一区二区三区欧美日韩-一区二区三区欧美-一区二区三区免费在线视频-一区二区三区免费在线观看-久久精品店-久久精品第一页

歡迎您光臨深圳塔燈網絡科技有限公司!
電話圖標 余先生:13699882642

網站百科

為您解碼網站建設的點點滴滴

kafka如何配置SSL

發表日期:2018-12 文章編輯:小燈 瀏覽次數:3014

這是一個如何配置kafka支持SSL環境的例子。

我們的目標:

  1. 使用kafka2.1.1
  2. 利用kafka自帶的zookeeper
  3. 使用docker來啟動kafka/zookeeper clustor

Step 1:生成jks文件

#!/bin/bash# generate CA certificate openssl req -new -x509 -keyout ca.key -out ca.pem -days 365 -passout pass:test1234 \ -subj "/C=cn/O=mycomp/OU=mygroup/CN=ca"# generate server keystore keytool -keystore server.keystore.jks -alias localhost -validity 365 -keyalg RSA \ -storepass test1234 -keypass test1234 -genkey \ -dname "C=cn,O=mycomp,OU=mygroup,CN=server" # generate client keystore keytool -keystore client.keystore.jks -alias localhost -validity 365 -keyalg RSA \ -storepass test1234 -keypass test1234 -genkey \ -dname "C=cn,O=mycomp,OU=mygroup,CN=client"# import CA certificate into server truststore keytool -keystore server.truststore.jks -alias CARoot -import -noprompt \ -file ca.pem -storepass test1234 # import CA certificate into client truststore keytool -keystore client.truststore.jks -alias CARoot -import -noprompt \ -file ca.pem -storepass test1234# export server certificate keytool -keystore server.keystore.jks -alias localhost -certreq \ -file server.csr -storepass test1234 -ext san="DNS:kafka.example.com" # export client certificate keytool -keystore client.keystore.jks -alias localhost -certreq \ -file client.csr -storepass test1234 -ext san="DNS:kafka.example.com"# sign server certificate with CA certificate openssl x509 -req -CA ca.pem -CAkey ca.key -in server.csr \ -out server.pem -days 365 -CAcreateserial -passin pass:test1234 \ -extensions SAN \ -extfile <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:kafka.example.com")) # sign client certificate with CA certificate openssl x509 -req -CA ca.pem -CAkey ca.key -in client.csr \ -out client.pem -days 365 -CAcreateserial -passin pass:test1234 \ -extensions SAN \ -extfile <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:kafka.example.com"))# import CA certificate into server keystore keytool -keystore server.keystore.jks -alias CARoot -import -noprompt \ -file ca.pem -storepass test1234 # import CA certificate into client keystore keytool -keystore client.keystore.jks -alias CARoot -import -noprompt \ -file ca.pem -storepass test1234# import server certificate into server keystore keytool -keystore server.keystore.jks -alias localhost -import \ -file server.pem -storepass test1234 # import client certificate into client keystore keytool -keystore client.keystore.jks -alias localhost -import \ -file client.pem -storepass test1234 

運行完之后,會生成server.keystore.jks/server.truststore.jks,client.keystore.jks/client.truststore.jks一共四個文件。

有一個地方要注意:
SAN的值給定義上了kafka.example.com,這兒實際上keytool是有bug的,實際應用中,我們可能只能定義域名,無法定義確切的主機名,所以最好的方式是在這里定義DNS的值為".example.com",但是由于keytool存在bug(設計問題),他不支持"'開頭,那么我們只能使用全名主機名了。
要解決這個問題,可以使用openssl工具來生成"*.example.com",不要直接使用keytool。

Step 2:配置zookeeper和kafka的配置文件

增加/修改zookeeper配置文件/opt/kafka/config/zookeeper.properties:

dataDir=/data clientPort=2181 maxClientCnxns=0 initLimit=5 dataLogDir=/datalog syncLimit=2 autopurge.purgeInterval=1 autopurge.snapRetainCount=3 server.1=zookeeper.example.com:2888:3888 tickTime=2000 

這個文件沒啥補充的。

增加/修改kafka配置文件/opt/kafka/config/server.properties文件:

broker.id=1 zookeeper.connect=zookeeper.example.com:2181 listeners=SSL://:9093 advertised.listeners=SSL://kafka.example.com:9093 listener.security.protocol.map=SSL:SSL # security.inter.broker.protocol=ssl ssl.client.auth=required ssl.keystore.location=/work/ssl/server.keystore.jks ssl.keystore.password=test1234 ssl.key.password=test1234 ssl.truststore.location=/work/ssl/server.truststore.jks ssl.truststore.type=JKS ssl.truststore.password=test1234 ssl.keystore.type=JKS 

這個文件有幾點說明:

  1. ssl.client.auth是否驗證client端的證書,即雙向驗證。
  2. listeners支持kafka同時支持SSL和PLAINTXT等多種模式
    listeners=PLAINTEXT://:9092,SSL://:9093
    這樣kafka就能支持在端口9092上監聽非SSL的請求,同時在9093端口監聽SSL端口。
  3. security.inter.broker.protocol指定在kafka之間通信是是否使用SSL。
    在前面的listeners我們知道kafkakey監聽多個端口,這樣運行對client進來的請求,我們讓他監聽在9093的SSL端口,然后kafka之間的通信我們讓他監聽的9092端口上,這樣保證了外網訪問的安全(SSL),也提高了內部通信的性能(PLAINTEXT)。
    這個內部通信協議指得是kafka之間的通信,不包括kafka和zookeeper之間的通信,也就是說kafka和zookeeper之間的通信還是PLAINTEXT的。
  4. advertised.listeners廣播監聽地址
    前面的listeners可以配置0.0.0.0地址,但是advertised.listeners不能使用這個地址,因為這個地址會被SSL連接的時候驗證SAN值;當然也可以把listeners配置成SAN地址,這樣advertised.listeners就不需要了,但是這種配置,無法區分內網訪問,還是外部訪問。

