Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 6 章 管理 Kafka 的安全访问

您可以通过管理每个客户端对 Kafka 代理的访问来保护 Kafka 集群。

Kafka 代理和客户端之间的安全连接可以编程:

  • 数据交换加密
  • 证明身份的身份验证
  • 允许或拒绝用户执行操作的授权

本章论述了如何在 Kafka 代理和客户端之间设置安全连接,以及描述:

  • Kafka 集群和客户端的安全选项
  • 如何保护 Kafka 代理
  • 如何将授权服务器用于基于 OAuth 2.0 令牌的身份验证和授权

6.1. Kafka 的安全性选项
复制链接

使用 Kafka 资源来配置用于 Kafka 身份验证和授权的机制。

6.1.1. 侦听器身份验证
复制链接

通过创建监听程序为 Kafka 代理配置客户端身份验证。使用 Kafka 资源中的 Kafka.spec.kafka.listeners.authentication 属性指定监听程序验证类型。

对于 OpenShift 集群中的客户端,您可以创建 普通 (不加密)或 tls 内部 监听程序。内部 监听程序类型使用无头服务,以及提供给代理 pod 的 DNS 名称。作为无头服务的替代选择,您还可以创建内部监听程序的 cluster-ip 类型,以使用每个代理 ClusterIP 服务公开 Kafka。对于 OpenShift 集群外的客户端,您可以创建外部监听程序并指定连接机制,可以是 nodeport, loadbalancer, ingressroute(在 OpenShift 中)。

有关连接外部客户端的配置选项的更多信息,请参阅在 OpenShift 集群外访问 Kafka

支持的身份验证选项:

  1. mTLS 身份验证(只在使用启用 TLS 的监听程序中)
  2. SCRAM-SHA-512 身份验证
  3. 基于 OAuth 2.0 令牌的身份验证
  4. 自定义身份验证

您选择的身份验证选项取决于您要如何验证对 Kafka 代理的访问。

注意

在使用自定义身份验证之前,尝试探索标准身份验证选项。自定义身份验证允许任何类型的 kafka 支持的验证。它可以提供更大的灵活性,但也增加了复杂性。

图 6.1. Kafka 侦听器身份验证选项

侦听器身份验证配置的选项
View larger image
侦听器身份验证配置的选项

侦听器 身份验证 属性用于指定特定于该侦听器的身份验证机制。

如果没有指定 身份验证 属性,则监听器不会验证通过该侦听器连接的客户端。侦听器将接受所有无身份验证的连接。

在使用 User Operator 管理 KafkaUsers 时,必须配置身份验证。

以下示例显示了:

  • 为 SCRAM-SHA-512 身份验证配置了 普通 侦听器
  • 带有 mTLS 验证的 tls 监听程序
  • 带有 mTLS 验证 的外部 监听程序

每个监听程序都配置了 Kafka 集群内的唯一名称和端口。

注意

侦听器无法配置为使用保留代理通信的端口(9091 或 9090)和指标(9404)。

侦听器身份验证配置示例

apiVersion: kafka.strimzi.io/v1beta2
kind: Kafka
metadata:
  name: my-cluster
  namespace: myproject
spec:
  kafka:
    # ...
    listeners:
      - name: plain
        port: 9092
        type: internal
        tls: true
        authentication:
          type: scram-sha-512
      - name: tls
        port: 9093
       type: internal
       tls: true
       authentication:
         type: tls
      - name: external
        port: 9094
        type: loadbalancer
        tls: true
        authentication:
          type: tls
# ...
Copy to Clipboard Toggle word wrap

6.1.1.1. mTLS 身份验证
复制链接

mTLS 身份验证总是用于 Kafka 代理和 ZooKeeper pod 之间的通信。

AMQ Streams 可将 Kafka 配置为使用 TLS (Transport Layer Security)来提供 Kafka 代理和客户端之间的加密通信,或者没有相互身份验证。对于双向身份验证,无论是服务器和客户端均提供证书。当您配置 mTLS 身份验证时,代理会验证客户端(客户端身份验证)和客户端验证代理(服务器身份验证)。

Kafka 资源中的 mTLS 监听程序配置需要以下内容:

  • TLS: true 指定 TLS 加密和服务器身份验证
  • authentication.type: tls 以指定客户端身份验证

当 Cluster Operator 创建 Kafka 集群时,它会创建一个名为 < cluster_name>-cluster-ca-cert 的新 secret。secret 包含 CA 证书。CA 证书采用 PEM 和 PKCS #12 格式。要验证 Kafka 集群,请将 CA 证书添加到客户端配置中的信任存储中。要验证客户端,请将用户证书和密钥添加到客户端配置中的密钥存储中。有关为 mTLS 配置客户端的详情,请参考 第 6.2.2 节 “用户身份验证”

注意

TLS 身份验证更为单向,一个方对另一身份进行身份验证。例如,在 Web 浏览器和 Web 服务器之间使用 HTTPS 时,浏览器获取 Web 服务器的身份证明。

6.1.1.2. SCRAM-SHA-512 身份验证
复制链接

SCRAM (Salted Challenge Response Authentication Mechanism)是一个身份验证协议,可以使用密码建立相互验证。AMQ Streams 可将 Kafka 配置为使用 SASL (Simple Authentication and Security Layer) SCRAM-SHA-512,以在未加密的和加密客户端连接中提供身份验证。

当将 SCRAM-SHA-512 身份验证与 TLS 连接一起使用时,TLS 协议会提供加密,但不用于身份验证。

SCRAM 的以下属性可以安全使用 SCRAM-SHA-512,即使在未加密的连接中:

  • 通过通信频道不会以明文形式发送密码。相反,客户端和服务器都会相互挑战,以便证明他们知道验证用户的密码。
  • 服务器和客户端为每个身份验证交换造成新挑战。这意味着该交换可以应对重播攻击。

KafkaUser.spec.authentication.type 配置时,使用 scram-sha-512 用户 Operator 将生成一个由大写和小写 ASCII 字母和数字组成的 12 个字符的随机密码。

6.1.1.3. 网络策略
复制链接

默认情况下,AMQ Streams 会自动为每个在 Kafka 代理上启用的监听程序创建一个 NetworkPolicy 资源。这个 NetworkPolicy 允许应用程序连接到所有命名空间中的监听程序。使用网络策略作为监听程序配置的一部分。

如果要将网络级别的监听程序的访问权限限制为特定的应用程序或命名空间,请使用 networkPolicyPeers 属性。每个监听程序都有不同的 networkPolicyPeers 配置。有关网络策略对等方法的更多信息,请参阅 NetworkPolicyPeer API 参考

如果要使用自定义网络策略,您可以在 Cluster Operator 配置中将 STRIMZI_NETWORK_POLICY_GENERATION 环境变量设置为 false。如需更多信息,请参阅 Cluster Operator 配置

注意

您的 OpenShift 配置必须支持 ingress NetworkPolicies,以便在 AMQ Streams 中使用网络策略。

6.1.1.4. 其他监听程序配置选项
复制链接

您可以使用 GenericKafkaListenerConfiguration 模式 的属性,将进一步配置添加到监听程序。

6.1.2. Kafka 授权
复制链接

使用 Kafka 资源中的 Kafka.spec.kafka.authorization 属性配置 Kafka 代理的授权。如果缺少 authorization 属性,则不会启用授权,并且客户端没有限制。启用后,授权将应用到所有启用的监听程序。授权方法在 type 字段中定义。

支持的授权选项:

图 6.2. Kafka 集群授权选项

kafka 授权配置的选项
View larger image
kafka 授权配置的选项

6.1.2.1. 超级用户
复制链接

超级用户可以访问 Kafka 集群中的所有资源,无论访问限制如何,并且受所有授权机制的支持。

要为 Kafka 集群指定超级用户,请在 superUsers 属性中添加一个用户主体列表。如果用户使用 mTLS 验证,则用户名是 TLS 证书主体中前缀为 CN= 的通用名称。如果您没有使用 User Operator 并为 mTLS 使用自己的证书,则用户名是完整的证书主题。完整证书对象可以包括以下字段: CN=user,OU=my_ou,O=my_org,L=my_location,ST=my_state,C=my_country_code。省略不存在的所有字段。

使用超级用户配置示例

apiVersion: kafka.strimzi.io/v1beta2
kind: Kafka
metadata:
  name: my-cluster
  namespace: myproject
spec:
  kafka:
    # ...
    authorization:
      type: simple
      superUsers:
        - CN=client_1
        - user_2
        - CN=client_3
        - CN=client_4,OU=my_ou,O=my_org,L=my_location,ST=my_state,C=US
        - CN=client_5,OU=my_ou,O=my_org,C=GB
        - CN=client_6,O=my_org
    # ...
Copy to Clipboard Toggle word wrap

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat