PLAIN认证有个问题,就是不能动态新增用户,每次添加用户后,需要重启正在运行的Kafka集群才能生效。为此,在生产环境,这种认证方式不符合实际业务场景。而SCRAM不一样,使用SCRAM认证,可以动态新增用户,添加用户后,可以不用重启正在运行的Kafka集群即可进行鉴权。
本篇文档中使用的是自己部署的zookeeper, zookeeper无需做任何特殊配置
1.准备
使用SASL / SCRAM进行身份验证,请先在不配置任何身份验证的情况下启动Kafka
2.创建SCRAM Credentials
Kafka中的SCRAM实现使用Zookeeper作为凭证(credential)存储。 可以使用kafka-configs.sh在Zookeeper中创建凭据。 对于启用的每个SCRAM机制,必须通过添加具有机制名称的配置来创建凭证。 必须在启动Kafka broker之前创建代理间通信的凭据。 可以动态创建和更新客户端凭证,并使用更新的凭证来验证新连接。
2.1 创建broker建通信用户(或称超级用户)
bin/kafka-configs.sh --zookeeper localhost:2181 --alter --add-config