1、安全概览
社区从kafka 0.9.0.0开始支持安全机制功能,这些安全机制可以单独或混合使用。
1.1、客户端(producer、consumer、tool)与broker的认证支持
支持使用SSL或SASL。由于SSL性能不好,不建议使用。
目前SASL支持如下认证机制:
SASL/GSSAPI (Kerberos) - starting at version 0.9.0.0
SASL/PLAIN - starting at version 0.10.0.0
SASL/SCRAM-SHA-256 and SASL/SCRAM-SHA-512 - starting at version 0.10.2.0
SASL不像SSL是一个完整通讯协议。SASL是一个认证框架,一个半成品,定义了客户端和服务端之间数据的交换方式,但是并没有指定数据的内容,所以可以定制各种对原始数据的加工方式,比如kerberos,明文等。其中SASL/PLAIN因为是以明文传输、所以是最不安全的认证方式。
1.2、broker和zookeeper之间的认证
支持SASL/GSSAPI(kerberos)等,具体需要查询zookeeper的认证机制。
1.3、broker之间
支持使用SSL和kerberos。由于SSL性能不好,不建议使用。