Apache Pulsar消息队列-Overview

作者: Apache Pulsar

Pulsar security overview

As the central message bus for a business, Apache Pulsar is frequently used for storing mission-critical data. Therefore, enabling security features in Pulsar is crucial.

默认情况下,Pulsar 不配置加密、身份验证和授权。 任何客户端都可以通过纯文本 URL 服务向 Apache Pulsar 进行通信。 因此,我们必须确保通过这些纯文本 URL 服务访问 Pulsar 的都是受信任的客户端。 在这种情况下,您可以使用网络分段和 ACL 授权来限制可信 IP 的访问。 如果两者都没启用,那集群就是一个完全开放的状态,任何人都可以访问集群。 Pulsar 支持可插拔的身份认证机制。 Pulsar clients 利用这一机制对 broker 和 proxy 进行认证。 您还可以配置 Pulsar 来支持多种身份认证方式。 Pulsar broker 会在连接建立的时候进行身份认证。 认证通过后会建立连接,在之后的时间内,尽管连接并没有重新验证,主令牌将会被保存起来以便后续的授权。 Broker 会定期检查所有ServerCnx对象是否过期。 你能够通过在 broker 上设置参数authenticationRefreshCheckSeconds 来控制检查过期状态的频率。 默认情况下,authenticationRefreshCheckSeconds的值是60s。 当认证过期后,broker会强制这个连接重新进行身份认证。 如果身份认证失败,broker 将会断开此连接。 Broker 支持自动判断某个客户端是否支持刷新身份认证。 如果客户端支持自动刷新身份认证,当身份认证过期后,提供身份认证的 provider 会调用refreshAuthentication方法来启动这个刷新过程。 如果客户端不支持自动刷新身份认证,当身份认证过期后,broker 将会断开本客户端的连接。

您最好在您的 Apache Pulsar 生产环境中开启对组件的安全防护。

角色标识

In Pulsar, a role is a string, like admin or app1, which can represent a single client or multiple clients. 您可以使用这些角色来控制客户端生产或消费某些特定 topic 的权限,管理租户的配置等。 Apache Pulsar uses a [Authentication Provider]

身份验证提供商

当前 Pulsar 支持以下身份验证提供者:

  • [TLS 认证]
  • [Athenz]
  • [Kerberos]
  • [JSON Web Token 认证]

文章列表

更多推荐

更多
  • Pulsar消息队列-一套高可用实时消息系统实现 实时消息【即时通信】系统,有群聊和单聊两种方式,其形态异于消息队列:1 大量的 group 信息变动,群聊形式的即时通信系统在正常服务形态下,瞬时可能有大量用户登入登出。2 ...
  • Pulsar消息队列-Pulsar对比Kafka笔记 很多人查看 Pulsar 之前可能对 Kafka 很熟悉,参照上图可见二者内部结构的区别,Pulsar 和 Kafka 都是以 Topic 描述一个基本的数据集合,Topic 数据又分为若干 Partition,即对数据进行逻辑上的 ...
  • Pulsar消息队列-对 2017 年一套 IM 系统的反思 信系统的开发,前前后后参与或者主导了六七个 IM 系统的研发。上一次开发的 IM 系统的时间点还是 2018 年,关于该系统的详细描述见 [一套高可用实时消息系统实现][1] ...
  • Apache APISIX文档-快速入门指南-如何构建 Apache APISIX 如何构建 Apache APISIX,步骤1:安装 Apache APISIX,步骤2:安装 etcd,步骤3:管理 Apache APISIX 服务,步骤4:运行测试案例,步骤5:修改 Admin API key,步骤6:为 Apac
  • Apache APISIX文档-快速入门指南-快速入门指南 快速入门指南,概述,前提条件,第一步:安装 Apache APISIX,第二步:创建路由,第三步:验证,进阶操作,工作原理,创建上游服务Upstream,绑定路由与上游服务,添加身份验证,为路由添加前缀,APISIX Dashboard
  • Apache APISIX文档-架构设计-APISIX APISIX,软件架构,插件加载流程,插件内部结构,配置 APISIX,插件加载流程,比如指定 APISIX 默认监听端口为 8000,并且设置 etcd 地址为 http://foo:2379, 其他配置保持默认。在 ...
  • Apache APISIX文档-架构设计-Service Service 是某类 API 的抽象(也可以理解为一组 Route 的抽象)。它通常与上游服务抽象是一一对应的,Route 与 Service 之间,通常是 N:1 的关系,参看下图。不同 Route 规则同时绑定到一个 Service ...
  • Apache APISIX文档-架构设计-Plugin Config 如果你想要复用一组通用的插件配置,你可以把它们提取成一个 Plugin config,并绑定到对应的路由上。举个例子,你可以这么做:创建 Plugin config,如果这个路由已经配置了 plugins,那么 Plugin config ...
  • Apache APISIX文档-架构设计-Debug Mode 注意:在 APISIX 2.10 之前,开启基本调试模式曾经是设置 conf/config.yaml 中的 apisix.enable_debug 为 true。设置 conf/debug.yaml 中的选项,开启高级调试模式。由于 ...
  • Apache APISIX文档-架构设计-Consumer 如上图所示,作为 API 网关,需要知道 API Consumer(消费方)具体是谁,这样就可以对不同 API Consumer 配置不同规则。授权认证:比如有 [key-auth] 等。获取 consumer_...
  • 近期文章

    更多
    文章目录

      推荐作者

      更多