ACL 策略指为用户自定义的一组权限规则,允许/拒绝用户通过 IP 或网段 生产/消费 Topic 资源。当前提供有2种匹配方式:
1)预设策略:新建策略时不关联到Topic,新建或编辑Topic时可关联到该ACL策略。
2)前缀模糊匹配策略:前缀模糊匹配策略提供了一种高效的批量授权方式,特别适用于对具有相同前缀的多个Topic进行统一授权管理。当生产环境中存在遵循统一命名规范的Topic时(例如:项目相关Topic都以"project"开头,包括project-1、project_b等),可以通过前缀模糊匹配策略快速完成授权配置。一次配置即可覆盖所有匹配前缀的Topic,包括后续新增的Topic。
创建ACL策略
(1)登录管理控制台,进入Kafka管理控制台。
(2)在实例列表页操作列,目标实例行单击“管理”->“用户管理”->“创建用户”。
(3)创建用户,输入用户密码后点击确认,完成用户的创建。如果已经创建了则可以跳过此步骤。
(4)单击”ACL策略管理”->“创建策略”进入配置 ACL 策略页面。
(5)选择其中一种匹配方式(预设策略或前缀模糊匹配)。
(6)如选择前缀模糊匹配策略,则输入Topic前缀字符串,将匹配所有以输入内容为前缀的Topic。
"匹配Topic"里展示的是当前已经匹配到的Topic,后面新建的Topic也能自动匹配上。
(7)输入规则名称,单击“添加规则”绑定策略对应的规则。
规则参数说明:
| 参数 | 说明 |
|---|---|
| 权限 | ACL 策略的操作权限分为两类:允许和拒绝。
|
| 用户 | 选择需要设置权限的用户。 |
| IP或网段 | 填写需要设置权限的 IP 或网段,用 ; 隔开,若 IP 为空,则默认为全部 IP 添加权限。 |
| 操作 | 选择策略生效的动作,即向 Topic 生产或消费消息。 |
| 自动应用后续所有新增topic | 开启后,后续页面上创建的Topic会自动关联此规则,多个策略只允许一条策略开启。 |
(8)单击“确定”,完成 ACL 策略创建。
查看ACL策略详情
(1)在 ACL 策略列表页面,列表会展示当前实例下已创建的所有ACL策略。
(2)单击目标规则操作栏的详情,可以查看ACL策略详情。
编辑ACL策略
在ACL策略管理里面,点击编辑可以修改当前策略的ACL规则,可以对ACL规则增加、修改及删除操作。
删除ACL策略
(1)在 ACL 策略列表页面,列表会展示当前实例下已创建的所有ACL策略。
(2)单击目标规则操作栏的删除,可以删除对应ACL策略。
注意
删除后,对于已应用预设策略的Topic,相应规则不会删除;对于符合前缀模糊匹配策略的Topic,相应规则也会一并删除。
关联ACL策略
(1)登录管理控制台,进入Kafka管理控制台。
(2)在实例列表页操作列,目标实例行点击“管理”->“Topic管理”。
(3)创建Topic或者编辑Topic时,关联ACL策略。
