欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

Python confluent kafka客户端配置kerberos认证流程详解

程序员文章站 2022-04-25 08:24:07
kafka的认证方式一般有如下3种:1.sasl/gssapi 从版本0.9.0.0开始支持2.sasl/plain 从版本0.10.0.0开始支持3.sasl/scram-sha-256 以及 sa...

kafka的认证方式一般有如下3种:

1.sasl/gssapi 从版本0.9.0.0开始支持

2.sasl/plain 从版本0.10.0.0开始支持

3.sasl/scram-sha-256 以及 sasl/scram-sha-512 从版本0.10.2.0开始支持

其中第一种sasl/gssapi的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的kafka客户端库,有好多语言的库都是依赖于这个,所以gssapi接口的开启也需要在librdkafka编译的时候支持

librdkafka源码:

编译之前需要先安装必要的开发包,否则相关的接口编译不进去

首先是openssl库,使用yum安装为:yum -y install openssl openssl-devel,编译openssl只能支持默认的plain还有scram这两种机制,无法支持gssapi的机制,还需要编译libsasl2依赖,yum安装命令如下:

yum install cyrus-sasl-gssapi cyrus-sasl-devel

在ubuntu下使用命令:apt-get install libsasl2-modules-gssapi-mit libsasl2-dev安装libsasl2开发包

然后确认一下是否有zlib库,这个是方便对kafka消息压缩使用的,一般都会存在,安装命令:yum install zlib-devel,如果需要更高的性能可以手动编译安装zstd并且启用压缩,这里不再详细叙述

上面的库都安装成功就可以开始编译librdkafka源码了,这里源码包为:librdkafka-1.2.1.tar.gz,安装命令如下:

# 解压包
tar -xvzf librdkafka-1.2.1.tar.gz
cd librdkafka-1.2.1
# 编译源码
./configure
make
make install

上面注意一下在执行命令./configure之后,根据输出确认libssl以及libsasl2是否被开启,如下:

Python confluent kafka客户端配置kerberos认证流程详解

这里libssl以及libsasl2都显示ok说明是可以的,现在ssl和sasl scram以及sasl gssapi都已经支持了,执行configure阶段没指定prefix则默认安装位置为/usr/local,动态库位置就为:/usr/local/lib,需要将这个目录添加到动态库连接列表中,比如加到/etc/ld.so.conf,保存后执行ldconfig生效

最后可以编译和安装python的confluent kafka模块,这里安装的版本是1.2.0,安装之后可以运行下面的代码测试:

#!/usr/bin/env python3
# coding=utf-8
from confluent_kafka import producer

def delivery_report(err, msg):
  """ called once for each message produced to indicate delivery result.
    triggered by poll() or flush(). """
  if err is not none:
    print('message delivery failed: {}'.format(err))
  else:
    print('message delivered to {} [{}]'.format(msg.topic(), msg.partition()))

if __name__ == '__main__':
  producer_conf = {
    "bootstrap.servers": '192.168.0.3:9092,192.168.0.4:9092,192.168.0.5:9092',
    "security.protocol": 'sasl_plaintext',
    'sasl.kerberos.service.name': 'kafka',
    'sasl.kerberos.keytab': '/opt/user.keytab',
    'sasl.kerberos.principal': 'kafkauser',
  }
  p = producer(producer_conf)

  p.poll(0)
  p.produce('testtopic', 'confluent kafka test'.encode('utf-8'),
    callback=delivery_report)

  p.flush()
  print('done')

如果生产消息正常就配置成功了,使用gssapi只需要配置security.protocol以及keytab的路径即可,其他的认证参数比如用户名和密码在不同的认证机制下配置,更多的配置参数参考文档:

https://github.com/edenhill/librdkafka/blob/master/configuration.md

librdkafka sasl认证的详细配置流程参考:https://github.com/edenhill/librdkafka/wiki/using-sasl-with-librdkafka

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。