SlideShare a Scribd company logo

Kafka・Storm・ZooKeeperの認証と認可について #kafkajp

Yahoo!デベロッパーネットワーク
Yahoo!デベロッパーネットワーク

Apache Kafka Meetup Japan #3 https://kafka-apache-jp.connpass.com/event/58619/ 発表資料

Technology
1 of 37
Download to read offline
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. 2017/7/6 ヤフー株式会社 梁 浩軒 Kafka・Storm・ZooKeeper における認証と認可について 1
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. 発表概要 ・セキュリティが重要視されている中で、自分たちが持つクラ スタに対して認証・認可がかけられておらず、情報漏えいな どのリスクがあった ・Ambari+HDPで構築したKafka+Storm+ZooKeeperクラスタに 対して認証・認可を行ったので紹介する 2
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. アジェンダ • Kafka/Storm/ZooKeeperの概要 • Kafka/Storm/ZooKeeperの認証と認可(ACL)について • Kerberos認証 • クラスタ全体の認証対応 • パスワード認証 • IPによるACL • まとめ 3
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Kafka 概要 分散メッセージングシステム 4 Kafka Producers Consumers Producer1 Producer2 Producer3 ・・・ Consumer1 Consumer2 Consumer3 ・・・ Broker1 Topic1 Broker2 Topic2 ・・・
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Stormの概要 分散処理基盤 5 Nimbus Supervisor 1 Worker1(topology) Supervisor 2 Worker2(topology) topology データ 出力
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. ZooKeeper 分散アプリケーション向けの高パフォーマンスな協調サービ ス ・KafkaのBrokerなどを管理 ・StormのSupervisorなどを管理 6
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. 利用バージョン Ambari 2.5 + HDP 2.6 ・Kafkaは0.10.2を利用 ・Stormは1.1.0を利用 ・ZooKeeperは3.4.6を利用 7
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. AmbariとHDPについて HDP ・HDPはHORTONWORKSがリリースするHadoopディストリ ビューションの一つ Ambari ・Hadoopクラスタをプロビジョニング、管理、監視するコンポー ネントだが、HDPのdeployに利用されている 8
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. アジェンダ • Kafka/Storm/ZooKeeperの概要 • Kafka/Storm/ZooKeeperの認証と認可(ACL)について • Kerberos認証 • クラスタ全体の認証対応 • パスワード認証 • IPによるACL • まとめ 9
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Kafka/Storm/ZooKeeperの認証と認可(ACL)について 10 認証:あなたはだれか 認可:あなたは何をして良いか 認証 Kafka Storm ZooKeeper Kerberos ◯ ◯ ◯ パスワード ◯ ✖️ ◯ SCRAM ◯ ✖️ ✖️ 独自プラグイン ◯ ? ? 認可 Kafka Storm ZooKeeper IP ◯ ✖️ ◯
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. 認証・認可の注意点 • 認証・認可の情報(ユーザ、アクセス可能なTopic情報な ど)はZooKeeperに書き込まれる • ZookeeperのACLを有効化しないと、情報の書き換え られる恐れがある 11
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. アジェンダ • Kafka/Storm/ZooKeeperの概要 • Kafka/Storm/ZooKeeperの認証と認可(ACL)について • Kerberos認証 • クラスタ全体の認証対応 • パスワード認証 • IPによるACL • まとめ 12
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Kerberos認証・認可 認証 ・keytabを元に、KDCサーバがチケットを発行する ・パスワードとIDを認証で渡す必要がない(チケット) ・一度認証されると、複数のサーバにアクセスすることが可能 13 認可 ・KafkaについてはTOPICのCONSUMEとPRODUCE権限などの設定が可能 ・Stormについては、topologyの操作や、ログの参照権限などが設定可能 ・ZooKeeperについては、ファイルの変更権限などのせっていが可能
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Kerberos認証(チケット発行) keytabファイルを利用して、KDCサーバにチケットを発行して もらう 14 KDC 1 keytab チケット要求 User 1: keytab チケット1(KDC 1) チケット1(KDC 1)
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Kerberos認証(Service) keytabファイルを各サーバに配置して、サービス起動認証を 行う 15 KDC 1 keytab 1 チケット要求 keytab2 チケット要求 keytab3 チケット要求 KafkaBroker 1 チケット1(KDC 1) Broker 2 Broker 3 チケット2(KDC 1) チケット3(KDC 1) チケット1(KDC 1) チケット2(KDC 1) チケット3(KDC 1) 起動OK 起動OK 起動OK Storm ZooKeeper
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. KafkaにおけるKerberos認証(Client) Produce、Consume、TOPIC操作に対する認証 16 User1 Kafkabroker 1 broker 2 broker 3 チケット4 (KDC 1) TOPIC1 Produce OK TOPIC1 Delete OK TOPIC 1 TOPIC 2 TOPIC 3User2 チケット5 (KDC 1) TOPIC3 Consume OK
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. StormのKerberos認証(Client) Topologyのlogやkillなどに対する認証 17 Storm Topology 1 keytab:User1 log User1 チケット1: check log ok kill ok User2 チケット2: check log ng kill ng
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. ZooKeeperのKerberos認証(Client) 各種ACL情報が格納されたフォルダに対する認証 18 ZooKeeper /kafka-acl -Group,Cluster,Topic /storm/credentials -topology names User1 チケット1: read ok User2 チケット2: read ng
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. 所感 • 学習コストが高い • サービス起動に必要なkeytabは、ホスト名をつけるのが慣 例== 全てのホストに別々のkeytabファイルを配布する必 要がある!! 19
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. アジェンダ • Kafka/Storm/ZooKeeperの概要 • Kafka/Storm/ZooKeeperの認証と認可(ACL)について • Kerberos認証 • クラスタ全体の認証対応 • パスワード認証 • IPによるACL • まとめ 20
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. クラスタ全体を認証対応させる Ambari+HDPを利用すると楽 ・コンポーネント(Kafka、Zookeeper、Storm)全体のKerberos 化をしてくれる ・設定ファイルを規定の場所に配布してくれるので、学習コス トが低い 21
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. 所感 • HDPのコンポーネントはパッチが当たっているので、I/Fが 違ってはまることがある • Kafkaのsecurity protocolの定数がHDPの独自定数なので 注意 • 一般(security.inter.broker.protocol=PLAINTEXTSASL) • HDP(security.inter.broker.protocol=SASLPLAINTEXT) • HDP2.5のStormでは、Kerberos認証すると、Topology Deployの方法が変わる • worker_launcherを利用したdeployになるが、resource_directoryを作成し ないと起動しない 22
