System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 基于helm部署kafka启用acl的方法技术_技高网

基于helm部署kafka启用acl的方法技术

技术编号:41123684 阅读:19 留言:0更新日期:2024-04-30 17:50
本发明专利技术公开了基于helm部署kafka启用acl的方法,其涉及Kubernetes服务部署包管理工具技术领域,旨在解决kafka在之前并不支持通过helm启用acl的方法,且每个人都有权访问任何资源,整体的安全性较差,保密效果一般的问题,其技术方案要点是S1:通过helm获取kafka helm部署包,以方便下面基于该包进行修改;S2:增加配置项具体配置;S3:制作证书,包含用于访问的基础信息,例如密码,用户访问ACL带上证书可避免密码明文传输;S4:证书创建成功之后,在k8s集群内创建secret,挂载到kafka集群内;S5:在启动时,Kafka代理会启动ACL加载,每当API请求通过时,都会维护填充的ACL缓存并将其用于授权目的。达到了开启ACL对登录的用户进行权限管理以进一步提高服务的安全性的效果。

【技术实现步骤摘要】

本专利技术涉及kubernetes服务部署包管理工具,尤其是涉及基于helm部署kafka启用acl的方法


技术介绍

1、容器技术是当前热门技术,也是最前沿的技术,自从docker和kubernetes的推出,使得软件的部署变得容易起来,真正的实现了一次部署到处运行,容器云平台就在这样的技术背景下诞生,而容器云平台内必然会部署海量的应用和服务,helm支持快速部署和管理这些服务,例如kafka。

2、上述中的现有技术方案存在以下缺陷:但是kafka在之前并不支持通过helm启用acl的方法,且每个人都有权访问任何资源,整体的安全性较差,保密效果一般。


技术实现思路

1、本专利技术的目的是提供一种可以解决helm部署kafka访问控制的基于helm部署kafka启用acl的方法。

2、为实现上述目的,本专利技术提供了如下技术方案:

3、基于helm部署kafka启用acl的方法,其方法如下:

4、s1:通过helm获取kafka helm部署包,以方便下面基于该包进行修改;

5、s2:增加配置项具体配置,启用acl配置,授权者通过默认的acl管理和执行授权,它将acl存储在zookeeper中,开启acl对登录的用户进行权限管理以进一步提高服务的安全性;

6、s3:制作证书,包含用于访问的基础信息,例如密码,用户访问acl带上证书可避免密码明文传输;

7、s4:证书创建成功之后,在k8s集群内创建secret,挂载到kafka集群内,以此将证书绑定使用起来;

8、s5:在启动时,kafka代理会启动acl加载,每当api请求通过时,都会维护填充的acl缓存并将其用于授权目的。

9、进一步地,所述s1中主要通过修改helm charts的statefulset.yaml模板、修改charts values.yaml文件的配置参数和参数描述等内容,用以实现kafka acl控制。

10、进一步地,所述s1中修改helm charts的statefulset.yaml模板具体为:

11、

12、进一步地,所述s2中增加配置项具体配置还包括增加相关参数配置项和参数描述。

13、进一步地,所述s2中增加相关参数配置项和参数描述具体为:

14、

15、进一步地,所述s2授权者类名称是通过代理配置提供的authorizer.class.name,开启acl对登录的用户进行权限管理以进一步提高服务的安全性。

16、进一步地,所述authorizerclassname为增加授权者类名配置,该参数主要用于启用kafka安全授权中acl权限,实现对单一用户设定访问文件的权限。

17、进一步地,所述alloweveryoneifnoaclfound默认为true,如果一个资源没有关联的acl,那么除了超级用户之外,任何人都不能访问该资源。

18、进一步地,所述superusers具体为添加超级用户。

19、进一步地,所述s5具体步骤为broker开始任务,authorizer访问acl store加载acl规则,返回authorizer等待请求;客户端发出请求,authorize通过缓存的acl进行鉴权,判断是否为超级用户,然后根据acl规则对请求进行放行或拒绝。

