Chuyển tới nội dung chính

Kafka User

Kafka user cho phép các ứng dụng và dịch vụ xác thực với managed Kafka cluster bằng cơ chế SASL. Kafka user được quản lý ở cấp cluster trong DBaaS và thường được sử dụng bởi các producer, consumer và workload Kafka Connect. Tính năng Kafka User Management chỉ khả dụng cho Kafka engine. Nó cho phép quản trị viên xem, tạo và cập nhật Kafka user. Tính năng này thường được dùng để:

  • Kiểm soát quyền truy cập của ứng dụng vào các Kafka cluster.
  • Quản lý thông tin xác thực một cách an toàn trong nền tảng managed cloud.
  • Kiểm tra các hoạt động liên quan đến người dùng thông qua activity logs.

1. Tạo Kafka user mới

Để tạo một Kafka user mới, thực hiện các bước sau:

Bước 1: Truy cập Kafka User Management

Đăng nhập vào FPT Cloud Console. Chọn "Database Platform " > "Data Streaming " > nhấn vào Kafka cluster ID để mở trang chi tiết. Chọn tab "Configure Params " > chọn tab phụ "Kafka ACL ". Trang Kafka user management được hiển thị.

Mục "User List " hiển thị tất cả các Kafka user được cấu hình cho cluster đã chọn. Các trường được hiển thị:

  • Username : Tên Kafka principal.
  • Password : Mật khẩu xác thực. Được ẩn vì lý do bảo mật.
  • SASL mechanism : Cơ chế xác thực (ví dụ: PLAIN).

Bước 2: Tạo Kafka user mới

Trên trang Kafka user management, bên dưới "User List ", chọn Add user (biểu tượng dấu cộng). Hộp thoại Create new user được hiển thị.

Nhập chi tiết cấu hình:

  • Username : Username được sử dụng làm Kafka principal để xác thực. Độ dài tối đa là 50 ký tự. Không được chứa các ký tự hạn chế sau: / \ : * ? " < > | [ ]
  • Password : Tạo một mật khẩu đáp ứng các yêu cầu sau:
    • Chứa ít nhất một chữ cái viết thường.
    • Chứa ít nhất một chữ cái viết hoa.
    • Độ dài từ 12 đến 20 ký tự.
    • Chứa ít nhất một ký tự đặc biệt, ngoại trừ các ký tự sau: $ \ \ / [ ] ' " : ; + - ^ < > ( ) |`
    • Chứa ít nhất một chữ số.
    • Không được chứa khoảng trắng.
  • SASL mechanism : Chọn một cơ chế xác thực được hỗ trợ. Các tùy chọn khả dụng: " PLAIN ", " SCRAM-SHA256 ", " SCRAM-SHA512 ". Cảnh báo : Việc tạo hoặc cập nhật Kafka users sử dụng SASL/PLAIN sẽ kích hoạt việc khởi động lại Kafka cluster. Điều này có thể gây gián đoạn dịch vụ tạm thời cho producer và consumer.

Sau khi hoàn tất cấu hình, chọn "Create " để tạo Kafka user. Người dùng mới được tạo sẽ xuất hiện trong User list và có thể được sử dụng cho:

  • Cấu hình Kafka client.
  • Kafka Connect.
  • Chính sách ACL (nếu được hỗ trợ).

Best Practices :

  • Tạo Kafka user theo từng ứng dụng hoặc dịch vụ.
  • Xoay mật khẩu định kỳ.
  • Tránh tạo user trong giờ cao điểm.
  • Sử dụng user riêng biệt cho producer và consumer khi có thể.

Khi cần, bạn có thể thực hiện các hành động sau trên các Kafka user đã tạo:

  • Update password : Hành động này cho phép bạn thay đổi mật khẩu của một Kafka user. Trong User list, chọnUpdate Password cho user bạn muốn sửa đổi. Nhập mật khẩu mới và chọn Update để lưu thay đổi.
  • Delete user : Cho phép bạn xóa các Kafka user không còn được sử dụng, giúp duy trì hệ thống sạch sẽ. Trong User list, chọn Delete cho user cần xóa. Xác nhận hành động trong hộp thoại cảnh báo để hoàn tất việc xóa.
  • Grant ACL : Cho phép bạn gán quyền ACL cho Kafka user. Để biết hướng dẫn chi tiết, xem Mục 2. Grant ACL to Kafka users.

2. Cấp ACL cho Kafka user

Quản lý Kafka Access Control List (ACL) cho phép quản trị viên cấp quyền chi tiết cho các Kafka user để truy cập các topic và consumer group trong managed DBaaS Kafka cluster. ACL giúp thực thi:

  • Kiểm soát truy cập an toàn
  • Nguyên tắc đặc quyền tối thiểu
  • Cô lập giữa các ứng dụng và workload

ACL được áp dụng ở cấp cluster và có hiệu lực ngay sau khi được lưu. Lưu ý : Nếu một Kafka user không được gán quyền ACL, user đó sẽ không có quyền truy cập vào tài nguyên nào. Để gán quyền cho một Kafka user, thực hiện các bước sau: Trên trang Kafka user management, bên dưới User list, chọn hành động "Grant ACL " cho user. Hộp thoại Grant ACL được hiển thị.

Nhập chi tiết cấu hình:

  • Username : Hiển thị Kafka user đã chọn. Trường này chỉ đọc.
  • Resource Type : Chọn tài nguyên Kafka để cấp quyền trên:
    • Topic – Cấp quyền truy cập vào các Kafka topic.
    • Consumer group – Cấp quyền truy cập vào các consumer group.
  • Topic prefix / Group prefix : Chỉ định mẫu dựa trên tiền tố. Cấp quyền cho tất cả các tài nguyên khớp với tiền tố. Sử dụng "All " để cấp quyền cho tất cả các topic hoặc tất cả các consumer group.
  • Operations : Chọn một hoặc nhiều thao tác Kafka được phép tùy thuộc vào loại tài nguyên.

Sau khi hoàn tất cấu hình, chọn "Save " để áp dụng ACL cho Kafka user. ACL có hiệu lực ngay lập tức mà không yêu cầu khởi động lại Kafka cluster. Một Kafka user có thể được gán nhiều ACL.

Best Practices:

  • Cấp quyền sử dụng ACL dựa trên prefix khi có thể. ACL dựa trên prefix đơn giản hóa việc quản lý quyền ở quy mô lớn.
  • Tách biệt ACL cho producer và consumer.
  • Tránh cấp quyền wildcard trừ khi cần thiết.
  • Thường xuyên xem xét lại các phân công ACL.
Cập nhật lần cuối vào bởi Dang Tran