平台需要开放kafka消息队列给外部访问,因此安全性需要考虑。其中主要涉及 身份认证(对client 与服务器的连接进行身份认证,brokers和zookeeper之间的连接进行Authentication(producer 和 consumer)、其他 brokers、tools与 brokers 之间连接的认证。) 以及 权限控制(实现对于消息级别的权限控制,clients的读写操作进行Authorization:生产/消费/group 数据权限。)两方面。
目前的Sasl实现方式包括SASL/PLAIN、SASL/SCRAM、SASL/Kerberos和SASL/OAUTHBEARER四种,其中SASL/PLAIN修改配置需要重启、SASL/SCRAM可以实现动态修改热部署。加密的实现方式选择SSL。可以实现客户端和代理之间的数据加密传输。本文选择使用SASL/SCRAM+SSL的方式进行部署。
原文:https://www.cnblogs.com/cosmocosmo/p/15078412.html