Debian系統Kafka權限管理如何配置

在Debian系統上配置Kafka權限管理，需從用戶權限、文件權限、服務配置及安全認證等方面操作，具體步驟如下：

1. 創建專用用戶和組

   sudo groupadd kafka  
   sudo useradd -g kafka kafka  
   

2. 設置文件系統權限

   • 確保數據、日志、配置目錄歸kafka用戶所有：

     sudo chown -R kafka:kafka /var/lib/kafka /var/log/kafka /etc/kafka  
     

   • 設置目錄權限（數據/日志目錄750，配置文件640）：

     sudo chmod -R 750 /var/lib/kafka /var/log/kafka  
     sudo chmod 640 /etc/kafka/server.properties  
     

3. 配置Kafka服務以專用用戶運行

   • 編輯systemd服務文件（/etc/systemd/system/kafka.service）：

     [Service]  
     User=kafka  
     Group=kafka  
     ExecStart=/usr/bin/kafka-server-start.sh /etc/kafka/server.properties  
     

   • 重新加載并啟動服務：

     sudo systemctl daemon-reload  
     sudo systemctl start kafka  
     sudo systemctl enable kafka  
     

4. 啟用權限控制（ACLs）

   • 在server.properties中啟用ACL：

     authorization.enable=true  
     authorizer.class.name=kafka.security.authorizer.AclAuthorizer  
     

   • 創建用戶及權限（需先配置SASL/SSL）：

     # 創建用戶組  
     kafka-users.sh --create --group myGroup  
     # 創建用戶并添加到組  
     kafka-users.sh --create --user myUser --group myGroup --password 123456  
     # 分配主題權限（示例：允許myUser對myTopic的讀權限）  
     kafka-acls.sh --add --allow --user myUser --operation Read --topic myTopic --group myGroup  
     

5. 配置SASL/SSL（增強安全性）

   • 生成密鑰和證書，并配置server.properties：

     listeners=SASL_SSL://:9092  
     security.inter.broker.protocol=SASL_SSL  
     ssl.keystore.location=/path/to/kafka.server.jks  
     ssl.keystore.password=your_password  
     sasl.mechanism.inter.broker.protocol=PLAIN  
     sasl.enabled.mechanisms=PLAIN  
     

   • 創建JAAS配置文件（/etc/kafka/jaas.conf）并指定路徑：

     KAFKA_OPTS="-Djava.security.auth.login.config=/etc/kafka/jaas.conf"  
     

6. 驗證權限

   • 查看用戶權限：

     kafka-acls.sh --list --user myUser  
     

注意：若需遠程訪問，需在server.properties中配置advertised.listeners，并開放防火墻端口（默認9092）。

以上步驟參考自，可根據實際需求調整路徑和參數。