Step 3: 配置docker-compose.yaml

這里需要把kafka達到image里面進去,構造兩個images:kafka和zookeeper都使用kafka的安裝包就行。

version: '2' networks: byfn:services: zookeeper.example.com: image: zookeeper container_name: zookeeper.example.com environment: - ZOO_MY_ID=1 - ZOO_SERVERS=server.1=zookeeper.example.com:2888:3888 volumes: - ./zookeeper.properties:/opt/kafka/config/zookeeper.properties networks: - byfnkafka.example.com: image: kafka container_name: kafka.example.com environment: volumes: - ./ssl:/ssl - ./server.properties:/opt/kafka/config/server.properties depends_on: - zookeeper.example.com networks: - byfn 

Step 4: 啟動clustor

$ docker-compose up 

Step 5: 客戶端訪問

配置client-ssl.properties文件

security.protocol=SSLssl.truststore.location=/ssl/client.truststore.jksssl.truststore.password=test1234 ssl.keystore.location=/ssl/client.keystore.jksssl.keystore.password=test1234 ssl.key.password=test1234 

啟動producer和consumer:

# producer /opt/kafka/bin/kafka-console-producer.sh \ --broker-list kafka.example.com:9093 \ --topic test-topic \ --producer.config /ssl/client-ssl.properties# consumer /opt/kafka/bin/kafka-console-consumer.sh \ --bootstrap-server kafka1.example.com:9093 \ --topic test-topic \ --consumer.config /ssl/client-ssl.properties \ --from-beginning 

Step 6: 如果是雙端口配置

即9092是PLAINTEXT訪問, 9093是SSL訪問

# server.properties listeners=PLAINTEXT://:9092,SSL://:9093 advertised.listeners=PLAINTEXT://kafka.example.com:9092,SSL://kafka.example.com:9093 listener.security.protocol.map=PLAINTEXT:PLAINTEXT,SSL:SSL 

那么client端既可以訪問9092,也可以訪問9093,以producer為例:

# PLAINTEXT /opt/kafka/bin/kafka-console-producer.sh \ --broker-list kafka.example.com:9092 \ --topic test-topic \# SSL /opt/kafka/bin/kafka-console-producer.sh \ --broker-list kafka.example.com:9093 \ --topic test-topic \ --producer.config /ssl/client-ssl.properties 

差別PLAINTEXT訪問9092端口,SSL訪問9093端口,并且配置上SSL證書信息。

總的來說,這個過程還是比較清楚的。


本頁內容由塔燈網絡科技有限公司通過網絡收集編輯所得,所有資料僅供用戶學習參考,本站不擁有所有權,如您認為本網頁中由涉嫌抄襲的內容,請及時與我們聯系,并提供相關證據,工作人員會在5工作日內聯系您,一經查實,本站立刻刪除侵權內容。本文鏈接:http://www.junxiaosheng.cn/20390.html
相關開發語言
 八年  行業經驗

多一份參考,總有益處

聯系深圳網站公司塔燈網絡,免費獲得網站建設方案及報價

咨詢相關問題或預約面談,可以通過以下方式與我們聯系

業務熱線:余經理:13699882642

Copyright ? 2013-2018 Tadeng NetWork Technology Co., LTD. All Rights Reserved.    

主站蜘蛛池模板: 狠狠色在在线视频观看| 国产精品毛片在线视频| 国产精品美女WWW爽爽爽视频| 国产亚洲视频在线播放香蕉| 久久视热频国产这里只有精品23 | 欧美一区二区高清| 网红刘婷hd国产高清| 一二三区乱码不卡手机版| babesvideos欧美最新| 国产这里有精品| 欧美18videosex性欧美老师| 星空无限传媒视频在线观看视频| 在线欧美免费人成视频| 国产高潮国产高潮久久久久久| 撅高 自己扒开 调教| 午夜一级视频| 98久久人妻无码精品系列蜜桃| 国产手机在线精品| 欧美一级久久久久久久大| 亚洲视频在线免费看| 囯产精品久久久久久久久蜜桃 | 久久精品亚洲热综合一本奇米| 色淫阁色九九| XXOO麻豆国产在线九九爱| 久久精品国产欧美| 亚洲乱码高清午夜理论电影 | 欧洲馒头大肥p| 2021全国精品卡一卡二| 极品虎白在线观看| 亚洲免费网站在线观看| 国产精品18久久久久久欧美网址 | 亚洲欧美日韩在线码不卡| 国产白色视频在线观看w| 欧美18videosex性欧美老师| 18国产精品白浆在线观看免费| 精品国产福利在线视频| 亚洲日本欧美国产在线视| 国产午夜精品视频在线播放 | 日韩精品人成在线播放| 99热国产这里只有精品9九| 麻豆精品无码久久久久久久久|