Kafka 开启 SASL_PLAINTEXT 双监听器认证(内网/外网)

  • 背景:云上部署 Kafka 时,由于业务需要,需要开放外网端口进行访问。为保证安全,需要开启 SASL_PLAINTEXT 认证。

文章目录

1️⃣修改Kafka配置文件server.properties

bash 复制代码
vim /opt/kafka/config/server.properties

# 内外网监听器
listeners=INTERNAL://192.168.162.99:9093,EXTERNAL://0.0.0.0:9092

# 映射监听器对应协议
listener.security.protocol.map=INTERNAL:SASL_PLAINTEXT,EXTERNAL:SASL_PLAINTEXT

# 广播给客户端的地址
advertised.listeners=INTERNAL://192.168.162.99:9093,EXTERNAL://YOUR_PUBLIC_IP:9092

# 内部 Broker 间通信使用内网
inter.broker.listener.name=INTERNAL

# SASL 配置
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN

2️⃣ 配置 JAAS 文件 config/jaas.conf

bash 复制代码
vim /opt/kafka/config/jaas.conf
KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="YourPassword123!"
    user_admin="YourPassword123!"
    user_zhangsan="123456";  # 可配置多个客户端账号
};

说明:

username/password:Kafka Broker 自身认证

user_XXX="密码":客户端可用账号

保证至少有一条 user_XXX 的密码与 username 一致

3️⃣修改启动脚本

bash 复制代码
vim /opt/kafka/bin/kafka-run-class.sh
if [ -z "$KAFKA_OPTS" ]; then
  KAFKA_OPTS="-Djava.security.auth.login.config=/opt/kafka/config/jaas.conf"
fi

然后用:

bash 复制代码
nohup bin/kafka-server-start.sh config/server.properties >> logs/kafka-console.log 2>&1 &

4️⃣ 客户端连接配置

创建 config/admin-sasl-plain.properties:

bash 复制代码
security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN
sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username="admin" password="YourPassword123!";

5️⃣ 测试客户端连接

测试 1:使用密码

bash 复制代码
/opt/kafka/bin/kafka-topics.sh --list \
  --bootstrap-server YOUR_PUBLIC_IP:9092 \
  --command-config config/admin-sasl-plain.properties

测试 2:不使用密码

bash 复制代码
/opt/kafka/bin/kafka-topics.sh --list --bootstrap-server YOUR_PUBLIC_IP:9092

结果会报错:TimeoutException,说明 SASL 认证生效。

6️⃣日志提示

如果日志出现:

bash 复制代码
Failed authentication ... (Authentication failed: Invalid username or password)

说明客户端密码错误或未配置。正常现象,可忽略。

7️⃣ SpringBoot 使用示例

bash 复制代码
spring:
  kafka:
    bootstrap-servers: YOUR_PUBLIC_IP:9092
    producer:
      properties:
        sasl.mechanism: PLAIN
        security.protocol: SASL_PLAINTEXT
    consumer:
      properties:
        sasl.mechanism: PLAIN
        security.protocol: SASL_PLAINTEXT

kafka-jaas.conf:

bash 复制代码
KafkaClient {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="YourPassword123!";
};

启动时加载 JAAS 配置:

bash 复制代码
@SpringBootApplication
public class Application {
    public static void main(String[] args) throws IOException {
        File file = ResourceUtils.getFile("classpath:kafka-jaas.conf");
        System.setProperty("java.security.auth.login.config", file.getAbsolutePath());
        SpringApplication.run(Application.class, args);
    }
}

✅ 总结

  1. 内外网双监听器可同时支持云主机内网和公网访问 SASL_PLAINTEXT
  2. 提供基本认证,但明文传输,需要结合 VPN 或 SSL
  3. 客户端必须使用 JAAS 配置才能访问 Kafka
相关推荐
zcz160712782119 小时前
从 ZooKeeper 到 ELK:分布式中间件与日志分析系统全解析
分布式·elk·zookeeper
EmmaXLZHONG20 小时前
Hadoop分布式计算平台
大数据·hadoop·分布式
在未来等你21 小时前
Elasticsearch面试精讲 Day 19:磁盘IO与存储优化
大数据·分布式·elasticsearch·搜索引擎·面试
星环科技TDH社区版1 天前
星环科技TDH社区版详解:从零搭建企业级大数据平台
大数据·数据库·分布式·数据存储与处理
老纪的技术唠嗑局1 天前
分布式数据库迁移OceanBase——基于网易云音乐自研CDC服务的平滑迁移方案
数据库·分布式
承悦赋1 天前
微服务通信:5大消息队列横向对比
微服务·架构·kafka·rabbitmq·rocketmq
西红柿维生素1 天前
zk管理kafka&kafka-broker通信
分布式·kafka
陈平安Java and C1 天前
分布式链路追踪-SkyWalking
分布式·skywalking
鳄鱼杆1 天前
分布式 | 布隆过滤器实战指南:原理、编码实现、应用与Redisson最佳实践
分布式
Hello.Reader1 天前
用 Flink Table API 打造实时交易看板从 Kafka 到 MySQL 再到 Grafana
mysql·flink·kafka