平台需要開放kafka消息隊列給外部訪問,因此安全性需要考慮。其中主要涉及 身份認證(對client 與服務器的連接進行身份認證,brokers和zookeeper之間的連接進行Authentication(producer 和 consumer)、其他 brokers、tools與 brokers 之間連接的認證。) 以及 權限控制(實現對於消息級別的權限控制,clients的讀寫操作進行Authorization:生產/消費/group 數據權限。)兩方面。
目前的Sasl實現方式包括SASL/PLAIN、SASL/SCRAM、SASL/Kerberos和SASL/OAUTHBEARER四種,其中SASL/PLAIN修改配置需要重啟、SASL/SCRAM可以實現動態修改熱部署。加密的實現方式選擇SSL。可以實現客戶端和代理之間的數據加密傳輸。本文選擇使用SASL/SCRAM+SSL的方式進行部署。