Apache Pulsar 认证与鉴权实践指南
October 13, 2022
文章摘要
本文整理自 2022 年 8 月 Apache Pulsar Meetup 上傅腾题为《Apache Pulsar 企业级安全实践》的分享。数据安全已经成为企业的一项重要竞争优势。傅腾针对集群环境分享 Apache Pulsar 的认证和授权实现,讲述企业如何构建安全的 Apache Pulsar 集群并打造满足个性化要求的 Pulsar 认证或授权插件,以满足不同的企业安全需求。
多种安全组合
Apache Pulsar 提供了多种安全组合,包括认证(支持全链路组件认证)、授权(ACL)、传输加密(TLS 和 mTLS)以及端到端加密(仅生产者和消费者可加解密数据),企业可根据实际环境的安全需求来搭配使用。
全链路可信
上图为全链路可信场景。该场景通常见于开放集群或内部测试、功能验证等。该场景中 Broker、Bookie 均开放,生产者明文写入数据。
内网可信
上面两图皆为内网可信场景。其中,第一种设计会做传输层加密和 Broker 认证授权,内网依旧开放。第二种设计将传输层加密放在外部与 Proxy 之间,Proxy 也要做认证。
上图为内网可信场景中的第三种设计,即常见的负载均衡场景,外部到负载均衡器做传输层加密,后者将数据交给需要认证的 Proxy,再流向 Broker。
内网不可信
在内网不可信场景中,内部节点可能因为各种原因有安全隐患,这就需要在每一传输层都开启加密和认证,在 Broker 开启授权。该场景常见于企业跨部门协作、与子公司协作、与外部沟通等情况。
服务不可信(端到端加密)
服务不可信场景一般是指第三方(如云厂商)提供 Pulsar 服务,为此所有链路都要端到端加密,且只有生产者和消费者才能获取原始数据。
易扩展的安全框架
Apache Pulsar 有着简洁、非常容易扩展的安全框架。企业可方便地自定义安全插件,包括可插拔式的认证和授权、易集成的代码结构、同时支持多种认证的认证链、认证缓存和检测机制。
对于可插拔式的认证和授权:
-
Pulsar 服务端(如 Broker、Proxy)会对客户端做身份认证,并记录一个 role 作为后续授权的客户端身份标识。该 role 可视为用户实际登录的 token。
- 默认支持的认证插件:TLS、Athenz、Kerberos、JWT、OAuth2、Basic。
- 支持链式认证,同时支持多个认证源。服务端会将所有 Provider 缓存到本地并初始化,根据客户端传来的标识类型寻找对应的 Provider 做认证。链式认证在云环境中很常见。配置 authenticationProviders:
authenticationProviders=org.apache.pulsar.broker.authentication.AuthenticationProviderToken,org.apache.pulsar.broker.authentication.AuthenticationProviderBasic
-
Pulsar 支持两种鉴权插件
- AuthorizationProvider:
authorizationProvider=org.apache.pulsar.broker.authorization.PulsarAuthentizationProviderToken
- MultiRolesTokenAuthorizationProvider,仅适用于认证插件是 JWT 的认证方式:
authorizationProvider=org.apache.pulsar.broker.authorization.MultiRolesTokenAuthorizationProvider
认证的触发时机发生在客户端建立连接时:
- 客户端将一个 CommandConnect 发送给 Broker;
- AuthenticationService 从 CommandConnect 中可以获取认证方法类型(AuthMethodName);
- AuthenticationService 再根据缓存的认证插件,调用 authenticate 方法进行认证。
- 注意:缓存认证凭证和认证的过期检查(AuthChallenge,默认值 authenticationRefreshCheckSeconds=60s)
Pulsar 的权限体系中,支持的鉴权级别分别是:
- Broker,支持 superuser;
- Tenant,支持 tenant admin;
- Namespace,支持生产、消费和 Functions;
- Topics,支持生产和消费。
插件实现有几点需要注意:initialize() 可以获取 Broker 级别的配置信息和管理元数据;每次鉴权需要先检查传进来的用户是否是 superuser 和 tenant admin,再检查具体的权限。还要注意,只有 superuser 或者 tenant admin 才能为用户赋权。
案例介绍
案例一:使用 JWT 做认证
JSON Web Token(RFC-7519)是 Web 服务中常用的一种认证方案,简称 JWT 认证。JWT 基于一个 token 字符串来识别用户身份。该 token 有着严格的三层结构:
- Header 层:JSON 串,用于指定签名算法(Pulsar 中默认使用 HS256),使用 base64url 编码。
- Payload 层:JSON 串,用于指定用户名标识(Pulsar 中定义为 sub)和过期时间,使用 base64url 编码。
- Signature 层:使用特定算法,将 Header 和 Payload 加一个 secret 值编码而来。签名保证了 token 不被中途篡改。
需要注意前两层是透明的,可以反解出来。
基于 JWT 的特性,在 Pulsar 中使用需要注意几点:
- 使用 JWT 可以做认证和授权,但数据仍然处于暴露状态,所以在安全要求较高的环境建议开启 TLS 对数据传输加密(会牺牲一小部分性能),以进一步巩固安全性。
- JWT 最重要的特性是不需要借助第三方服务(例如 Kerberos 之于 KDC),凭借 JWT 内容本身就能验证 token 是否有效。这也带来一个问题,即 token 一旦签发,在有效期间将会一直有效,无法撤回。因此对于执行某些重要操作的 token,有效期要尽量设置短。
- Pulsar 支持两种 JWT 加密方式,即使用对称秘钥(secret key)和使用非对称密钥(private/public key),选择其中一个即可。
- 注意 token 的配置容易出错(例如需要操作 pulsar-admin 但仅给了 test-user 的 token),建议配置后可使用 validate 命令做验证。
- Pulsar Broker 会缓存客户端的认证信息,并会在一个固定时间(默认 60 秒)来检查每个连接的认证是否过期,这个刷新时间可以配置 broker.conf 中的 authenticationRefreshCheckSeconds 参数来自定义。
6.注意 token 参数的配置既可使用字符串形式,也可使用文件形式,可择优选择。
字符串形式
brokerClientAuthenticationParameters={"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0LXVzZXIifQ.9OHgE9ZUDeBTZs7nSMEFIuGNEX18FLR3qvy8mqxSxXw"}
从文件读取
brokerClientAuthenticationParameters={"file":"///path/to/proxy-token.txt"}
7.使用 bin/pulsar tokens show 命令可以查看 token 的 header 和 payload:
bin/pulsar tokens show -i eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0LXVzZXIiLCJleHAiOjE2NTY3NzYwOTh9.awbp6DreQwUyV8UCkYyOGXCFbfo4ZoV-dofXYTnFXO8
{"alg":"HS256"}
---
{"sub":"test-user","exp":1656776098}
8.使用 bin/pulsar tokens validate 命令可以用 secret key 或者 public key 验证 token:
bin/pulsar tokens validate -pk my-public.key -i "eyJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJhZG1pbiJ9.ijp-Qw4JDn1aOQbYy4g4YGBbXYIgLA9lCVrnP-heEtPCdDq11_c-9pQdQwc6RdphvlSfoj50qwL5OtmFPysDuF2caSYzSV1kWRWN-tFzrt-04_LRN-vlgb6D06aWubVFJQBC4DyS-INrYqbXETuxpO4PI9lB6lLXo6px-SD5YJzQmcYwi2hmQedEWszlGPDYi_hDG9SeDYmnMpXTtPU3BcjaDcg9fO6PlHdbnLwq2MfByeIj-VS6EVhKUdaG4kU2EJf5uq2591JJAL5HHiuTZRSFD6YbRXuYqQriw4RtnYWSvSeVMMbcL-JzcSJblNbMmIOdiez43MPYFPTB7TMr8g"
{sub=admin}
案例二:使用 Kerberos 做认证
Kerberos 是大数据领域常用的认证方案,以简单易用和稳定性著称。Pulsar 使用 Java 的 JAAS 机制来支持通过 Kerberos 做身份认证。JAAS 中一个用户信息对应一个 section 。对于 Kerberos 认证而言,一个用户信息中最重要的是 principle 和 keytab,现在可以方便地封装到一个 section 里,最后将这些用户信息拼装到 jaas.conf 文件中。
例如:
SectionName {
com.sun.security.auth.module.Krb5LoginModule required
usekeyTab=true
storekey=true
useTicketCache=false
keyTab="/etc/security/keytabs/pulsarbroker.keytab"
principal="broker/localhost@EXAMPLE.COM".
