时间:2021-05-22
kafka的认证方式一般有如下3种:
1.SASL/GSSAPI 从版本0.9.0.0开始支持
2.SASL/PLAIN 从版本0.10.0.0开始支持
3.SASL/SCRAM-SHA-256 以及 SASL/SCRAM-SHA-512 从版本0.10.2.0开始支持
其中第一种SASL/GSSAPI的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的kafka客户端库,有好多语言的库都是依赖于这个,所以GSSAPI接口的开启也需要在librdkafka编译的时候支持
librdkafka源码:https://github.com/edenhill/librdkafka
编译之前需要先安装必要的开发包,否则相关的接口编译不进去
首先是openssl库,使用yum安装为:yum -y install openssl openssl-devel,编译openssl只能支持默认的PLAIN还有SCRAM这两种机制,无法支持GSSAPI的机制,还需要编译libsasl2依赖,yum安装命令如下:
yum install cyrus-sasl-gssapi cyrus-sasl-devel
在ubuntu下使用命令:apt-get install libsasl2-modules-gssapi-mit libsasl2-dev安装libsasl2开发包
然后确认一下是否有zlib库,这个是方便对kafka消息压缩使用的,一般都会存在,安装命令:yum install zlib-devel,如果需要更高的性能可以手动编译安装zstd并且启用压缩,这里不再详细叙述
上面的库都安装成功就可以开始编译librdkafka源码了,这里源码包为:librdkafka-1.2.1.tar.gz,安装命令如下:
# 解压包tar -xvzf librdkafka-1.2.1.tar.gzcd librdkafka-1.2.1# 编译源码./configuremakemake install上面注意一下在执行命令./configure之后,根据输出确认libssl以及libsasl2是否被开启,如下:
这里libssl以及libsasl2都显示ok说明是可以的,现在SSL和SASL SCRAM以及SASL GSSAPI都已经支持了,执行configure阶段没指定prefix则默认安装位置为/usr/local,动态库位置就为:/usr/local/lib,需要将这个目录添加到动态库连接列表中,比如加到/etc/ld.so.conf,保存后执行ldconfig生效
最后可以编译和安装python的confluent kafka模块,这里安装的版本是1.2.0,安装之后可以运行下面的代码测试:
#!/usr/bin/env python3# coding=utf-8from confluent_kafka import Producerdef delivery_report(err, msg): """ Called once for each message produced to indicate delivery result. Triggered by poll() or flush(). """ if err is not None: print('Message delivery failed: {}'.format(err)) else: print('Message delivered to {} [{}]'.format(msg.topic(), msg.partition()))if __name__ == '__main__': producer_conf = { "bootstrap.servers": '192.168.0.3:9092,192.168.0.4:9092,192.168.0.5:9092', "security.protocol": 'sasl_plaintext', 'sasl.kerberos.service.name': 'kafka', 'sasl.kerberos.keytab': '/opt/user.keytab', 'sasl.kerberos.principal': 'kafkauser', } p = Producer(producer_conf) p.poll(0) p.produce('testTopic', 'confluent kafka test'.encode('utf-8'), callback=delivery_report) p.flush() print('done')如果生产消息正常就配置成功了,使用GSSAPI只需要配置security.protocol以及keytab的路径即可,其他的认证参数比如用户名和密码在不同的认证机制下配置,更多的配置参数参考文档:
https://github.com/edenhill/librdkafka/blob/master/CONFIGURATION.md
librdkafka SASL认证的详细配置流程参考:https://github.com/edenhill/librdkafka/wiki/Using-SASL-with-librdkafka
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。
声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。
如何通过Kerberos认证.1.安装Kerberos客户端CentOS:yuminstallkrb5-workstation使用whichkinit查看是否安
以下代码实现环境是mac系统,本地配置mysql服务端和navicatpremium客户端,python环境是配置了pymysql的anaconda3。首先,与
淘宝开店认证分为电脑认证、手机淘宝客户端认证和阿里钱盾认证三种方式,系统根据网络环境作出指定推荐,目前无法更改认证方式。详细操作流程如下: 认证方式一:电
今天,我们给大家带来一篇如何利用Kafka的API进行客户端编程的文章,这篇文章很简单,就是利用Kafka的API创建一个生产者和消费者,生产者不断向Kafka
Pxe网络安装原理客户端发出请求,dhcp服务器给客户端分配ip地址,并把tftp的地址返回客户端,客户端访问tftp服务器进入tftp根目录找到配置文件,访问