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. アジェンダ • Kafka/Storm/ZooKeeperの概要 • Kafka/Storm/ZooKeeperの認証と認可(ACL)について • Kerberos認証 • クラスタ全体の認証対応 • パスワード認証 • IPによるACL • まとめ 23
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. パスワード認証とは 認証 ・ユーザIDとパスワードごとの認証が可能 認可 ・TOPICのCONSUMEとPRODUCE権限などの設定が可能 24
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Kafkaにおけるパスワード認証 ProduceとConsume時にユーザ名とパスワードを要求 25 Kafka Producer ユーザ1:パスワード TOPIC1 Produce OK Consumer ユーザ2:パスワード TOPIC1 Consume OK Broker 1 Jaas file ユーザ1:パスワード ユーザ2:パスワード Broker 2 Jaas file ユーザ1:パスワード ユーザ2:パスワード TOPIC 1 TOPIC 2
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. 所感 ・認証を行うときパスワードは平文で記述しなければならない ので、通信を暗号化しておかないと、tcpdumpで内容が見ら れてしまう ・adminと言われるユーザはACLを設定しなくとも、他人の データを読むことができる 26
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. アジェンダ • Kafka/Storm/ZooKeeperの概要 • Kafka/Storm/ZooKeeperの認証と認可(ACL)について • Kerberos認証 • クラスタ全体の認証対応 • パスワード認証 • IPによるACL • まとめ 27
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. IPによるACLとは ・認証 ホストIPごとの認証が可能 ・認可 TOPICのCONSUMEとPRODUCE権限などの設定が可能 28
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. KafkaにおけるIPによるACLについて TOPIC毎にデータをproduce、consumeできるサーバをIPで制 限 29 Kafka TOPIC 1 IP:172.xxx.xxx.xxx IP:162.xxx.xxx.xxx Producer IP:172.xxx.xxx.xxx TOPIC1 Produce OK Consumer IP:162.xxx.xxx.xxx TOPIC1 Consume OK
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. アジェンダ • Kafka/Storm/ZooKeeperの概要 • Kafka/Storm/ZooKeeperの認証と認可(ACL)について • Kerberos認証 • クラスタ全体の認証対応 • パスワード認証 • IPによるACL • まとめ 30
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. まとめ ・Kafka+Storm+Zookeeper全体の認証を行いたく、Ambari でKerberos化がサポートされていたので、Kerberosを選択し た ・AmbariでKerberos化を行うと学習コストは低い 31
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. おまけ セミナー案内 Kerberos化に必要な設定(Kafka,Storm) SSL/TLS化に必要な設定(Kafka) パスワード認証に必要な設定(Kafka) 32
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. セミナー案内 7/26日(水曜日) Stream Processing Casual Talks #2 at Yahoo! JAPAN 開催 募集ページ近日公開予定 33
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Kerberos認証の設定(Ambari Kafka) 34 設定値 変更前 変更後 security.inter.broker.protocol なし(新規追加) PLAINTEXTSASL authorizer.class.name なし(新規追加) kafka.security.auth.SimpleAclAuthori zer principal.to.local.class なし(新規追加) kafka.security.auth.KerberosPrincipa lToLocal super.users なし(新規追加) User:kafka zookeeper.set.acl なし(新規追加) true kafka_keytab なし(新規追加) 任意 kafka_principal_name なし(新規追加) 任意 上記に加え、krb5.confの配布が必要(jceファイルも?)
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Kerberos認証の設定(Ambari Storm) 35 設定値 変更前 変更後 Nimbus,ui,supervisorのkeytabとprincipaleの名前 なし(新規追加) 任意 nimbus.authorizer なし(新規追加) org.apache.storm.security.auth.authorizer.SimpleACLAu thorizer nimbus.impersonation.acl なし(新規追加) { {{storm_bare_jaas_principal}} : {hosts: ['*'], groups: ['*']}} nimbus.impersonation.authorizer なし(新規追加) org.apache.storm.security.auth.authorizer.Impersonatio nAuthorizer drpc.authorizer なし(新規追加) org.apache.storm.security.auth.authorizer.DRPCSimple ACLAuthorizer ava.security.auth.login.config なし(新規追加) 任意の場所 nimbus.admins、nimbus.supervisor.users なし(新規追加) 任意 storm.principal.tolocal なし(新規追加) org.apache.storm.security.auth.KerberosPrincipalToLoc al storm.zookeeper.superACL なし(新規追加) 任意 supervisor.run.worker.as.user なし(新規追加) 任意
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. パスワード認証の設定(Ambari Kafka) 36 設定値 変更前 変更後 listeners PLAINTEXT://localhost:6667 SASL_PLAINTEXT://localhost:6667 security.inter.broker.protocol なし(新規追加) SASL_PLAINTEXT sasl.mechanism.inter.broker.protocol なし(新規追加) PLAIN sasl.enabled.mechanisms なし(新規追加) PLAIN authorizer.class.name undef kafka.security.auth.SimpleAclAuthori zer kafka-env template export KAFKA_KERBEROS_PARAMS=kafka_ kerberos_params export KAFKA_KERBEROS_PARAMS=- Djava.security.auth.login.config=/usr /hdp/current/kafka- broker/config/kafka_jaas.conf
Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. SSL/TLSの設定(Ambari Kafka) 37 設定値 変更前 変更後 listeners PLAINTEXT://localhost:6667 SASL_SSL://localhost:6667 security.inter.broker.protocol なし(新規追加) SASL_SSL ssl.key.password なし(新規追加) 任意 ssl.keystore.location なし(新規追加) 任意 ssl.keystore.password なし(新規追加) 任意 ssl.secure.random.implementation なし(新規追加) 任意 ssl.truststore.location なし(新規追加) 任意 ssl.truststore.password なし(新規追加) 任意

Recommended

Apache Avro vs Protocol Buffers
Apache Avro vs Protocol BuffersApache Avro vs Protocol Buffers
Apache Avro vs Protocol BuffersSeiya Mizuno
 
Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~
Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~
Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~NTT DATA OSS Professional Services
 
噛み砕いてKafka Streams #kafkajp
噛み砕いてKafka Streams #kafkajp噛み砕いてKafka Streams #kafkajp
噛み砕いてKafka Streams #kafkajpYahoo!デベロッパーネットワーク
 
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajpAt least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajpYahoo!デベロッパーネットワーク
 
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)Noritaka Sekiyama
 
NetflixにおけるPresto/Spark活用事例
NetflixにおけるPresto/Spark活用事例NetflixにおけるPresto/Spark活用事例
NetflixにおけるPresto/Spark活用事例Amazon Web Services Japan
 
ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方Yoshiyasu SAEKI
 
SolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみようSolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみようShinsuke Sugaya
 

Recommended

Apache Avro vs Protocol Buffers
Apache Avro vs Protocol BuffersApache Avro vs Protocol Buffers
Apache Avro vs Protocol BuffersSeiya Mizuno
 
Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~
Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~
Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~NTT DATA OSS Professional Services
 
噛み砕いてKafka Streams #kafkajp
噛み砕いてKafka Streams #kafkajp噛み砕いてKafka Streams #kafkajp
噛み砕いてKafka Streams #kafkajpYahoo!デベロッパーネットワーク
 
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajpAt least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajpYahoo!デベロッパーネットワーク
 
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)Noritaka Sekiyama
 
NetflixにおけるPresto/Spark活用事例
NetflixにおけるPresto/Spark活用事例NetflixにおけるPresto/Spark活用事例
NetflixにおけるPresto/Spark活用事例Amazon Web Services Japan
 
ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方Yoshiyasu SAEKI
 
SolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみようSolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみようShinsuke Sugaya
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことAmazon Web Services Japan
 
Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編Yuki Morishita
 
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティスAWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティスAkihiro Kuwano
 
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)NTT DATA Technology & Innovation
 
RDB技術者のためのNoSQLガイド NoSQLの必要性と位置づけ
RDB技術者のためのNoSQLガイド NoSQLの必要性と位置づけRDB技術者のためのNoSQLガイド NoSQLの必要性と位置づけ
RDB技術者のためのNoSQLガイド NoSQLの必要性と位置づけRecruit Technologies
 
BuildKitの概要と最近の機能
BuildKitの概要と最近の機能BuildKitの概要と最近の機能
BuildKitの概要と最近の機能Kohei Tokunaga
 
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjugYahoo!デベロッパーネットワーク
 
Vacuum徹底解説
Vacuum徹底解説Vacuum徹底解説
Vacuum徹底解説Masahiko Sawada
 
MySQL・PostgreSQLだけで作る高速あいまい全文検索システム
MySQL・PostgreSQLだけで作る高速あいまい全文検索システムMySQL・PostgreSQLだけで作る高速あいまい全文検索システム
MySQL・PostgreSQLだけで作る高速あいまい全文検索システムKouhei Sutou
 
Apache Kafka 0.11 の Exactly Once Semantics
Apache Kafka 0.11 の Exactly Once SemanticsApache Kafka 0.11 の Exactly Once Semantics
Apache Kafka 0.11 の Exactly Once SemanticsYoshiyasu SAEKI
 
がっつりMongoDB事例紹介
がっつりMongoDB事例紹介がっつりMongoDB事例紹介
がっつりMongoDB事例紹介Tetsutaro Watanabe
 
ストリーム処理におけるApache Avroの活用について(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)
ストリーム処理におけるApache Avroの活用について(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)ストリーム処理におけるApache Avroの活用について(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)
ストリーム処理におけるApache Avroの活用について(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)NTT DATA Technology & Innovation
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティスAmazon Web Services Japan
 
アーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーションアーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーションMasahiko Sawada
 
マルチテナントのアプリケーション実装〜実践編〜
マルチテナントのアプリケーション実装〜実践編〜マルチテナントのアプリケーション実装〜実践編〜
マルチテナントのアプリケーション実装〜実践編〜Yoshiki Nakagawa
 
ビッグデータ処理データベースの全体像と使い分け
ビッグデータ処理データベースの全体像と使い分けビッグデータ処理データベースの全体像と使い分け
ビッグデータ処理データベースの全体像と使い分けRecruit Technologies
 
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性Ohyama Masanori
 
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)NTT DATA Technology & Innovation
 
20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS GlueAmazon Web Services Japan
 
DockerとPodmanの比較
DockerとPodmanの比較DockerとPodmanの比較
DockerとPodmanの比較Akihiro Suda
 
認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤Masahiro Kiura
 
Docker事始めと最新動向 2015年6月
Docker事始めと最新動向 2015年6月Docker事始めと最新動向 2015年6月
Docker事始めと最新動向 2015年6月Emma Haruka Iwao
 

More Related Content

What's hot

マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことAmazon Web Services Japan
 
Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編Yuki Morishita
 
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティスAWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティスAkihiro Kuwano
 
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)NTT DATA Technology & Innovation
 
RDB技術者のためのNoSQLガイド NoSQLの必要性と位置づけ
RDB技術者のためのNoSQLガイド NoSQLの必要性と位置づけRDB技術者のためのNoSQLガイド NoSQLの必要性と位置づけ
RDB技術者のためのNoSQLガイド NoSQLの必要性と位置づけRecruit Technologies
 
BuildKitの概要と最近の機能
BuildKitの概要と最近の機能BuildKitの概要と最近の機能
BuildKitの概要と最近の機能Kohei Tokunaga
 
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjugYahoo!デベロッパーネットワーク
 
MySQL・PostgreSQLだけで作る高速あいまい全文検索システム
MySQL・PostgreSQLだけで作る高速あいまい全文検索システムMySQL・PostgreSQLだけで作る高速あいまい全文検索システム
MySQL・PostgreSQLだけで作る高速あいまい全文検索システムKouhei Sutou
 
Apache Kafka 0.11 の Exactly Once Semantics
Apache Kafka 0.11 の Exactly Once SemanticsApache Kafka 0.11 の Exactly Once Semantics
Apache Kafka 0.11 の Exactly Once SemanticsYoshiyasu SAEKI
 
