文档说明
在使用Kafka时会遇到内外网的场景,即Kafka集群使用内网搭建,在内网和外网均有客户端需要消费Kafka的消息,同时在集群内由于使用内网环境通信,因此不必太过考虑通信的加密,所以在内网使用非安全的协议也能够通信,但对于外网环境出于安全考虑,只允许通过安全的协议访问Kafka集群,本文档介绍如何基于双网卡来配置Kafka。
通信方式如下图:
测试条件:
- CDH和CM为6.3.3
- Kafka版本为2.2.1
- 集群和Kafka均已启用Kerberos
- 内网IP格式为192.168.1.*
- 外网IP格式为192.168.0.*
- Kafka集群三台机器cdh[1-3].hadoop.com,外网客户端cdh02.hadoop.com
配置步骤
2.1 配置hosts
1.在集群内节点配置主机名和内网ip的映射如下:
2.在集群外节点配置主机名和外网ip的映射如下:
3.在此处对内外网环境做验证
由上图可以看到,外网的客户端节点只能访问192.168.0.*,而无法访问192.168.1.*,并且telnet内网的9092端口也是不通的。
2.2 配置Kafka相关的参数
1.进入CM的Kafka配置页面,搜索kafka.properties
2.根据三个不同的角色组,分别对Broker进行配置
至此配置完成。
注:advertised_listeners 是对外暴露的服务端口,真正建立连接用的是 listeners,listeners中配置的监听,如果不发布到advertised_listeners中是无法直接访问的,并且advertised_listeners中的配置必须要在listeners中已经配置过。
验证Kafka使用
1.在集群内节点创建topic,名称为faysonTopic,并生产一些消息。
2.在集群内节点通过非安全的方式对topic进行消费,使用9092端口
3.在集群外节点通过安全的方式使用外网环境消费topic,使用9797端口
export KAFKA_OPTS="-Djava.security.auth.login.config=./jaas-keytab.conf"
kafka-console-consumer --topic faysonTopic --from-beginning --bootstrap-server cdh1.hadoop.com:9797,cdh2.hadoop.com:9797,cdh3.hadoop.com:9797 --consumer.config client.properties
使用到的配置文件截图如下:
至此测试完成,内外网环境均可成功消费Kafka中的消息
总结
1.针对listeners=PLAINTEXT://ip:9092,SASL_PLAINTEXT://:9797配置,让安全访问使用的9092端口只绑定在内网ip上,9797端口绑定在所有ip上,让外网环境只能够通过安全的协议来访问Kafka,如下:
2.针对advertised.listeners= SASL_PLAINTEXT://hostname:9797配置,主要是通过域名映射的方式,通过客户端配置的外网IP与域名的hosts映射,保证外网的客户端能够访问Kafka集群。
