Kafka 中如何配置 SASL？

推荐答案

在 Kafka 中配置 SASL（Simple Authentication and Security Layer）通常涉及以下几个步骤：

1. 配置 Kafka Broker：

   • 在 server.properties 文件中，添加或修改以下配置：

     listeners=SASL_PLAINTEXT://:9092
     security.inter.broker.protocol=SASL_PLAINTEXT
     sasl.mechanism.inter.broker.protocol=PLAIN
     sasl.enabled.mechanisms=PLAIN

2. 配置 JAAS 文件：

   • 创建一个 JAAS 配置文件，例如 kafka_server_jaas.conf，内容如下：

     KafkaServer {
         org.apache.kafka.common.security.plain.PlainLoginModule required
         username="admin"
         password="admin-secret"
         user_admin="admin-secret"
         user_alice="alice-secret";
     };

   • 在启动 Kafka Broker 时，通过 JVM 参数指定 JAAS 文件路径：

     export KAFKA_OPTS="-Djava.security.auth.login.config=/path/to/kafka_server_jaas.conf"

3. 配置 Kafka Client：

   • 在客户端的 client.properties 文件中，添加以下配置：

     security.protocol=SASL_PLAINTEXT
     sasl.mechanism=PLAIN
     sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="alice" password="alice-secret";

4. 启动 Kafka Broker 和 Client：

   • 启动 Kafka Broker 和客户端应用程序，确保它们能够通过 SASL 进行身份验证和通信。

本题详细解读

1. SASL 简介

SASL 是一种用于身份验证的框架，Kafka 支持多种 SASL 机制，如 PLAIN、SCRAM-SHA-256、SCRAM-SHA-512 等。SASL 可以与 SSL/TLS 结合使用，以提供更强的安全性。

2. Kafka Broker 配置

• listeners：指定 Kafka Broker 监听的协议和端口。SASL_PLAINTEXT 表示使用 SASL 进行身份验证，但不加密通信。
• security.inter.broker.protocol：指定 Broker 之间通信的安全协议。
• sasl.mechanism.inter.broker.protocol：指定 Broker 之间通信的 SASL 机制。
• sasl.enabled.mechanisms：指定 Broker 启用的 SASL 机制。

3. JAAS 配置

• KafkaServer：定义 Kafka Broker 的登录模块和用户凭证。
• PlainLoginModule：使用 PLAIN 机制进行身份验证，配置用户名和密码。

4. Kafka Client 配置

• security.protocol：指定客户端与 Broker 通信的安全协议。
• sasl.mechanism：指定客户端使用的 SASL 机制。
• sasl.jaas.config：直接在配置文件中指定客户端的 JAAS 配置，避免使用外部文件。

5. 启动和验证

• 确保 Kafka Broker 和客户端都正确配置了 SASL 参数，启动后可以通过日志或监控工具验证身份验证是否成功。

通过以上步骤，你可以在 Kafka 中成功配置 SASL，确保 Broker 和客户端之间的安全通信。