Come faccio a risolvere i problemi durante la connessione al mio cluster Amazon MSK?
Riscontro problemi quando provo a connettermi al mio cluster Amazon Managed Streaming for Apache Kafka (Amazon MSK).
Risoluzione
Quando provi a connetterti a un cluster Amazon MSK, potresti ricevere i seguenti tipi di errori:
- Errori non specifici del tipo di autenticazione del cluster
- Errori specifici dell'autenticazione del client TLS
- Errori specifici dell'autenticazione del client AWS Identity and Access Management (IAM)
- Errori specifici dell'autenticazione client SASL/SCARM (Simple Authentication and Security Layer/Salted Challenge Response Mechanism)
Errori non correlati a un tipo di autenticazione specifico
Quando provi a connetterti al tuo cluster Amazon MSK, potresti ricevere uno dei seguenti errori indipendentemente dal tipo di autenticazione abilitato per il tuo cluster.
Errore java.lang.OutOfMemory: Spazio heap Java
Viene visualizzato questo errore quando non si menziona il file delle proprietà del client quando si esegue un comando per le operazioni del cluster utilizzando qualsiasi tipo di autenticazione:
Ad esempio, si ottiene l'OutOfMemoryError quando si esegue il seguente comando con la porta di autenticazione IAM:
./kafka-topics.sh --create --bootstrap-server $BOOTSTRAP:9098 --replication-factor 3 --partitions 1 --topic TestTopic
Tuttavia, il comando seguente viene eseguito correttamente quando viene eseguito con la porta di autenticazione IAM:
./kafka-topics.sh --create --bootstrap-server $BOOTSTRAP:9098 --command-config client.properties --replication-factor 3 --partitions 1 --topic TestTopic
Per risolvere questo errore, assicurati di includere le proprietà appropriate in base al tipo di autenticazione nel file client.properties.
org.apache.kafka.common.errors.timeout Exception: Scaduto in attesa dell'assegnazione di un nodo. Chiamata: CreateTopics
Questo errore si verifica in genere quando si verifica un'errata configurazione di rete tra l'applicazione client e Amazon MSK Cluster.
Per risolvere questo problema, controlla la connettività di rete eseguendo il seguente test di connettività.
Esegui il comando dal computer client.
telnet bootstrap-broker port-number
Assicurati di fare quanto segue:
- Sostituisci bootstrap-broker con uno degli indirizzi del broker del tuo cluster Amazon MSK.
- Sostituisci il numero di porta con il valore di porta appropriato in base all'autenticazione attivata per il tuo cluster.
Se la macchina client è in grado di accedere ai broker, non ci sono problemi di connettività. In caso contrario, verifica la connettività di rete, in particolare le regole in entrata e in uscita per il gruppo di sicurezza.
org.apache.kafka.common.errors.TopicAuthorizationException: Non autorizzato ad accedere agli argomenti: \ [test\ _topic]
Questo errore viene visualizzato quando si utilizza l'autenticazione IAM e la politica di accesso blocca le operazioni sugli argomenti, come WriteData e ReadData.
Tieni presente che i limiti delle autorizzazioni e le politiche di controllo del servizio bloccano anche i tentativi degli utenti di connettersi al cluster senza l'autorizzazione richiesta.
Se utilizzi l'autenticazione non IAM, controlla se hai aggiunto elenchi di controllo degli accessi (ACL) a livello di argomento che bloccano le operazioni.
