centos kafka如何進行安全設置

在CentOS上對Kafka進行安全設置，可以遵循以下步驟：

1. 配置SSL/TLS加密

生成SSL證書和密鑰

使用OpenSSL生成自簽名證書或從CA獲取證書。

# 生成密鑰
openssl genrsa -alias kafka -out kafka.key 2048

# 生成CSR（證書簽名請求）
openssl req -new -key kafka.key -out kafka.csr -subj "/CN=kafka"

# 生成自簽名證書
openssl x509 -req -days 365 -in kafka.csr -signkey kafka.key -out kafka.crt

配置Kafka服務器

編輯server.properties文件，添加以下配置：

listeners=SSL://:9093
ssl.keystore.location=/path/to/kafka.keystore.jks
ssl.keystore.password=your_keystore_password
ssl.key.password=your_key_password
ssl.truststore.location=/path/to/kafka.truststore.jks
ssl.truststore.password=your_truststore_password
ssl.enabled.protocols=TLSv1.2
ssl.protocol=TLSv1.2
ssl.cipher.suites=TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384

配置Kafka客戶端

在客戶端配置文件client.properties中添加：

security.protocol=SSL
ssl.truststore.location=/path/to/client.truststore.jks
ssl.truststore.password=your_truststore_password
ssl.keystore.location=/path/to/client.keystore.jks
ssl.keystore.password=your_keystore_password
ssl.key.password=your_key_password

2. 配置SASL認證

安裝JAAS配置文件

創建JAAS配置文件kafka_server_jaas.conf：

KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="admin-secret"
    user_admin="admin-secret";
};

配置Kafka服務器

編輯server.properties文件，添加以下配置：

listeners=SASL_SSL://:9093
security.inter.broker.protocol=SASL_SSL
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
allow.everyone.if.no.acl.found=false
super.users=User:admin
jaas.login.relogin.enable=true

配置Kafka客戶端

在客戶端配置文件client.properties中添加：

security.protocol=SASL_SSL
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="admin-secret";

3. 配置防火墻

確保防火墻允許Kafka使用的端口（默認9092和9093）：

sudo firewall-cmd --permanent --zone=public --add-port=9092/tcp
sudo firewall-cmd --permanent --zone=public --add-port=9093/tcp
sudo firewall-cmd --reload

4. 配置ACL（訪問控制列表）

編輯server.properties文件，啟用ACL并配置相關設置：

authorizer.class.name=kafka.security.auth.SimpleAclAuthorizer
allow.everyone.if.no.acl.found=false
super.users=User:admin

然后使用kafka-acls.sh腳本創建和管理ACL：

# 創建一個主題的讀權限
kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 \
            --add --allow-principal User:admin \
            --operation Read --topic your_topic

# 創建一個主題的寫權限
kafka-acls.sh --authorizer-properties zookeeper.connect=localhost:2181 \
            --add --allow-principal User:admin \
            --operation Write --topic your_topic

5. 監控和日志

確保Kafka的日志級別設置為適當的級別，并定期檢查日志文件以監控安全事件。

log4j.logger.kafka=INFO

通過以上步驟，你可以顯著提高Kafka在CentOS上的安全性。記得定期更新證書和密鑰，并監控系統的安全狀態。