kafka已经提供了不同的sasl身份验证机制,如gssapi(kerberos)、plain、scram-sha-256、scram-sha-512和oauthbearer。对于生产环境,上面列出的最佳身份验证机制是什么?
iqjalb3h1#
没有“最佳”身份验证机制。您需要选择一个满足您的需求并与现有基础架构集成的基础架构(如果您愿意的话!)。例如, PLAIN 要求您使用tls(否则凭证将以明文形式交换),但很容易集成到ldap中。另一方面,如果您已经有了kerberos部署,那么使用 GSSAPI 可能有道理。如果你的一些客户不能使用tls, SCRAM 可能是另一种选择,因为它可以确保不以明文形式交换凭据。也就是说,如果配置正确,它们都可以在生产中使用。您可以选择最适合您的部署的一个。
PLAIN
GSSAPI
SCRAM
1条答案
按热度按时间iqjalb3h1#
没有“最佳”身份验证机制。您需要选择一个满足您的需求并与现有基础架构集成的基础架构(如果您愿意的话!)。
例如,
PLAIN要求您使用tls(否则凭证将以明文形式交换),但很容易集成到ldap中。另一方面,如果您已经有了kerberos部署,那么使用
GSSAPI可能有道理。如果你的一些客户不能使用tls,
SCRAM可能是另一种选择,因为它可以确保不以明文形式交换凭据。也就是说,如果配置正确,它们都可以在生产中使用。您可以选择最适合您的部署的一个。