Можно ли использовать аутентификацию SASL с клиентами Kafka, но не требовать ее для Zookeeper?
Я следил за этим: http://docs.confluent.io/current/kafka/sasl.html
Настроить аутентификацию SASL для моего кластера Kafka. Я бы хотел, чтобы все мои клиенты проходили аутентификацию у брокеров через SASL. Меня не волнует Кафка<->зоопарк. Причина в том, что мне нужно создать ACL в Кафке. Проблема возникает при запуске кластера Kafka и получении ошибки о невозможности аутентификации в Zookeeper:
Ошибка конфигурации SASL: javax.security.auth.login.LoginException: не был найден раздел конфигурации JAAS с именем "Клиент" в указанном файле конфигурации JAAS: "/etc/kafka/kafka_server_jaas.conf". Продолжит подключение к серверу Zookeeper без аутентификации SASL, если это позволяет сервер Zookeeper. Открытие подключения сокета к серверу zk-2.zookeeper-service.default.svc.cluster.local/100.96.16.2:2181 Произошла ошибка при подключении к серверу Zookeeper[zk-0.zookeeper-service:2181,zk-1.zookeeper- службы: 2181, гк-2.zookeeper-сервис:2181]. Ошибка аутентификации.
Я не настроил Zookeeper для аутентификации SASL и предпочел бы избежать, если бы мог. Это вообще возможно?
2 ответа
Получается, что конкретный образ докера, из которого я основывал свою конфигурацию (confluentinc/cp-kafka:3.2.1), предполагает, что Zookeeper будет включен SASL, если Kafka включен ( https://github.com/confluentinc/cp-docker-images/blob/3.2.x/debian/base/include/cub)
Он передает тот же флаг JAVA по умолчанию io.confluent.admin.utils.cli.ZookeeperReadyCommand который вы можете отключить, установив ZOOKEEPER_SASL_ENABLED ложно.
Можно оставить ZooKeeper вне конфигурации SASL. Пожалуйста, посмотрите на этот документ для базовой настройки SASL. Я надеюсь, что это помогает.