kafka connect的rest api未得到保护和验证。由于没有经过身份验证,任何人都可以轻松访问连接器或任务的配置。由于这些配置可能包含关于如何访问源系统[在sourceconnector的情况下]和目标系统[在sinkconnector的情况下]的信息,有没有标准的方法来限制对这些API的访问?谢谢和问候。普拉巴
oxf4rvwz1#
这是一个未来需要改进的已知领域,但目前您应该在kafka connect计算机上使用防火墙,并使用api管理工具(apigee等)或反向代理(haproxy、nginx、,等)以确保https在您可以配置访问控制规则的端点处终止,然后让防火墙仅接受来自安全代理的连接。对于某些产品,防火墙、访问控制和ssl/tls终止功能都可以在数量较少的产品中完成。
hwazgwia2#
从kafka 1.1.0开始,您可以为kafka connect rest api设置ssl和ssl客户端身份验证。详见kip-208。
ztmd8pv53#
在kafka2.1.0中,可以为kafkaconnect的rest接口配置http基本身份验证,而无需编写任何自定义代码。由于rest扩展机制的实现,这一点成为现实(参见kip-285)。简而言之,配置过程如下:将扩展类添加到辅助进程配置文件:
rest.extension.classes = org.apache.kafka.connect.rest.basic.auth.extension.BasicAuthSecurityRestExtension
创建jaas配置文件(即。 connect_jaas.conf )对于应用程序名称“kafkaconnect”:
connect_jaas.conf
KafkaConnect { org.apache.kafka.connect.rest.basic.auth.extension.PropertyFileLoginModule required file="/your/path/rest-credentials.properties"; };
创建 rest-credentials.properties 上述目录中的文件:
rest-credentials.properties
user=password
最后,向java通知您的jaas配置文件,例如,通过向java添加命令行属性:
-Djava.security.auth.login.config=/your/path/connect_jaas.conf
重新启动kafka connect后,如果没有基本身份验证,您将无法使用restapi。请记住,使用的类是示例,而不是产品级特性。链接:连接配置基本安全性扩展JAASBASICAUTH过滤器属性FileLoginModule
3条答案
按热度按时间oxf4rvwz1#
这是一个未来需要改进的已知领域,但目前您应该在kafka connect计算机上使用防火墙,并使用api管理工具(apigee等)或反向代理(haproxy、nginx、,等)以确保https在您可以配置访问控制规则的端点处终止,然后让防火墙仅接受来自安全代理的连接。对于某些产品,防火墙、访问控制和ssl/tls终止功能都可以在数量较少的产品中完成。
hwazgwia2#
从kafka 1.1.0开始,您可以为kafka connect rest api设置ssl和ssl客户端身份验证。详见kip-208。
ztmd8pv53#
在kafka2.1.0中,可以为kafkaconnect的rest接口配置http基本身份验证,而无需编写任何自定义代码。
由于rest扩展机制的实现,这一点成为现实(参见kip-285)。
简而言之,配置过程如下:
将扩展类添加到辅助进程配置文件:
创建jaas配置文件(即。
connect_jaas.conf
)对于应用程序名称“kafkaconnect”:创建
rest-credentials.properties
上述目录中的文件:最后,向java通知您的jaas配置文件,例如,通过向java添加命令行属性:
重新启动kafka connect后,如果没有基本身份验证,您将无法使用restapi。
请记住,使用的类是示例,而不是产品级特性。
链接:
连接配置
基本安全性扩展
JAASBASICAUTH过滤器
属性FileLoginModule