背景

公司需要对kafka环境进行安全验证，目前考虑到的方案有Kerberos和SSL和SASL_SSL，最终考虑到安全和功能的丰富度，我们最终选择了SASL_SSL方案。处于知识积累的角度，记录一下kafka SASL_SSL安装部署的步骤。

机器规划

目前测试环境公搭建了三台kafka主机服务，现在将详细阐述部署这三个物理主机的kerberos认证的过程。

创建jaas认证文件

在所有的kafka节点上/export/server/kafka_sasl_ssl_jaas.conf创建该文件

KafkaServer {
    org.apache.kafka.common.security.scram.ScramLoginModule required
    username="admin"
    password="admin";
};

注意，这里仅仅开启了kafka的认证，zookeeper并没有开启认证

修改所有节点的kafka-runner-class.sh文件，在# Launch mode参数后面追加
$KAFKA_SASL_OPTS配置

• 默认配置

# Launch mode
if [ "x$DAEMON_MODE" = "xtrue" ]; then
  nohup $JAVA $KAFKA_HEAP_OPTS $KAFKA_JVM_PERFORMANCE_OPTS $KAFKA_GC_LOG_OPTS $KAFKA_JMX_OPTS $KAFKA_LOG4J_OPTS -cp $CLASSPATH $KAFKA_OPTS "$@" > "$CONSOLE_OUTPUT_FILE" 2>&1 < /dev/null &
else
  exec $JAVA $KAFKA_HEAP_OPTS $KAFKA_JVM_PERFORMANCE_OPTS $KAFKA_GC_LOG_OPTS $KAFKA_JMX_OPTS $KAFKA_LOG4J_OPTS -cp $CLASSPATH $KAFKA_OPTS "$@"