#apache-kafka #acl #kafka-cluster #apache-kafka-security
#apache-kafka #acl #kafka-cluster #apache-kafka-безопасность
Вопрос:
Какие кластерные операции в kafka и какие все операции могут быть разрешены / запрещены путем указания --cluster опции в kafka-acls.sh скрипте?
Из этого
Операции между брокерами разделены на два класса: cluster и topic. Операции с кластером относятся к операциям, необходимым для управления кластером, таким как обновление метаданных брокера и раздела, изменение лидера и набора синхронизированных реплик раздела и запуск контролируемого завершения работы
Но я не в состоянии понять реальные варианты использования здесь.
Ответ №1:
Это интересный вопрос.
Ниже приведены 2 варианта использования, о которых я мог подумать:
- Корректное завершение работы брокеров — В некоторых ситуациях вам может потребоваться намеренно отключить брокера для обслуживания или изменения конфигурации. Kafka предоставляет ControlledShutdown API для этой цели. Этот API имеет 2 основных способа оптимизации, т.е. все журналы в буферном кэше сбрасываются на диск, чтобы избежать любого восстановления и переноса любых разделов на другие брокеры, для которых закрытие брокера является лидером. Однако эту операцию не хотелось бы просто запускать, поэтому настройка ACL здесь помогла бы. Итак, по умолчанию вы могли бы отключить это, а затем добавить список управления доступом следующим образом:
Участнику P разрешена операция «CLUSTER_ACTION» с узла H на ресурсе «CLUSTER»
- Удаление списков управления доступом для разделов (другая кластерная операция) — Если вы решите удалить раздел в Kafka, то списки управления доступом, относящиеся к этому разделу, автоматически не удаляются. Их необходимо явно удалить. Аналогично первому, вы не хотели бы разрешать любому пользователю запускать это для рабочей темы. Итак, вы могли бы добавить список управления доступом, аналогичный первому, чтобы разрешить выполнять эту операцию только определенным участникам.
Я добавлю больше, когда узнаю о них.
Надеюсь, это поможет!