【发布时间】:2021-03-26 16:21:21
【问题描述】:
我需要能够在每个主题的基础上为大型 Kafka 实施实施安全性(更具体地说是授权)。理想情况下,我想使用 OAUTH2(client_credentials 流),但是从阅读文档(Confluent 和 Apache,以及第三方供应商)看来,主题的授权只能在全球范围内完成。换句话说,Kafka OAUTH2 安全性在其配置中使用单个范围,这是访问任何/所有主题所必需的。相反,我需要为每个单独的主题申请不同的授权范围。
是否有记录在案的方法(也许我在 Kafka 文档中遗漏了它)或者是否有第三方开箱即用?
另一种选择是,我可以在主题前配置微服务外观(即,在使用或发布消息之前在微服务中进行 OAUTH2 范围验证)。这是一个合理的方法吗?
【问题讨论】:
-
Apache Ranger 可用于控制对单个主题的 ACL。不确定 OAUTH.... OpenPolicyAgent 也有一个 Kafka 插件
标签: apache-kafka oauth-2.0 microservices