がっつりMongoDB事例紹介
がっつりMongoDB事例紹介がっつりMongoDB事例紹介
がっつりMongoDB事例紹介Tetsutaro Watanabe
 
ストリーム処理におけるApache Avroの活用について(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)
ストリーム処理におけるApache Avroの活用について(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)ストリーム処理におけるApache Avroの活用について(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)
ストリーム処理におけるApache Avroの活用について(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)NTT DATA Technology & Innovation
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティスAmazon Web Services Japan
 
アーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーションアーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーションMasahiko Sawada
 
マルチテナントのアプリケーション実装〜実践編〜
マルチテナントのアプリケーション実装〜実践編〜マルチテナントのアプリケーション実装〜実践編〜
マルチテナントのアプリケーション実装〜実践編〜Yoshiki Nakagawa
 
ビッグデータ処理データベースの全体像と使い分け
ビッグデータ処理データベースの全体像と使い分けビッグデータ処理データベースの全体像と使い分け
ビッグデータ処理データベースの全体像と使い分けRecruit Technologies
 
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性Ohyama Masanori
 
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)NTT DATA Technology & Innovation
 
20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS GlueAmazon Web Services Japan
 
DockerとPodmanの比較
DockerとPodmanの比較DockerとPodmanの比較
DockerとPodmanの比較Akihiro Suda
 

What's hot (20)

マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
 
Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編Cassandraのしくみ データの読み書き編
Cassandraのしくみ データの読み書き編
 
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティスAWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
 
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
 
RDB技術者のためのNoSQLガイド NoSQLの必要性と位置づけ
RDB技術者のためのNoSQLガイド NoSQLの必要性と位置づけRDB技術者のためのNoSQLガイド NoSQLの必要性と位置づけ
RDB技術者のためのNoSQLガイド NoSQLの必要性と位置づけ
 
BuildKitの概要と最近の機能
BuildKitの概要と最近の機能BuildKitの概要と最近の機能
BuildKitの概要と最近の機能
 
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
 
Vacuum徹底解説
Vacuum徹底解説Vacuum徹底解説
Vacuum徹底解説
 
MySQL・PostgreSQLだけで作る高速あいまい全文検索システム
MySQL・PostgreSQLだけで作る高速あいまい全文検索システムMySQL・PostgreSQLだけで作る高速あいまい全文検索システム
MySQL・PostgreSQLだけで作る高速あいまい全文検索システム
 
Apache Kafka 0.11 の Exactly Once Semantics
Apache Kafka 0.11 の Exactly Once SemanticsApache Kafka 0.11 の Exactly Once Semantics
Apache Kafka 0.11 の Exactly Once Semantics
 
がっつりMongoDB事例紹介
がっつりMongoDB事例紹介がっつりMongoDB事例紹介
がっつりMongoDB事例紹介
 
ストリーム処理におけるApache Avroの活用について(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)
ストリーム処理におけるApache Avroの活用について(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)ストリーム処理におけるApache Avroの活用について(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)
ストリーム処理におけるApache Avroの活用について(NTTデータ テクノロジーカンファレンス 2019 講演資料、2019/09/05)
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
 
アーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーションアーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーション
 
マルチテナントのアプリケーション実装〜実践編〜
マルチテナントのアプリケーション実装〜実践編〜マルチテナントのアプリケーション実装〜実践編〜
マルチテナントのアプリケーション実装〜実践編〜
 
ビッグデータ処理データベースの全体像と使い分け
ビッグデータ処理データベースの全体像と使い分けビッグデータ処理データベースの全体像と使い分け
ビッグデータ処理データベースの全体像と使い分け
 
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
 
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
 
20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue
 
DockerとPodmanの比較
DockerとPodmanの比較DockerとPodmanの比較
DockerとPodmanの比較
 

Similar to Kafka・Storm・ZooKeeperの認証と認可について #kafkajp

認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤Masahiro Kiura
 
Docker事始めと最新動向 2015年6月
Docker事始めと最新動向 2015年6月Docker事始めと最新動向 2015年6月
Docker事始めと最新動向 2015年6月Emma Haruka Iwao
 
Kafka vs Pulsar @KafkaMeetup_20180316
Kafka vs Pulsar @KafkaMeetup_20180316Kafka vs Pulsar @KafkaMeetup_20180316
Kafka vs Pulsar @KafkaMeetup_20180316Nozomi Kurihara
 
20151014 spark勉強会補足資料
20151014 spark勉強会補足資料20151014 spark勉強会補足資料
20151014 spark勉強会補足資料DMM.com
 
KubeCon Recap for Istio and K8s network performance @Kubernetes Meetup #11
KubeCon Recap for Istio and K8s network performance @Kubernetes Meetup #11KubeCon Recap for Istio and K8s network performance @Kubernetes Meetup #11
KubeCon Recap for Istio and K8s network performance @Kubernetes Meetup #11Masaya Aoyama
 
さくらのDockerコンテナホスティング-Arukasの解説とインフラを支える技術(July Tech Festa 2016 『IoTxAIxインフラ時代...
さくらのDockerコンテナホスティング-Arukasの解説とインフラを支える技術(July Tech Festa 2016 『IoTxAIxインフラ時代...さくらのDockerコンテナホスティング-Arukasの解説とインフラを支える技術(July Tech Festa 2016 『IoTxAIxインフラ時代...
さくらのDockerコンテナホスティング-Arukasの解説とインフラを支える技術(July Tech Festa 2016 『IoTxAIxインフラ時代...さくらインターネット株式会社
 
[db tech showcase Tokyo 2015] D13:PCIeフラッシュで、高可用性高性能データベースシステム?! by 株式会社HGSTジ...
[db tech showcase Tokyo 2015] D13:PCIeフラッシュで、高可用性高性能データベースシステム?! by 株式会社HGSTジ...[db tech showcase Tokyo 2015] D13:PCIeフラッシュで、高可用性高性能データベースシステム?! by 株式会社HGSTジ...
[db tech showcase Tokyo 2015] D13:PCIeフラッシュで、高可用性高性能データベースシステム?! by 株式会社HGSTジ...Insight Technology, Inc.
 
