当前位置: 首页 > article >正文

安全地使用 Docker 和 Systemctl 部署 Kafka 的综合指南

引言

在现代数据架构中,Kafka 作为一种高性能的消息队列系统,已被广泛应用于处理实时数据流。在企业级部署中,保证数据传输的安全性以及服务的稳定性变得尤为重要。本文将详细介绍如何在 Docker 环境下部署 Kafka 服务,并使用 Systemctl 进行管理,特别注重在部署过程中安全性的处理,包括密码的加密存储与日志的安全输出的完整流程

当前部署方式

当前环境使用docker docker-compose 部署raft模式的kafka三节点集群,某一个节点的docker-compose.yaml配置文件如下:


version: "3"
services:
  kafka:
    image: 'bitnami/kafka:3.7.0'
    network_mode: "host"
    ports:
      - '9092:9092'
      - '9093:9093'
      - '9999:9999'
    privileged: true
    environment:
      - KAFKA_CFG_NODE_ID=0
      - TZ=Asia/Shanghai
      - KAFKA_CFG_PROCESS_ROLES=controller,broker
      - KAFKA_CFG_CONTROLLER_QUORUM_VOTERS=0@192.168.0.10:9093,1@192.168.0.13:9093,2@192.168.0.11:9093
      - KAFKA_KRAFT_CLUSTER_ID=metabank
      - KAFKA_CFG_LISTENERS=PLAINTEXT://0.0.0.0:9092,CONTROLLER://0.0.0.0:9093
      - KAFKA_CFG_ADVERTISED_LISTENERS=PLAINTEXT://192.168.0.10:9092
      - KAFKA_CFG_LISTENER_SECURITY_PROTOCOL_MAP=PLAINTEXT:SASL_PLAINTEXT,CONTROLLER:SASL_PLAINTEXT
      - KAFKA_CFG_CONTROLLER_LISTENER_NAMES=CONTROLLER
      - KAFKA_CFG_INTER_BROKER_LISTENER_NAME=PLAINTEXT
      - KAFKA_CLIENT_USERS=vuser
      - KAFKA_CLIENT_PASSWORDS=vuserpwd123
      - KAFKA_CFG_SASL_MECHANISM_CONTROLLER_PROTOCOL=PLAIN
      - KAFKA_CONTROLLER_USER=vuser
      - KAFKA_CONTROLLER_PASSWORD=vuserpwd123
      - KAFKA_CFG_SASL_MECHANISM_INTER_BROKER_PROTOCOL=PLAIN
      - KAFKA_INTER_BROKER_USER=vuser
      - KAFKA_INTER_BROKER_PASSWORD=vuserpwd123
      - KAFKA_CFG_SSL_ENDPOINT_IDENTIFICATION_ALGORITHM=
      - KAFKA_CFG_SASL_ENABLED_MECHANISMS=PLAIN,SCRAM-SHA-512
      - KAFKA_TLS_TYPE=JKS
      - KAFKA_JMX_ENABLED=true 
      - KAFKA_JMX_OPTS=-Dcom.sun.management.jmxremote -Dcom.sun.management.jmxremote.port=9999 -Dcom.sun.management.jmxremote.rmi.port=9999 -Dcom.sun.management.jmxremote.local.only=false -Dcom.sun.management.jmxremote.authenticate=false -Dcom.sun.management.jmxremote.ssl=false
volumes:
      - ./kafka_data:/bitnami/kafka

系统服务使用**systemctl ** 管理:

[Unit]
Description=kafka Service
Requires=docker.service
After=docker.service
[Service]
Type=oneshot
RemainAfterExit=yes
User=apppub
Group=apppub
WorkingDirectory=/app/metabank/kafka
ExecStart=/usr/bin/docker-compose up -d
ExecStop=/usr/bin/docker-compose down
TimeoutStartSec=0
[Install]
WantedBy=multi-user.target

服务的启停管理使用systemctl ** start|stop|status **参数管理kafka服务

安全需求

最新需求密码不得以明文形式在任何配置文件或命令行中出现。
Kafka 的运行日志需要被安全地记录并存储。

解决方案设计

密码的加密存储和使用

考虑到安全性,我们将使用 OpenSSL 工具为 Kafka 的密码生成密钥,并进行 AES-256 加密,确保即使在配置文件被泄露的情况下,敏感信息也不会直接暴露。

生成和管理加密密钥

您应该生成一个强加密密钥,并将其存储在安全的位置。这个密钥将用于加密和解密 Kafka 配置中的密码。

mkdir /app/metabank/kafka/secrets/
openssl rand -hex 16 > /app/metabank/kafka/secrets/encryption_key
chmod 400 /app/metabank/kafka/secrets/encryption_key
chown apppub:apppub /app/metabank/kafka/secrets/encryption_key

密码加密脚本

创建一个脚本 encrypt_kafka_password.sh 来加密 Kafka 的密码:

#!/bin/bash

ENCRYPTION_KEY=$(cat /app/metabank/kafka/secrets/encryption_key)

encrypt_password() {
    local password=$1
    echo -n "$password" | openssl enc -aes-256-cbc -base64 -pbkdf2 -salt -k "$ENCRYPTION_KEY" 2>/dev/null
}

echo "Enter Kafka client password:"
read -s password
ENCRYPTED_CLIENT_PASSWORD=$(encrypt_password "$password")
echo -e "\nEnter Kafka controller password:"
read -s password
ENCRYPTED_CONTROLLER_PASSWORD=$(encrypt_password "$password")
echo -e "\nEnter Kafka broker password:"
read -s password
ENCRYPTED_BROKER_PASSWORD=$(encrypt_password "$password")

# 将加密后的密码写入环境变量文件
cat > /app/metabank/kafka/secrets/kafka_passwords.env << EOF
ENCRYPTED_CLIENT_PASSWORD='${ENCRYPTED_CLIENT_PASSWORD}'
ENCRYPTED_CONTROLLER_PASSWORD='${ENCRYPTED_CONTROLLER_PASSWORD}'
ENCRYPTED_BROKER_PASSWORD='${ENCRYPTED_BROKER_PASSWORD}'
EOF

echo -e "\nPasswords have been encrypted and saved to kafka_passwords.env"

该脚本读取原始密码,利用预存的密钥进行加密,并输出加密后的密码。

密码解密脚本

#!/bin/bash

ENCRYPTION_KEY=$(cat /app/metabank/kafka/secrets/encryption_key)

decrypt_password() {
    local encrypted_password=$1
    # 移除可能的引号
    encrypted_password="${encrypted_password//\'/}"
    echo "$encrypted_password" | openssl enc -aes-256-cbc -base64 -pbkdf2 -salt -d -k "$ENCRYPTION_KEY" 2>/dev/null
}

# 从环境变量文件读取加密密码
if [ -f "/app/metabank/kafka/secrets/kafka_passwords.env" ]; then
    # 使用 source 命令加载环境变量
    source /app/metabank/kafka/secrets/kafka_passwords.env
    
    # 解密并导出密码
    export KAFKA_CLIENT_PASSWORDS=$(decrypt_password "$ENCRYPTED_CLIENT_PASSWORD")
    export KAFKA_CONTROLLER_PASSWORD=$(decrypt_password "$ENCRYPTED_CONTROLLER_PASSWORD")
    export KAFKA_INTER_BROKER_PASSWORD=$(decrypt_password "$ENCRYPTED_BROKER_PASSWORD")
    
    # 验证解密是否成功(可选)
    if [ -n "$KAFKA_CLIENT_PASSWORDS" ] && [ -n "$KAFKA_CONTROLLER_PASSWORD" ] && [ -n "$KAFKA_INTER_BROKER_PASSWORD" ]; then
        echo "Passwords decrypted successfully"
    else
        echo "Error: Failed to decrypt one or more passwords"
        exit 1
    fi
else
    echo "Error: kafka_passwords.env file not found"
    exit 1
fi

启动脚本与安全日志处理

将 Kafka 的日志输出到特定目录,并确保这些日志文件的访问权限受到严格控制。

#!/bin/bash
# start-kafka.sh

source ./decrypt_kafka_passwords.sh
# 检查解密是否成功
if [ $? -ne 0 ]; then
    echo "Failed to decrypt passwords"
    exit 1
fi

exec /usr/bin/docker-compose up & 
sleep 5 
/usr/bin/docker-compose logs -f kafka >> /app/metabank/kafka/kafka_logs/kafka.log 2>&1

