如何在不停机的情况下启用Kafka集群中的安全性
我们在生产中有一个卡夫卡集群,没有的任何安全性。我们计划在代理端打开安全性(SASL/OAUTHBEARER)。但是看起来,一旦我们打开代理端安全性,所有不安全的客户端都会被立即丢弃。为了从不安全的集群顺利过渡到安全的集群,没有任何停机时间,我们希望Kafka客户端首先启用安全。一旦我们的所有客户端都迁移了,我们就可以在代理级别上打开安全性。然而,我找不到一种安全的客户可以与不安全的代理交谈的方式。有人做过这个吗?对于安全生产的顺利迁移有什么想法吗?
回答 2
Stack Overflow用户
发布于 2020-02-25 22:59:35
在Kafka 2.0中,允许以下协议组合:
+------------------+-------+-----------+
| | SSL | Kerberos |
+------------------+-------+-----------+
| PLAINTEXT | No | No |
| SSL | Yes | No |
| SASL_PLAINTEXT | No | Yes |
| SASL_SSL | Yes | Yes |
+------------------+-------+-----------+这些组合适用于代理到代理和代理到客户端,但是这里的关键配置是security.inter.broker.protocol,对于代理到代理和代理到客户并不需要相同的配置。这意味着我们可以在不停机的情况下启用Kafka集群中的安全。
启用Kerberos
- Step 1:禁用broker到broker
的安全性
security.inter.broker.protocol=PLAINTEXT- Step 2: Enable Kerberos for broker-to-client in
server.properties - Step 3: Do restart
- Step 4: Enable Kerberos for broker-to-broker
security.inter.broker.protocol=SASL_PLAINTEXT启用SSL
- Step 1:禁用broker到broker
的安全性
security.inter.broker.protocol=PLAINTEXT- Step 2:Enable SSL for broker-to-client in
server.properties - Step 3:做滚动restart
- Step 4:为broker-to-broker
启用SSL
security.inter.broker.protocol=SSLStack Overflow用户
发布于 2020-03-05 22:46:28
在server.properites中设置以下属性将允许不安全的客户端连接到端口9097,并允许安全客户端连接到端口9096。
listeners=SASL_PLAINTEXT://:9096,PLAINTEXT://:9097
https://stackoverflow.com/questions/60404127
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号