GKEで半年運用してみた
GKEで半年運用してみたGKEで半年運用してみた
GKEで半年運用してみたKatsutoshi Nagaoka
 
DockerをRed Hatはどのように見ているのか
DockerをRed Hatはどのように見ているのかDockerをRed Hatはどのように見ているのか
DockerをRed Hatはどのように見ているのかEmma Haruka Iwao
 
Azure Arc Jumpstart Update - HCIBox Edition
Azure Arc Jumpstart Update - HCIBox EditionAzure Arc Jumpstart Update - HCIBox Edition
Azure Arc Jumpstart Update - HCIBox EditionKazuki Takai
 
Docker on RHEL & Project Atomic 入門 - #Dockerjp 4
Docker on RHEL & Project Atomic 入門 - #Dockerjp 4Docker on RHEL & Project Atomic 入門 - #Dockerjp 4
Docker on RHEL & Project Atomic 入門 - #Dockerjp 4Emma Haruka Iwao
 
LagopusとAzureとIPsecとDPDK
LagopusとAzureとIPsecとDPDKLagopusとAzureとIPsecとDPDK
LagopusとAzureとIPsecとDPDKTomoya Hibi
 
[SAPPORO CEDEC] サービスの効果を高めるグリー内製ツールの技術と紹介
[SAPPORO CEDEC] サービスの効果を高めるグリー内製ツールの技術と紹介[SAPPORO CEDEC] サービスの効果を高めるグリー内製ツールの技術と紹介
[SAPPORO CEDEC] サービスの効果を高めるグリー内製ツールの技術と紹介gree_tech
 
JAWS-UG HPC #17 - HPC on AWS @ 2019
JAWS-UG HPC #17 - HPC on AWS @ 2019JAWS-UG HPC #17 - HPC on AWS @ 2019
JAWS-UG HPC #17 - HPC on AWS @ 2019Daisuke Miyamoto
 
20141121 zabbix conference_japan_2014_nifty_kusakabe
20141121 zabbix conference_japan_2014_nifty_kusakabe20141121 zabbix conference_japan_2014_nifty_kusakabe
20141121 zabbix conference_japan_2014_nifty_kusakabe雄也 日下部
 
Cephのベンチマークをしました
CephのベンチマークをしましたCephのベンチマークをしました
CephのベンチマークをしましたOSSラボ株式会社
 
スキーマつきストリーム データ処理基盤、 Confluent Platformとは?
スキーマつきストリーム データ処理基盤、 Confluent Platformとは?スキーマつきストリーム データ処理基盤、 Confluent Platformとは?
スキーマつきストリーム データ処理基盤、 Confluent Platformとは?Sotaro Kimura
 

Similar to Kafka・Storm・ZooKeeperの認証と認可について #kafkajp (20)

認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤
 
Docker事始めと最新動向 2015年6月
Docker事始めと最新動向 2015年6月Docker事始めと最新動向 2015年6月
Docker事始めと最新動向 2015年6月
 
141030ceph
141030ceph141030ceph
141030ceph
 
Kafka vs Pulsar @KafkaMeetup_20180316
Kafka vs Pulsar @KafkaMeetup_20180316Kafka vs Pulsar @KafkaMeetup_20180316
Kafka vs Pulsar @KafkaMeetup_20180316
 
20151014 spark勉強会補足資料
20151014 spark勉強会補足資料20151014 spark勉強会補足資料
20151014 spark勉強会補足資料
 
KubeCon Recap for Istio and K8s network performance @Kubernetes Meetup #11
KubeCon Recap for Istio and K8s network performance @Kubernetes Meetup #11KubeCon Recap for Istio and K8s network performance @Kubernetes Meetup #11
KubeCon Recap for Istio and K8s network performance @Kubernetes Meetup #11
 
さくらのDockerコンテナホスティング-Arukasの解説とインフラを支える技術(July Tech Festa 2016 『IoTxAIxインフラ時代...
さくらのDockerコンテナホスティング-Arukasの解説とインフラを支える技術(July Tech Festa 2016 『IoTxAIxインフラ時代...さくらのDockerコンテナホスティング-Arukasの解説とインフラを支える技術(July Tech Festa 2016 『IoTxAIxインフラ時代...
さくらのDockerコンテナホスティング-Arukasの解説とインフラを支える技術(July Tech Festa 2016 『IoTxAIxインフラ時代...
 
[db tech showcase Tokyo 2015] D13:PCIeフラッシュで、高可用性高性能データベースシステム?! by 株式会社HGSTジ...
[db tech showcase Tokyo 2015] D13:PCIeフラッシュで、高可用性高性能データベースシステム?! by 株式会社HGSTジ...[db tech showcase Tokyo 2015] D13:PCIeフラッシュで、高可用性高性能データベースシステム?! by 株式会社HGSTジ...
[db tech showcase Tokyo 2015] D13:PCIeフラッシュで、高可用性高性能データベースシステム?! by 株式会社HGSTジ...
 
GKEで半年運用してみた
GKEで半年運用してみたGKEで半年運用してみた
GKEで半年運用してみた
 
DockerをRed Hatはどのように見ているのか
DockerをRed Hatはどのように見ているのかDockerをRed Hatはどのように見ているのか
DockerをRed Hatはどのように見ているのか
 
Azure Arc Jumpstart Update - HCIBox Edition
Azure Arc Jumpstart Update - HCIBox EditionAzure Arc Jumpstart Update - HCIBox Edition
Azure Arc Jumpstart Update - HCIBox Edition
 
Docker on RHEL & Project Atomic 入門 - #Dockerjp 4
Docker on RHEL & Project Atomic 入門 - #Dockerjp 4Docker on RHEL & Project Atomic 入門 - #Dockerjp 4
Docker on RHEL & Project Atomic 入門 - #Dockerjp 4
 
LagopusとAzureとIPsecとDPDK
LagopusとAzureとIPsecとDPDKLagopusとAzureとIPsecとDPDK
LagopusとAzureとIPsecとDPDK
 
[SAPPORO CEDEC] サービスの効果を高めるグリー内製ツールの技術と紹介
[SAPPORO CEDEC] サービスの効果を高めるグリー内製ツールの技術と紹介[SAPPORO CEDEC] サービスの効果を高めるグリー内製ツールの技術と紹介
[SAPPORO CEDEC] サービスの効果を高めるグリー内製ツールの技術と紹介
 
JAWS-UG HPC #17 - HPC on AWS @ 2019
JAWS-UG HPC #17 - HPC on AWS @ 2019JAWS-UG HPC #17 - HPC on AWS @ 2019
JAWS-UG HPC #17 - HPC on AWS @ 2019
 
