沒有Kerberized卡夫卡經紀人連接到Kerberized Zookeeper

Question

我找不到任何關於這個問題的信息，所以我會很高興，如果有人可以幫助我這一點。

我有一個服務，如一個Kerberos的集羣 HBase的，MapReduce的，HDFS，動物園管理員 ......所有采用Kerberos和工作。

讓我們想象一下我要添加一些卡夫卡經紀人集羣，但我不想Kerberize卡夫卡，因爲睾丸一槍讓我覺得比Kerberos的卡夫卡的想法更好。

我不知道我是否錯過了某些參數......可能我是......但是動物園管理員可以告訴我們也必須接受PLAINTEXT對某些節點或某些特定目錄的請求如卡夫卡在例如：

動物園管理員：2181/卡夫卡

---

恢復時，問題是：

• 是否有任何選項可以包含一個非kerberized Kafka Broker並使其對羣集中已經kerberized的Zookeeper起作用？

Answer 1

如果你需要一個像配置：

[zookeeper] <----- SASL ----> [kafka] <----- non-authenticated request ---> [clients] 

然後是的，這是可能的。你只需要到

1. 創建將用於與動物園管理員溝通經紀委託人（與keytabs）。
2. 配置動物園管理員的ACL，設置cdrwa接入節點zookeeper:2181/kafka到用戶
3. 複製的keytab經紀人和配置卡夫卡JAAS文件是這樣的： ZookeeperClient { com.sun.security.auth.module.Krb5LoginModule required useKeyTab=true storeKey=true keyTab="/path/to/keytab" principal="user@REALM"; };

然後，在卡夫卡的配置設置zookeeper.set.acl=true，但不要設置任何authorizer.class.name（這將使卡夫卡消費者和生產者的身份驗證）