Kafka 开启 SASL_PLAINTEXT 双监听器认证(内网/外网)

  • 背景:云上部署 Kafka 时,由于业务需要,需要开放外网端口进行访问。为保证安全,需要开启 SASL_PLAINTEXT 认证。

文章目录

1️⃣修改Kafka配置文件server.properties

bash 复制代码
vim /opt/kafka/config/server.properties

# 内外网监听器
listeners=INTERNAL://192.168.162.99:9093,EXTERNAL://0.0.0.0:9092

# 映射监听器对应协议
listener.security.protocol.map=INTERNAL:SASL_PLAINTEXT,EXTERNAL:SASL_PLAINTEXT

# 广播给客户端的地址
advertised.listeners=INTERNAL://192.168.162.99:9093,EXTERNAL://YOUR_PUBLIC_IP:9092

# 内部 Broker 间通信使用内网
inter.broker.listener.name=INTERNAL

# SASL 配置
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN

2️⃣ 配置 JAAS 文件 config/jaas.conf

bash 复制代码
vim /opt/kafka/config/jaas.conf
KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="YourPassword123!"
    user_admin="YourPassword123!"
    user_zhangsan="123456";  # 可配置多个客户端账号
};

说明:

username/password:Kafka Broker 自身认证

user_XXX="密码":客户端可用账号

保证至少有一条 user_XXX 的密码与 username 一致

3️⃣修改启动脚本

bash 复制代码
vim /opt/kafka/bin/kafka-run-class.sh
if [ -z "$KAFKA_OPTS" ]; then
  KAFKA_OPTS="-Djava.security.auth.login.config=/opt/kafka/config/jaas.conf"
fi

然后用:

bash 复制代码
nohup bin/kafka-server-start.sh config/server.properties >> logs/kafka-console.log 2>&1 &

4️⃣ 客户端连接配置

创建 config/admin-sasl-plain.properties:

bash 复制代码
security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="YourPassword123!";

5️⃣ 测试客户端连接

测试 1:使用密码

bash 复制代码
/opt/kafka/bin/kafka-topics.sh --list \
  --bootstrap-server YOUR_PUBLIC_IP:9092 \
  --command-config config/admin-sasl-plain.properties

测试 2:不使用密码

bash 复制代码
/opt/kafka/bin/kafka-topics.sh --list --bootstrap-server YOUR_PUBLIC_IP:9092

结果会报错:TimeoutException,说明 SASL 认证生效。

6️⃣日志提示

如果日志出现:

bash 复制代码
Failed authentication ... (Authentication failed: Invalid username or password)

说明客户端密码错误或未配置。正常现象,可忽略。

7️⃣ SpringBoot 使用示例

bash 复制代码
spring:
  kafka:
    bootstrap-servers: YOUR_PUBLIC_IP:9092
    producer:
      properties:
        sasl.mechanism: PLAIN
        security.protocol: SASL_PLAINTEXT
    consumer:
      properties:
        sasl.mechanism: PLAIN
        security.protocol: SASL_PLAINTEXT

kafka-jaas.conf:

bash 复制代码
KafkaClient {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="YourPassword123!";
};

启动时加载 JAAS 配置:

bash 复制代码
@SpringBootApplication
public class Application {
    public static void main(String[] args) throws IOException {
        File file = ResourceUtils.getFile("classpath:kafka-jaas.conf");
        System.setProperty("java.security.auth.login.config", file.getAbsolutePath());
        SpringApplication.run(Application.class, args);
    }
}

✅ 总结

  1. 内外网双监听器可同时支持云主机内网和公网访问 SASL_PLAINTEXT
  2. 提供基本认证,但明文传输,需要结合 VPN 或 SSL
  3. 客户端必须使用 JAAS 配置才能访问 Kafka
相关推荐
ACP广源盛1392462567320 小时前
GSV2231@ACP# 增强型 8K MST 多屏扩展芯片
大数据·人工智能·分布式·嵌入式硬件
虚心的百褶裙20 小时前
远程调用服务架构设计及zookeeper技术详解(下篇)
分布式·zookeeper·云原生
清晨曦月21 小时前
【从零构建分布式在线评测系统】二、Judge0服务器上的心跳程序
运维·服务器·分布式
万联WANFLOW1 天前
SD-WAN 控制平面高可用怎么做?SDWAN 控制器挂了,全网会发生什么
运维·网络·分布式·架构
月落归舟2 天前
从单机到分布式:互联网系统架构演进全流程
分布式·系统架构
搬砖柯2 天前
系列12-接口压测怎么做成平台能力?自研 httpx 引擎、分布式 Worker 与 Locust 选型对照
分布式·测试工具·性能优化·开源·自动化·httpx
折哥的程序人生 · 物流技术专研2 天前
Java面试通关⑭:分布式理论与架构全集
分布式·微服务·校招·分布式事务·cap·java面试·最终一致性
Kyrie_Li2 天前
Spring Boot Kafka 生产级配置全解析:从入门到精通
spring boot·后端·kafka
格子软件2 天前
2026年GEO贴牌代理:分布式多级分账状态机源码深度解构
java·vue.js·分布式·vue·geo
Evand J3 天前
【论文复现】MATLAB例程,存在测距误差的WSN无锚点分布式自定位,《WSN中存在测距误差的无锚点分布式自定位方法》
开发语言·分布式·matlab·定位·导航·wsn