20141121 zabbix conference_japan_2014_nifty_kusakabe
20141121 zabbix conference_japan_2014_nifty_kusakabe20141121 zabbix conference_japan_2014_nifty_kusakabe
20141121 zabbix conference_japan_2014_nifty_kusakabe
 
Cephのベンチマークをしました
CephのベンチマークをしましたCephのベンチマークをしました
Cephのベンチマークをしました
 
ACI Kubernetes Integration
ACI Kubernetes IntegrationACI Kubernetes Integration
ACI Kubernetes Integration
 
スキーマつきストリーム データ処理基盤、 Confluent Platformとは?
スキーマつきストリーム データ処理基盤、 Confluent Platformとは?スキーマつきストリーム データ処理基盤、 Confluent Platformとは?
スキーマつきストリーム データ処理基盤、 Confluent Platformとは?
 
DAS_202109
DAS_202109DAS_202109
DAS_202109
 

More from Yahoo!デベロッパーネットワーク

ヤフーでは開発迅速性と品質のバランスをどう取ってるか
ヤフーでは開発迅速性と品質のバランスをどう取ってるかヤフーでは開発迅速性と品質のバランスをどう取ってるか
ヤフーでは開発迅速性と品質のバランスをどう取ってるかYahoo!デベロッパーネットワーク
 
データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2
データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2
データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2Yahoo!デベロッパーネットワーク
 
ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtc
ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtcヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtc
ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtcYahoo!デベロッパーネットワーク
 
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtcYahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtcYahoo!デベロッパーネットワーク
 
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtc
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtcヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtc
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtcYahoo!デベロッパーネットワーク
 
新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc
新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc
新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtcYahoo!デベロッパーネットワーク
 
PC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtc
PC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtcPC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtc
PC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtcYahoo!デベロッパーネットワーク
 
モブデザインによる多職種チームのコミュニケーション改善 #yjtc
モブデザインによる多職種チームのコミュニケーション改善 #yjtcモブデザインによる多職種チームのコミュニケーション改善 #yjtc
モブデザインによる多職種チームのコミュニケーション改善 #yjtcYahoo!デベロッパーネットワーク
 
ユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtc
ユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtcユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtc
ユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtcYahoo!デベロッパーネットワーク
 

More from Yahoo!デベロッパーネットワーク (20)

ゼロから始める転移学習
ゼロから始める転移学習ゼロから始める転移学習
ゼロから始める転移学習
 
継続的なモデルモニタリングを実現するKubernetes Operator
継続的なモデルモニタリングを実現するKubernetes Operator継続的なモデルモニタリングを実現するKubernetes Operator
継続的なモデルモニタリングを実現するKubernetes Operator
 
ヤフーでは開発迅速性と品質のバランスをどう取ってるか
ヤフーでは開発迅速性と品質のバランスをどう取ってるかヤフーでは開発迅速性と品質のバランスをどう取ってるか
ヤフーでは開発迅速性と品質のバランスをどう取ってるか
 
オンプレML基盤on Kubernetes パネルディスカッション
オンプレML基盤on Kubernetes パネルディスカッションオンプレML基盤on Kubernetes パネルディスカッション
オンプレML基盤on Kubernetes パネルディスカッション
 
LakeTahoe
LakeTahoeLakeTahoe
LakeTahoe
 
オンプレML基盤on Kubernetes 〜Yahoo! JAPAN AIPF〜
オンプレML基盤on Kubernetes 〜Yahoo! JAPAN AIPF〜オンプレML基盤on Kubernetes 〜Yahoo! JAPAN AIPF〜
オンプレML基盤on Kubernetes 〜Yahoo! JAPAN AIPF〜
 
Persistent-memory-native Database High-availability Feature
Persistent-memory-native Database High-availability FeaturePersistent-memory-native Database High-availability Feature
Persistent-memory-native Database High-availability Feature
 
データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2
データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2
データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2
 
eコマースと実店舗の相互利益を目指したデザイン #yjtc
eコマースと実店舗の相互利益を目指したデザイン #yjtceコマースと実店舗の相互利益を目指したデザイン #yjtc
eコマースと実店舗の相互利益を目指したデザイン #yjtc
 
ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtc
ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtcヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtc
ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtc
 
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtcYahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
 
ビッグデータから人々のムードを捉える #yjtc
ビッグデータから人々のムードを捉える #yjtcビッグデータから人々のムードを捉える #yjtc
ビッグデータから人々のムードを捉える #yjtc
 
サイエンス領域におけるMLOpsの取り組み #yjtc
サイエンス領域におけるMLOpsの取り組み #yjtcサイエンス領域におけるMLOpsの取り組み #yjtc
サイエンス領域におけるMLOpsの取り組み #yjtc
 
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtc
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtcヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtc
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtc
 
Yahoo! JAPAN Tech Conference 2022 Day2 Keynote #yjtc
Yahoo! JAPAN Tech Conference 2022 Day2 Keynote #yjtcYahoo! JAPAN Tech Conference 2022 Day2 Keynote #yjtc
Yahoo! JAPAN Tech Conference 2022 Day2 Keynote #yjtc
 
新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc
新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc
新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc
 
PC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtc
PC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtcPC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtc
PC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtc
 
モブデザインによる多職種チームのコミュニケーション改善 #yjtc
モブデザインによる多職種チームのコミュニケーション改善 #yjtcモブデザインによる多職種チームのコミュニケーション改善 #yjtc
モブデザインによる多職種チームのコミュニケーション改善 #yjtc
 
「新しいおうち探し」のためのAIアシスト検索 #yjtc
「新しいおうち探し」のためのAIアシスト検索 #yjtc「新しいおうち探し」のためのAIアシスト検索 #yjtc
「新しいおうち探し」のためのAIアシスト検索 #yjtc
 
ユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtc
ユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtcユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtc
ユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtc
 

Recently uploaded

CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?akihisamiyanaga1
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineerYuki Kikuchi
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)Hiroshi Tomioka
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案sugiuralab
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NTT DATA Technology & Innovation
 

Recently uploaded (9)

CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 

Kafka・Storm・ZooKeeperの認証と認可について #kafkajp

  • 1. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. 2017/7/6 ヤフー株式会社 梁 浩軒 Kafka・Storm・ZooKeeper における認証と認可について 1
  • 2. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. 発表概要 ・セキュリティが重要視されている中で、自分たちが持つクラ スタに対して認証・認可がかけられておらず、情報漏えいな どのリスクがあった ・Ambari+HDPで構築したKafka+Storm+ZooKeeperクラスタに 対して認証・認可を行ったので紹介する 2
  • 3. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. アジェンダ • Kafka/Storm/ZooKeeperの概要 • Kafka/Storm/ZooKeeperの認証と認可(ACL)について • Kerberos認証 • クラスタ全体の認証対応 • パスワード認証 • IPによるACL • まとめ 3
  • 4. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Kafka 概要 分散メッセージングシステム 4 Kafka Producers Consumers Producer1 Producer2 Producer3 ・・・ Consumer1 Consumer2 Consumer3 ・・・ Broker1 Topic1 Broker2 Topic2 ・・・
  • 5. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Stormの概要 分散処理基盤 5 Nimbus Supervisor 1 Worker1(topology) Supervisor 2 Worker2(topology) topology データ 出力
  • 6. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. ZooKeeper 分散アプリケーション向けの高パフォーマンスな協調サービ ス ・KafkaのBrokerなどを管理 ・StormのSupervisorなどを管理 6
  • 7. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. 利用バージョン Ambari 2.5 + HDP 2.6 ・Kafkaは0.10.2を利用 ・Stormは1.1.0を利用 ・ZooKeeperは3.4.6を利用 7
  • 8. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. AmbariとHDPについて HDP ・HDPはHORTONWORKSがリリースするHadoopディストリ ビューションの一つ Ambari ・Hadoopクラスタをプロビジョニング、管理、監視するコンポー ネントだが、HDPのdeployに利用されている 8
  • 9. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. アジェンダ • Kafka/Storm/ZooKeeperの概要 • Kafka/Storm/ZooKeeperの認証と認可(ACL)について • Kerberos認証 • クラスタ全体の認証対応 • パスワード認証 • IPによるACL • まとめ 9
  • 10. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Kafka/Storm/ZooKeeperの認証と認可(ACL)について 10 認証:あなたはだれか 認可:あなたは何をして良いか 認証 Kafka Storm ZooKeeper Kerberos ◯ ◯ ◯ パスワード ◯ ✖️ ◯ SCRAM ◯ ✖️ ✖️ 独自プラグイン ◯ ? ? 認可 Kafka Storm ZooKeeper IP ◯ ✖️ ◯
  • 11. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. 認証・認可の注意点 • 認証・認可の情報(ユーザ、アクセス可能なTopic情報な ど)はZooKeeperに書き込まれる • ZookeeperのACLを有効化しないと、情報の書き換え られる恐れがある 11
  • 12. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. アジェンダ • Kafka/Storm/ZooKeeperの概要 • Kafka/Storm/ZooKeeperの認証と認可(ACL)について • Kerberos認証 • クラスタ全体の認証対応 • パスワード認証 • IPによるACL • まとめ 12
  • 13. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Kerberos認証・認可 認証 ・keytabを元に、KDCサーバがチケットを発行する ・パスワードとIDを認証で渡す必要がない(チケット) ・一度認証されると、複数のサーバにアクセスすることが可能 13 認可 ・KafkaについてはTOPICのCONSUMEとPRODUCE権限などの設定が可能 ・Stormについては、topologyの操作や、ログの参照権限などが設定可能 ・ZooKeeperについては、ファイルの変更権限などのせっていが可能
  • 14. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Kerberos認証(チケット発行) keytabファイルを利用して、KDCサーバにチケットを発行して もらう 14 KDC 1 keytab チケット要求 User 1: keytab チケット1(KDC 1) チケット1(KDC 1)
  • 15. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Kerberos認証(Service) keytabファイルを各サーバに配置して、サービス起動認証を 行う 15 KDC 1 keytab 1 チケット要求 keytab2 チケット要求 keytab3 チケット要求 KafkaBroker 1 チケット1(KDC 1) Broker 2 Broker 3 チケット2(KDC 1) チケット3(KDC 1) チケット1(KDC 1) チケット2(KDC 1) チケット3(KDC 1) 起動OK 起動OK 起動OK Storm ZooKeeper
  • 16. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. KafkaにおけるKerberos認証(Client) Produce、Consume、TOPIC操作に対する認証 16 User1 Kafkabroker 1 broker 2 broker 3 チケット4 (KDC 1) TOPIC1 Produce OK TOPIC1 Delete OK TOPIC 1 TOPIC 2 TOPIC 3User2 チケット5 (KDC 1) TOPIC3 Consume OK
  • 17. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. StormのKerberos認証(Client) Topologyのlogやkillなどに対する認証 17 Storm Topology 1 keytab:User1 log User1 チケット1: check log ok kill ok User2 チケット2: check log ng kill ng
  • 18. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. ZooKeeperのKerberos認証(Client) 各種ACL情報が格納されたフォルダに対する認証 18 ZooKeeper /kafka-acl -Group,Cluster,Topic /storm/credentials -topology names User1 チケット1: read ok User2 チケット2: read ng
  • 19. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. 所感 • 学習コストが高い • サービス起動に必要なkeytabは、ホスト名をつけるのが慣 例== 全てのホストに別々のkeytabファイルを配布する必 要がある!! 19
  • 20. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. アジェンダ • Kafka/Storm/ZooKeeperの概要 • Kafka/Storm/ZooKeeperの認証と認可(ACL)について • Kerberos認証 • クラスタ全体の認証対応 • パスワード認証 • IPによるACL • まとめ 20
  • 21. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. クラスタ全体を認証対応させる Ambari+HDPを利用すると楽 ・コンポーネント(Kafka、Zookeeper、Storm)全体のKerberos 化をしてくれる ・設定ファイルを規定の場所に配布してくれるので、学習コス トが低い 21
  • 22. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. 所感 • HDPのコンポーネントはパッチが当たっているので、I/Fが 違ってはまることがある • Kafkaのsecurity protocolの定数がHDPの独自定数なので 注意 • 一般(security.inter.broker.protocol=PLAINTEXTSASL) • HDP(security.inter.broker.protocol=SASLPLAINTEXT) • HDP2.5のStormでは、Kerberos認証すると、Topology Deployの方法が変わる • worker_launcherを利用したdeployになるが、resource_directoryを作成し ないと起動しない 22