使用 Systemctl 管理 Kafka 服务

创建一个名为 kafka.service 的 Systemctl 单元文件,提供了 Kafka 服务的启动和停止命令,并能够让服务在系统启动时自动启动。

[Unit]
Description=kafka Service
Requires=docker.service
After=docker.service

[Service]
Type=simple
User=apppub
Group=apppub
WorkingDirectory=/app/metabank/kafka
ExecStart=/bin/bash /app/metabank/kafka/start-kafka-service.sh
ExecStop=/bin/bash -c '/usr/bin/docker-compose down'
Restart=always
RestartSec=10
[Install]
WantedBy=multi-user.target

其他日志切割与回收

由于我七天内的日志可能会查看,我启用了延迟压缩:

/app/metabank/kafka/kafka_logs/kafka.log {
    su apppub apppub
    daily
    rotate 30            # 增大rotate值以确保能保留足够的日志
    dateext
    dateformat -%Y%m%d
    delaycompress        # 延迟压缩
    maxage 7            # 7天后才压缩
    missingok
    notifempty
    create 0640 apppub apppub
    sharedscripts
}

注意:配置文件中不能添加注释,这里只做演示,配置文件记得自己去除配置!

使用如下命令测试日志切割:

touch -d "yesterday" /app/metabank/kafka/kafka_logs/*.log
logrotate -f /etc/logrotate.d/kafka

另外journalctl中这样日志的量级会比较大,还很烦人:

我需要处理一下:

修改了kafka.service

[Unit]
Description=kafka Service
Requires=docker.service
After=docker.service

[Service]
Type=simple
User=apppub
Group=apppub
WorkingDirectory=/app/metabank/kafka
ExecStart=/bin/bash /app/metabank/kafka/start-kafka-service.sh
ExecStop=/bin/bash -c '/usr/bin/docker-compose down'
Restart=always
RestartSec=10
StandardOutput=null
StandardError=null

[Install]
WantedBy=multi-user.target

嗯查看了一下journalctl 总算没有那么多烦人的日志了

实施步骤

安装必要的软件:确保系统已安装 Docker、Docker Compose 和 OpenSSL。
配置 Kafka 的 Docker Compose:根据需求配置 Kafka,并注意在环境变量中使用加密密码。
创建并部署加密脚本:将 encrypt_kafka_password.sh 部署到服务器上,保证其执行权限并对密码进行加密。
配置 Systemctl 服务:部署 kafka.service 文件至 /etc/systemd/system/ 目录。
启动服务:使用 systemctl start kafka.service 启动服务。
验证:确保 Kafka 运行正常,加密脚本工作良好,且日志按预期记录。

其他可以完善的

总结

通过本教程,您可以实现一个安全、可靠的 Kafka 服务部署。通过加密关键配置和细心设计日志存储,显著提升整个系统的安全性。日常运维中,请注意定期检查和更新安全设置,修改密码,确保系统能防范新的安全威胁。


http://www.kler.cn/a/443310.html

相关文章:

  • XML通过HTTP POST 请求发送到指定的 API 地址,进行数据回传
  • 【计算机网络】什么是网关(Gateway)?
  • css出现边框
  • SpringBoot之核心配置
  • 【网络协议】开放式最短路径优先协议OSPF详解(四)
  • Flink源码解析之:Flink on k8s 客户端提交任务源码分析
  • 【机器人】Graspness 端到端抓取点估计 | 环境搭建 | 模型推理测试
  • 利用Java爬虫获取京东商品SKU信息
  • 敏捷多模态微型机器人:独特的被动变形轮设计
  • C# 基本信息介绍
  • Linux高性能服务器编程 | 读书笔记 | 12. 多线程编程
  • 环境变革下 B2B 销售的转型与创新:开源 AI 智能名片与 S2B2C 商城小程序的助力
  • uniapp 极速上手鸿蒙开发
  • 软件信息化平台项目投标技术方案中如何进行项目实施方案以及安全质量方案培训售后方案应急预案的编写?
  • 日常思考笔记
  • 如何处理对象的状态变化?
  • 公文写作一体机实现个性化写作与专属文风定制
  • Spring MVC 中,处理异常的 6种方式
  • 【ELK】Filebeat采集Docker容器日志
  • 华为数通最新题库 H12-821 HCIP稳定过人中
  • LeetCode1143. 最长公共子序列(2024冬季每日一题 36)
  • barin.js(十四)GRU实战教程 - 文本情感分析之有害内容检测
  • 霍尔传感器在VR虚拟现实技术上的应用
  • Facebook 与数字社交的未来走向
  • 数据科学与SQL:如何利用本福特法则识别财务数据造假?
  • C++实现最大字段和