常使用Kerberos進行強身份驗證。

Kafka通過簡單身份驗證和安全層(SASL)框架實現(xiàn)Kerberos身份驗證。SASL是身份驗證框架,是RFC 4422定義的標準IETF協(xié)議。它支持多種不同的身份驗證機制,而實現(xiàn)Kerberos身份驗證的機制稱為GSSAPI。

The basic Kafka client properties that must be set to configure the Kafka client to authenticate via Kerberos are shown below:

# Uses SASL/GSSAPI over a TLS encrypted connectionsecurity.protocol=SASL_SSLsasl.mechanism=GSSAPIsasl.kerberos.service.name=kafka# TLS truststoressl.truststore.location=/opt/cloudera/security/jks/truststore.jks

上面的配置使用Kerberos(SASL / GSSAPI)進行身份驗證。TLS(SSL)僅用于通過有線進行數(shù)據(jù)加密。 

JAAS配置

但是,以上屬性未向客戶端提供其通過Kafka集群進行身份驗證所需的憑據(jù)。我們需要更多信息。

使用Kerberos時,我們可以通過兩種方式將憑據(jù)提供給客戶端應用程序。以有效的Kerberos票證的形式存儲在票證緩存中,或者作為keytab文件,應用程序可以使用該文件來獲取Kerberos票證

Kafka客戶端中Kerberos憑證的處理由Java身份驗證和授權服務(JAAS)庫完成。因此,我們需要為客戶端配置必要的信息,以便JAAS知道從何處獲取憑證。

有兩種方法可以為Kafka客戶端設置這些屬性:

  • 創(chuàng)建一個JAAS配置文件,并將Java系統(tǒng)屬性java.security.auth.login.config指向它;要么

  • 內(nèi)聯(lián)JAAS配置,設置Kafka客戶端屬性sasl.jaas.config 。 

在本節(jié)中,我們顯示如何使用這兩種方法。為了簡單起見,本文中的示例將使用sasl.jaas.config方法。  

使用JAAS配置文件

如果您使用的是JAAS配置文件,則需要告訴Kafka Java客戶端在哪里找到它。這是通過在命令行中設置以下Java屬性來完成的:

... -Djava.security.auth.login.config=/path/to/jaas.conf...

如果您在Cloudera數(shù)據(jù)平臺(CDP)中使用Kafka命令行工具,則可以通過設置以下環(huán)境變量來實現(xiàn):

$ export KAFKA_OPTS="-Djava.security.auth.login.config=/path/to/jaas.conf"

配置文件的內(nèi)容取決于憑證的來源。要使用存儲在用戶票證緩存中的Kerberos票證,請使用以下jaas.conf文件:

KafkaClient { com.sun.security.auth.module.Krb5LoginModule required useTicketCache=true;};

要使用Keytab,請改用以下命令:

KafkaClient { com.sun.security.auth.module.Krb5LoginModule required useKeyTab=true keyTab="/etc/security/keytabs/alice.keytab" principal="alice@EXAMPLE.COM";};
 

使用sasl.jaas.config屬性

我通常不喜歡使用單獨的JAAS配置文件,而更喜歡使用sasl.jaas.config Kafka屬性為客戶端設置JAAS配置。這通常更簡單,并且擺脫了其他配置文件(jaas.conf )。下面的配置與上面的jaas.conf配置相同。

注意:以下設置必須寫在一行中。該行末尾的分號是必需的。

要使用存儲在票證緩存中的Kerberos票證,請執(zhí)行以下操作:

sasl.jaas.config=com.sun.security.auth.module.Krb5LoginModule required useTicketCache=true;

要使用keytab,請改用以下命令:

sasl.jaas.config=com.sun.security.auth.module.Krb5LoginModule required useKeyTab=true keyTab="/etc/security/keytabs/alice.keytab" principal="alice@EXAMPLE.COM";

示例

以下是使用Kafka控制臺使用者使用Kerberos身份驗證并直接連接到代理(不使用負載均衡器)從主題讀取的示例:

# Complete configuration file for Kerberos auth using the ticket cache$ cat krb-client.propertiessecurity.protocol=SASL_SSLsasl.mechanism=GSSAPIsasl.kerberos.service.name=kafkasasl.jaas.config=com.sun.security.auth.module.Krb5LoginModule required useTicketCache=true;ssl.truststore.location=/opt/cloudera/security/jks/truststore.jks# Authenticate with Kerberos to get a valid ticket$ kinit alicePassword for alice@REALM:

# Connect to Kafka using the ticket in the ticket cache$ kafka-console-consumer \   --bootstrap-server host-1.example.com:9093 \   --topic test \    --consumer.config /path/to/krb-client.properties

與Kerberos的網(wǎng)絡連接

Kerberos的中心組件是Kerberos分發(fā)中心(KDC)。KDC是處理客戶端啟動的所有Kerberos身份驗證的服務。為了使Kerberos身份驗證正常工作,Kafka集群和客戶端都必須具有與KDC的連接。

在公司環(huán)境中,這很容易實現(xiàn),通常是這種情況。但是,在某些部署中,KDC可能會放置在防火墻后面,從而使客戶端無法通過它來獲取有效票證。

云和混合部署(云+本地部署)可能會給客戶端使用Kerberos身份驗證帶來挑戰(zhàn),因為本地KDC通常未集成到部署了云的服務中。但是,由于Kafka支持其他身份驗證機制,因此客戶可以使用其他替代方法,我們將在下一篇文章中進行探討。

到此,關于“怎么配置客戶端以安全連接到Kafka集群”的學習就結束了,希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習,快去試試吧!若想繼續(xù)學習更多相關知識,請繼續(xù)關注創(chuàng)新互聯(lián)網(wǎng)站,小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>

本文標題:怎么配置客戶端以安全連接到Kafka集群
網(wǎng)址分享:http://aaarwkj.com/article8/ispcip.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供關鍵詞優(yōu)化網(wǎng)站導航、網(wǎng)站排名品牌網(wǎng)站建設、網(wǎng)站建設電子商務

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉載內(nèi)容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)

成都網(wǎng)頁設計公司
成年人三级黄色片视频| 成人午夜激情福利动态| 天天干天天干夜夜操| 国产av一区二区三区高潮蜜| 国产亚洲av综合人人精品| 日韩欧美亚洲国产每日更新| 欧美精品一区二区三区狠狠| 国产美女自拍视频一区| 国产av毛片一区二区| av天天堂网在线播放| 蜜桃av在线观看一区二区| 欧美国产日韩一区二区三区视频| 少妇一夜一次一区二区| 91免费视频精品麻豆| 亚洲综合成人av在线| 青青草原在线视频观看| 国产三级精品大乳人妇| 男人的天堂av最新版本| 日韩欧美亚洲一区二区三区| 亚洲一区二区三区四区五区六| 日本一区二区三区视频| 一本在线不卡中文字幕| 国产伊人久久综合网| 欧美激情性国产精品潮| 国产精品九九久久精品三级| 亚洲av天堂天天天堂色| 中文字幕人妻熟人妻熟丝| 久久成人a毛片免费观看网站| 亚洲国产精品va在线香蕉| 未满十八禁止免费在线观看| 日韩欧美一区二区三级| 毛片成人18毛片免费看| 日韩精品大全一区二区| 日本韩国三级视频在线观看| 蜜桃成人一区二区三区| 亚洲精品成人久久av| 日本成熟亚洲中文字幕的| 国产精品观看在线亚洲人成网| 日本欧美高清一区二区| 在线国产视频一区二区三区| 亚洲黄色一区大陆av剧情|