  • 23. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. アジェンダ • Kafka/Storm/ZooKeeperの概要 • Kafka/Storm/ZooKeeperの認証と認可(ACL)について • Kerberos認証 • クラスタ全体の認証対応 • パスワード認証 • IPによるACL • まとめ 23
  • 24. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. パスワード認証とは 認証 ・ユーザIDとパスワードごとの認証が可能 認可 ・TOPICのCONSUMEとPRODUCE権限などの設定が可能 24
  • 25. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Kafkaにおけるパスワード認証 ProduceとConsume時にユーザ名とパスワードを要求 25 Kafka Producer ユーザ1:パスワード TOPIC1 Produce OK Consumer ユーザ2:パスワード TOPIC1 Consume OK Broker 1 Jaas file ユーザ1:パスワード ユーザ2:パスワード Broker 2 Jaas file ユーザ1:パスワード ユーザ2:パスワード TOPIC 1 TOPIC 2
  • 26. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. 所感 ・認証を行うときパスワードは平文で記述しなければならない ので、通信を暗号化しておかないと、tcpdumpで内容が見ら れてしまう ・adminと言われるユーザはACLを設定しなくとも、他人の データを読むことができる 26
  • 27. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. アジェンダ • Kafka/Storm/ZooKeeperの概要 • Kafka/Storm/ZooKeeperの認証と認可(ACL)について • Kerberos認証 • クラスタ全体の認証対応 • パスワード認証 • IPによるACL • まとめ 27
  • 28. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. IPによるACLとは ・認証 ホストIPごとの認証が可能 ・認可 TOPICのCONSUMEとPRODUCE権限などの設定が可能 28
  • 29. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. KafkaにおけるIPによるACLについて TOPIC毎にデータをproduce、consumeできるサーバをIPで制 限 29 Kafka TOPIC 1 IP:172.xxx.xxx.xxx IP:162.xxx.xxx.xxx Producer IP:172.xxx.xxx.xxx TOPIC1 Produce OK Consumer IP:162.xxx.xxx.xxx TOPIC1 Consume OK
  • 30. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. アジェンダ • Kafka/Storm/ZooKeeperの概要 • Kafka/Storm/ZooKeeperの認証と認可(ACL)について • Kerberos認証 • クラスタ全体の認証対応 • パスワード認証 • IPによるACL • まとめ 30
  • 31. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. まとめ ・Kafka+Storm+Zookeeper全体の認証を行いたく、Ambari でKerberos化がサポートされていたので、Kerberosを選択し た ・AmbariでKerberos化を行うと学習コストは低い 31
  • 32. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. おまけ セミナー案内 Kerberos化に必要な設定(Kafka,Storm) SSL/TLS化に必要な設定(Kafka) パスワード認証に必要な設定(Kafka) 32
  • 33. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. セミナー案内 7/26日(水曜日) Stream Processing Casual Talks #2 at Yahoo! JAPAN 開催 募集ページ近日公開予定 33
  • 34. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Kerberos認証の設定(Ambari Kafka) 34 設定値 変更前 変更後 security.inter.broker.protocol なし(新規追加) PLAINTEXTSASL authorizer.class.name なし(新規追加) kafka.security.auth.SimpleAclAuthori zer principal.to.local.class なし(新規追加) kafka.security.auth.KerberosPrincipa lToLocal super.users なし(新規追加) User:kafka zookeeper.set.acl なし(新規追加) true kafka_keytab なし(新規追加) 任意 kafka_principal_name なし(新規追加) 任意 上記に加え、krb5.confの配布が必要(jceファイルも?)
  • 35. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. Kerberos認証の設定(Ambari Storm) 35 設定値 変更前 変更後 Nimbus,ui,supervisorのkeytabとprincipaleの名前 なし(新規追加) 任意 nimbus.authorizer なし(新規追加) org.apache.storm.security.auth.authorizer.SimpleACLAu thorizer nimbus.impersonation.acl なし(新規追加) { {{storm_bare_jaas_principal}} : {hosts: ['*'], groups: ['*']}} nimbus.impersonation.authorizer なし(新規追加) org.apache.storm.security.auth.authorizer.Impersonatio nAuthorizer drpc.authorizer なし(新規追加) org.apache.storm.security.auth.authorizer.DRPCSimple ACLAuthorizer ava.security.auth.login.config なし(新規追加) 任意の場所 nimbus.admins、nimbus.supervisor.users なし(新規追加) 任意 storm.principal.tolocal なし(新規追加) org.apache.storm.security.auth.KerberosPrincipalToLoc al storm.zookeeper.superACL なし(新規追加) 任意 supervisor.run.worker.as.user なし(新規追加) 任意
  • 36. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. パスワード認証の設定(Ambari Kafka) 36 設定値 変更前 変更後 listeners PLAINTEXT://localhost:6667 SASL_PLAINTEXT://localhost:6667 security.inter.broker.protocol なし(新規追加) SASL_PLAINTEXT sasl.mechanism.inter.broker.protocol なし(新規追加) PLAIN sasl.enabled.mechanisms なし(新規追加) PLAIN authorizer.class.name undef kafka.security.auth.SimpleAclAuthori zer kafka-env template export KAFKA_KERBEROS_PARAMS=kafka_ kerberos_params export KAFKA_KERBEROS_PARAMS=- Djava.security.auth.login.config=/usr /hdp/current/kafka- broker/config/kafka_jaas.conf
  • 37. Copyrig ht © 2017 Yahoo Japan Corporation. All Rig hts Reserved. SSL/TLSの設定(Ambari Kafka) 37 設定値 変更前 変更後 listeners PLAINTEXT://localhost:6667 SASL_SSL://localhost:6667 security.inter.broker.protocol なし(新規追加) SASL_SSL ssl.key.password なし(新規追加) 任意 ssl.keystore.location なし(新規追加) 任意 ssl.keystore.password なし(新規追加) 任意 ssl.secure.random.implementation なし(新規追加) 任意 ssl.truststore.location なし(新規追加) 任意 ssl.truststore.password なし(新規追加) 任意