20、综上所述,本专利技术的有益技术效果为:

21、1、本专利技术针对helm部署kafka启用acl访问控制,补足了相关功能,授权者通过默认的acl管理和执行授权(aclauthorize),它将acl存储zookeeper中,授权者类名称是通过代理配置提供的authorizer.class.name,如果不存在这样的配置,那么每个人都有权访问任何资源,因此,开启acl对登录的用户进行权限管理以进一步提高服务的安全性;

22、2、本专利技术解决helm部署kafka时,无法启用acl功能的问题,简化和方便以后的相关部署。

本文档来自技高网...

【技术保护点】

1.基于helm部署kafka启用acl的方法,其特征在于:其方法如下:

2.根据权利要求1所述的基于helm部署kafka启用acl的方法,其特征在于:所述S1中主要通过修改helm charts的statefulset.yaml模板、修改charts values.yaml文件的配置参数和参数描述等内容,用以实现kafka acl控制。

3.根据权利要求2所述的基于helm部署kafka启用acl的方法,其特征在于:所述S1中修改helm charts的statefulset.yaml模板具体为:

4.根据权利要求3所述的基于helm部署kafka启用acl的方法,其特征在于:所述S2中增加配置项具体配置还包括增加相关参数配置项和参数描述。

5.根据权利要求4所述的基于helm部署kafka启用acl的方法,其特征在于:所述S2中增加相关参数配置项和参数描述具体为:

6.根据权利要求5所述的基于helm部署kafka启用acl的方法,其特征在于:所述S2授权者类名称是通过代理配置提供的authorizer.class.name,开启ACL对登录的用户进行权限管理以进一步提高服务的安全性。

7.根据权利要求6所述的基于helm部署kafka启用acl的方法,其特征在于:所述authorizerClassName为增加授权者类名配置,该参数主要用于启用kafka安全授权中Acl权限,实现对单一用户设定访问文件的权限。

8.根据权利要求7所述的基于helm部署kafka启用acl的方法,其特征在于:所述allowEveryoneIfNoAclFound默认为true,如果一个资源没有关联的ACL,那么除了超级用户之外,任何人都不能访问该资源。

9.根据权利要求8所述的基于helm部署kafka启用acl的方法,其特征在于:所述superUsers具体为添加超级用户。

10.根据权利要求9所述的基于helm部署kafka启用acl的方法,其特征在于:所述S5具体步骤为broker开始任务,authorizer访问acl store加载acl规则,返回authorizer等待请求;客户端发出请求,authorize通过缓存的acl进行鉴权,判断是否为超级用户,然后根据acl规则对请求进行放行或拒绝。

...

【技术特征摘要】

1.基于helm部署kafka启用acl的方法,其特征在于:其方法如下:

2.根据权利要求1所述的基于helm部署kafka启用acl的方法,其特征在于:所述s1中主要通过修改helm charts的statefulset.yaml模板、修改charts values.yaml文件的配置参数和参数描述等内容,用以实现kafka acl控制。

3.根据权利要求2所述的基于helm部署kafka启用acl的方法,其特征在于:所述s1中修改helm charts的statefulset.yaml模板具体为:

4.根据权利要求3所述的基于helm部署kafka启用acl的方法,其特征在于:所述s2中增加配置项具体配置还包括增加相关参数配置项和参数描述。

5.根据权利要求4所述的基于helm部署kafka启用acl的方法,其特征在于:所述s2中增加相关参数配置项和参数描述具体为:

6.根据权利要求5所述的基于helm部署kafka启用acl的方法,其特征在于:所述s2授权者类名称是通过代理配置提供的authorizer.class.name,开启acl对...

【专利技术属性】
技术研发人员:李蕊材程刚马涛杨洋张润江张立新
申请(专利权)人:天翼云科技有限公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1