没有Kerberized卡夫卡经纪人连接到Kerberized Zookeeper

Question

我找不到任何关于这个问题的信息，所以我会很高兴，如果有人可以帮助我这一点。

我有一个服务，如一个Kerberos的集群 HBase的，MapReduce的，HDFS，动物园管理员 ......所有采用Kerberos和工作。

让我们想象一下我要添加一些卡夫卡经纪人集群，但我不想Kerberize卡夫卡，因为睾丸一枪让我觉得比Kerberos的卡夫卡的想法更好。

我不知道我是否错过了某些参数......可能我是......但是动物园管理员可以告诉我们也必须接受PLAINTEXT对某些节点或某些特定目录的请求如卡夫卡在例如：

动物园管理员：2181/卡夫卡

---

恢复时，问题是：

• 是否有任何选项可以包含一个非kerberized Kafka Broker并使其对群集中已经kerberized的Zookeeper起作用？

Answer 1

如果你需要一个像配置：

[zookeeper] <----- SASL ----> [kafka] <----- non-authenticated request ---> [clients] 

然后是的，这是可能的。你只需要到

1. 创建将用于与动物园管理员沟通经纪委托人（与keytabs）。
2. 配置动物园管理员的ACL，设置cdrwa接入节点zookeeper:2181/kafka到用户
3. 复制的keytab经纪人和配置卡夫卡JAAS文件是这样的： ZookeeperClient { com.sun.security.auth.module.Krb5LoginModule required useKeyTab=true storeKey=true keyTab="/path/to/keytab" principal="user@REALM"; };

然后，在卡夫卡的配置设置zookeeper.set.acl=true，但不要设置任何authorizer.class.name（这将使卡夫卡消费者和生产者的身份验证）