};
AnotherSectionName{
...
};
SectionName 是指定了用户名标识,内部封装了一个 Kerberos 用户信息。Pulsar 使用 Kerberos 认证时,从配置上而言,就是告知进程该以哪个 section 的身份来启动程序。以 broker 为例:
- 在 broker.conf 中指定服务使用的 section 。
- 而 section 信息是在 pulsar_env.sh 中通过指定 jaas.conf 文件来加载获得的。
使用 Kerberos 做认证时有几点需要注意:
- Broker service principal 的 {hostname} 和 advertisedAddress 保持一致。例如 Broker service 使用的 Principal 是 "broker/172.17.0.7@SNIO",则 advertisedAddress 也必须配置为相同的 IP:172.17.0.7。因为客户端从 TGT Server 获取到的 Broker 服务端 Principal 中的 hostname 部分是 advertisedAddress 定义的 IP,可从 KDC 日志(/var/log/krb5kdc.log)查看到问题。Broker 服务会涉及两个 Principal,一个是 Broker 服务注册的 Principal,另一个是 TGT Server 返回的 Principal。所以如果两个 Principal 内部的 IP 不一致,用户会永远无法访问到服务,毕竟用户一次只能携带一个服务端Principal 信息。
- 服务端 Principal 命名规则注意:
Broker 的 Principal 命名格式示例:
#正确示范 broker/host1@MY.REALM
#错误示例 broker@MY.REALM pulsarbroker/host1@MY.REALM
- 必须包含完整的三部分:service/hostname@REALM。
- service 命名部分,pulsar 里建议使用关键字如
broker、proxy(其他会报 warn)。 - 主机地址部分为了防止多块网卡的 IP 配置问题,均建议使用 hostname。但如果没有 DNS 解析环境,请参考第一条。可使用 IP,保证服务 IP 和 advertisedAddressIP 一致。
-
REALM 域名建议使用大写,注意不要复制错。
- 在配置 FQDN 解析时,Kerberos 所有主机都需要支持 FQDN 解析(少量机器可在 /etc/hosts 配置所有主机 DNS 信息)。
案例三:自定义一个鉴权插件
这里以一个鉴权插件为例介绍可插拔的认证和授权实践。案例背景是我们需要界面化的鉴权过程,为此选用大数据领域常用的鉴权组件 Ranger 进行界面化权限管理。具体的开发流程是:
- 根据 Pulsar 现有的权限体系,结合 Ranger 的权限结构,将 Pulsar 注册为 Ranger 的一个服务。
- 在鉴权插件实现 Pulsar 鉴权接口,并在鉴权方法(尤其是初始化方法)中创建 Ranger Client 连接 Ranger 服务做初始化操作。每一个鉴权点都要读取配置好的策略信息进行鉴权。
编写 Ranger 服务定义文件时分为几步:
- 定义资源(包括租户、命名空间和 topic)
- 定义权限类型(如生产和消费)
Pulsar 中的鉴权接口代码如下:
@Override
public CompletableFuture<Boolean> allowTopicOperationAsync(TopicName topicName,
String role,
TopicOperation operation,
AuthenticationDataSourceauthData) {
if (log.isDebugEnabled ()) {
log.debug ("'Check allowTopicOperationAsync ({}] on (t}].", operation.name (), topicName);
}
return validateTenantAdminAccess(topicName.getTenant(),role,authData)
.thenCompose(isSuperUserOrAdmin -> {
if (log. isDebugEnabled()) {
log.debug ("Verify if role (} is allowed to (} to topic {}: isSuperUserOrAdmin=(}",
role, operation, topicName, isSuperUserOrAdmin);
}
if (isSuperUserOrAdmin){
return CompletableFuture.completedFuture(true);
} else {
switch (operation) {
case LOOKUP:
case GET STATS:
case GET METADATA:
return canLookupAsync(topicName, role, authData);
case PRODUCE:
return canProduceAsync(topicName, role, authData);
case GET SUBSCRIPTIONS:
case CONSUME:
case SUBSCRIBE:
case UNSUBSCRIBE:
case SKIP:
case EXPIRE MESSAGES:
case PEEK MESSAGES:
case RESET_CURSOR:
case GET_BACKLOG_SIZE:
case SET_REPLICATED_SUBSCRIPTION_STATUS:
case GET_REPLICATED_SUBSCRIPTION_STATUS:
return canConsumeAsync(topicName, role, authData, authData.getSubscription());
case TERMINATE:
case COMPACT:
case OFFLOAD:
case UNLOAD:
case ADD_BUNDLE_RANGE:
case GET_BUNDLE_RANGE:
case DELETE_BUNDLE_RANGE:
return CompletableFuture.completedFuture(false);
default:
return FutureUtil.failedFuture(new IllegalStateException(
"TopicOperation [" + operation.name() + "] is not supported.')) :
}
}
});
}
Ranger 方法的代码如下:
@Override
public CompletableFuture<Boolean> canProduceAsync (TopicName topicName, String role,
AuthenticationDataSource authenticationData) {
CompletableFuture<Boolean> future = new CompletableFuture@();
RangerAccessResourceImpl resource = new RangerAccessResourceImpl();
resource.setValue(KEY_TENANT, topicName.getTenant());
resource.setValue(KEY_NAMESPACE, topicName.getNamespacePortion());
resource.setValue(KEY_TOPIC, topicName.getLocalName().split("-partition-") [0]);
//resource.setValue(KEY_TAG, "*");
RangerAccessRequestImplrequest = new RangerAccessRequestImpl();
request.setAccessType(AuthAction.produce.name());
request.setUser(role);
request-setResource(resource);
request.setAction (AuthAction.produce.name () ) ;
try {
RangerAccessResult result = rangerPlugin. isAccessAllowed (request);
loq-info("request--->{}", request);
log.info("result--->{}", result);
if (result.getIsAllowed()) {
future. complete (true);
} else {
String errMsg = String
.format ("User '%s' doesn't have produce access to %s, matched policy id = %d",
request.getUser(), topicName.toString(), result.getPolicyId());
log-error(errMsg);
future.completeExceptionally (new Exception(errMsg));
}
} catch (Exception e) {
//access allowed in abnormal situation
log.error("User (] encounter exception in (} produce authorization step."
request.getUser(), topicName. toString(), e);
future. complete (true);
}
return future;
}
最终完成效果如下:
Q & A
Q:JWT 认证读取本地 token 文件时是否实时?是否需要重启 Proxy 或 Broker?
A:Client 是被动读取 token 文件的。客户端 token 文件变更不影响服务端,即不需要重启。
Q:生产者是否支持在 HTTP 发送消息过程中在连接时认证?
A:Pulsar 使用 Pulsar 协议发送消息,在第一次连接的时候发起认证。对于管理侧如 pulsar-admin 使用 HTTP 协议,而 HTTP 协议每次连接都会发起认证。
Q:对外鉴权时,是否只需配置 Proxy 而不管 Broker?
A:鉴权是由 Broker 来做的,因此需要配置 Broker。
Q:请具体介绍使用 JWT 时 Broker 对客户端认证信息的缓存策略。
A:有线程专门负责周期性检测所缓存的客户端认证是否过期。如果发现过期,就发 auth challenge 命令给客户端,客户端接收到 auth challenge 命令后会读取 token 文件发送给 Broker;如果检测到更新后的 token 文件,认证就能继续通过,Broker 端重新缓存认证信息。如果客户端在下次检查周期内没有返回认证数据,就会关闭连接。
作者介绍
傅腾,StreamNative 技术支持工程师,有着 9 年电信运营商行业大数据相关经验,熟悉大数据的平台架构、建设、安全和维护,对实时数仓、云原生和 AI 具有平台类产品建设经验。
