为了保护Kafka集群安全,那么就要保证Kafka各节点之间的通信安全。每个Kafka节点必须指定一组Listener
,用于接收来自客户端和其它Kafka节点的请求。为了对客户端进行身份验证,可以为每个Listener设置一种安全机制,以确保对集群内部或客户端之间的通信进行加密。
通过配置listeners
,Kafka节点可以监听多个端口。这个属性可以接收以逗号分隔的Listener列表。必须为每个Kafka节点指定至少一个Listener。Listener的格式如下:
{LISTENER_NAME}://{hostname}:{port}
LISTENER_NAME
通常是一个见名知意的名称,用于说明Listener的目的。例如,把接收客户端流量的Listener称为CLIENT
:
listeners=CLIENT://localhost:9092
Listener的安全协议在单独的配置中指定:
listener.security.protocol.map
这个配置项的值是一个map集合,Listener与安全协议使用冒号分隔,元素之间使用逗号分隔。如此以来就为每个Listener指定了安全协议。例如,指定CLIENT
Listener将使用SSL,而BROKER
Listener将使用PLAINTEXT。
listener.security.protocol.map=CLIENT:SSL,BROKER:PLAINTEXT
安全协议有如下选项(不区分大小写):
我们先看PLAINTEXT,该协议不提供安全性,也不需要任何额外的配置。后续章节中再介绍如何配置其余的协议。
如果每个Listener使用单独的安全协议,也可以使用安全协议名称直接作为listeners
中的Listener名称。基于上面的示例,我们可以像下面这样定义:
listeners=SSL://localhost:9092,PLAINTEXT://localhost:9093
但是,我们建议为Listener提供显式名称,因为这会让每个Listener的用途更清晰。
可以通过inter.broker.listener.name
来配置Broker之间通信的Listener。Broker之间的通信主要是分区复制。如果没有指定,则Broker间Listener由security.inter.broker.protocol
指定的安全协议确定,缺省为PLAINTEXT
。
在KRaft集群中,配置项process.roles
用于指定节点的角色,允许指定的角色有broker
和controller
,或者同时指定二者。配置项inter.broker.listener.name
专门用于指定Broker之间的通信使用哪个Listener。另一方面,控制器必须使用单独的Listener,该Listener由controller.listener.names
配置。并且与inter.broker.listener.name
的值相同。
对于依赖Zookeeper的经典集群,可以通过
control.plane.listener.name
配置一个单独的Listener,用于传递从活动Controller节点
到Broker节点
的元数据。这样做的好处是,可以使用一个单独的线程处理这部分通信,这使得应用程序流量不妨碍元数据更改的及时传递(例如分区leader和ISR更新)。请注意,如果未设置control.plane.listener.name
,则使用与inter.broker.listener
(译注:可以叫做数据平面Listener
)相同的Listener。
controller
接收来自其它controller节点
和broker节点
的请求。由于这个原因,即使节点不是控制器角色(即它只是一个Broker),它仍然必须指定控制器Listener以及配置它所需的任何安全属性(译注:controller要知道集群中全部的节点信息,因此指定这个配置项,就可以把broker自身信息上报给controller)。例如,我们可能在独立Broker上使用以下配置:
process.roles=broker # 本节点是broker节点
listeners=BROKER://localhost:9092
inter.broker.listener.name=BROKER
controller.quorum.voters=0@localhost:9093 # 指定全部控制器节点
controller.listener.names=CONTROLLER # 指定控制器Listener
listener.security.protocol.map=BROKER:SASL_SSL,CONTROLLER:SASL_SSL # 指定控制器Listener安全协议
在本例中,虽然配置了控制器Listener,但是它并未包含在listeners
中,因为broker节点不需要开放控制器Listener
。在这种情况下将使用controller.quorum.voters
配置的端口。这是投票权配置项,它指定了所有控制器的列表。
对于同时启用broker和controller角色的KRaft集群节点,配置是类似的。唯一的区别是控制器Listener必须包含在listeners
中:
process.roles=broker,controller
listeners=BROKER://localhost:9092,CONTROLLER://localhost:9093 # 此处需要同时指定代理Listener和控制器Listener
inter.broker.listener.name=BROKER
controller.quorum.voters=0@localhost:9093
controller.listener.names=CONTROLLER
listener.security.protocol.map=BROKER:SASL_SSL,CONTROLLER:SASL_SSL
controller.quorum.voters
中指定的端口要与listeners列表中公开的控制器Listener之一完全匹配。投票者精确匹配一个公开的控制器Listener。例如,这里CONTROLLERListener绑定到端口9093。然后,由controller.quorum.voters
指定的连接字符串也必须使用端口9093。
控制器将接收controller.listener.names
指定的任意Listener上的请求。通常只有一个控制器Listener,但也可能有更多。例如,集群通过滚动更新
将活动Listener从一个端口或安全协议更改为另一个端口或安全协议的方法(一次滚动公开新的Listener,一次滚动删除旧的Listener)。当指定了多个控制器Listener时,列表中的第一个Listener将用于发送请求。
在下一节中,将介绍如何在Listener上启用SSL以进行加密和身份验证。接下来的部分将介绍使用SASL的其他身份验证机制。
Listener格式如下:
{LISTENER_NAME}://{hostname}:{port}
listeners配置项允许配置多个Listener:
listeners=CLIENT://localhost:9092,CONTROLLER://localhost:9093
同时需要通过listener.security.protocol.map
为每个Listener指定安全协议。
在传统ZK集群上,使用control.plane.listener.name
指定控制器Listener,而Kraft集群上则通过controller.listener.names
指定控制器Listener。
参考:
https://kafka.apache.org/documentation/#listener_configuration