关于使用DIGEST MD5身份验证的Kafka-Zookeeper安全性,我正在尝试轮换/更改服务器(zookeeper)和客户端(kafka)jaas配置文件的凭据/密码。 我们有一个3个节点的集群,其中包括3个Zookeeper和3个kafka代理节点,并带有以下jaas配置文件。
kafka.conf
Input: 2.3
Output: 1 0 0 1 1
Input: 3.2
Output:1 1 0 1 0
Input: 2
Output: 1 0 0 0 0
zookeeper.conf
org.apache.zookeeper.server.auth.DigestLoginModule required
username="super"
password="password";
};
要轮换,我们在更新凭证(密码)之后对服务器(zookeeper)实例进行滚动重启,并在为客户端(kafka实例)的Server {
org.apache.zookeeper.server.auth.DigestLoginModule required
user_super="password";
};
用户更新相同的凭证/密码之后进行滚动重启过程中一次一个,我们注意到
super服务器日志中的这些信息级别,最终导致代理不正常关闭和重新启动,从而影响写入和读取的时间长于预期。我曾尝试在Zookeeper zoo.cfg https://cwiki.apache.org/confluence/display/ZOOKEEPER/Client-Server+mutual+authentication中评论[2019-06-15 17:17:38,929] INFO [ZooKeeperClient] Waiting until connected. (kafka.zookeeper.ZooKeeperClient)
[2019-06-15 17:17:38,929] INFO [ZooKeeperClient] Connected. (kafka.zookeeper.ZooKeeperClient)
,以允许任何客户端向zookeeper进行身份验证,但没有成功。
另外,另一种方法-尝试使用requireClientAuthScheme=sasl动态更新jaas配置文件中的凭证/密码,并确实获得了此jira中记录的相同异常(参考:https://issues.apache.org/jira/browse/KAFKA-8010)。
有人可以提出任何建议吗?预先感谢。