Esegui il comando seguente per elencare gli ACL applicati a un argomento:
bin/kafka-acls.sh --bootstrap-server $BOOTSTRAP:PORT --command-config adminclient-configs.conf –-list –-topic testtopic
Connessione al nodo -1 (b-1-testcluster.abc123.c7. kafka.us-east-1.amazonaws.com /3.11.111.123:9098) non riuscita a causa di: Il meccanismo SASL del client 'SCRAM-SHA-512' non è abilitato nel server, i meccanismi abilitati sono\ [AWS\ _MSK\ _IAM]
-oppure-
Connessione al nodo -1 (b-1-testcluster.abc123.c7. kafka.us-east-1.amazonaws.com /3.11.111.123:9096) non riuscita a causa di: Il meccanismo SASL del client "AWS\ _MSK\ _IAM" non è abilitato nel server, i meccanismi abilitati sono\ [SCRAM-SHA-512]
Questi errori vengono visualizzati quando si utilizza un numero di porta che non corrisponde al meccanismo o al protocollo SASL nel file delle proprietà del client. Questo è il file delle proprietà utilizzato nel comando per eseguire le operazioni del cluster.
- Per comunicare con i broker in un cluster configurato per utilizzare SASL/SCRAM, utilizza le seguenti porte: 9096 per l'accesso da AWS e 9196 per l'accesso pubblico
- Per comunicare con i broker in un cluster configurato per utilizzare il controllo degli accessi IAM, utilizza le seguenti porte: 9098 per l'accesso da AWS e 9198 per l'accesso pubblico
Scaduto in attesa della connessione mentre è in stato: COLLEGAMENTO
Potresti ricevere questo errore quando il client tenta di connettersi al cluster tramite la stringa Apache ZooKeeper e la connessione non può essere stabilita. Questo errore può verificarsi anche quando la stringa di Apache ZooKeeper è errata.
Quando si utilizza la stringa non corretta di Apache ZooKeeper per connettersi al cluster, si ottiene il seguente errore:
./kafka-topics.sh --zookeeper z-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:2181,z-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:2181,z-3.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:2181 --list [2020-04-10 23:58:47,963] WARN Client session timed out, have not heard from server in 10756ms for sessionid 0x0 (org.apache.zookeeper.ClientCnxn) [2020-04-10 23:58:58,581] WARN Client session timed out, have not heard from server in 10508ms for sessionid 0x0 (org.apache.zookeeper.ClientCnxn) [2020-04-10 23:59:08,689] WARN Client session timed out, have not heard from server in 10004ms for sessionid 0x0 (org.apache.zookeeper.ClientCnxn) Exception in thread "main" kafka.zookeeper.ZooKeeperClientTimeoutException: Timed out waiting for connection while in state: CONNECTING at kafka.zookeeper.ZooKeeperClient.$anonfun$waitUntilConnected$3(ZooKeeperClient.scala:259) at scala.runtime.java8.JFunction0$mcV$sp.apply(JFunction0$mcV$sp.java:23) at kafka.utils.CoreUtils$.inLock(CoreUtils.scala:253) at kafka.zookeeper.ZooKeeperClient.waitUntilConnected(ZooKeeperClient.scala:255) at kafka.zookeeper.ZooKeeperClient.<init>(ZooKeeperClient.scala:113) at kafka.zk.KafkaZkClient$.apply(KafkaZkClient.scala:1858) at kafka.admin.TopicCommand$ZookeeperTopicService$.apply(TopicCommand.scala:321) at kafka.admin.TopicCommand$.main(TopicCommand.scala:54) at kafka.admin.TopicCommand.main(TopicCommand.scala)
Per risolvere questo errore, procedi come segue:
- Verifica che la stringa Apache ZooKeeper utilizzata sia corretta.
- Assicurati che il gruppo di sicurezza per il tuo cluster Amazon MSK consenta il traffico in entrata dal gruppo di sicurezza del client sulle porte di Apache ZooKeeper.
Argomento 'topicName' non presente nei metadati dopo 60000 ms o Connessione al nodo -<node-id> (<broker-host>/<broker-ip>:<port>) non può essere stabilito. Il broker potrebbe non essere disponibile. (org.apache.kafka.clients.client di rete)
Potresti ricevere questo errore in una delle seguenti condizioni:
- Il produttore o il consumatore non è in grado di connettersi all'host e alla porta del broker.
- La stringa del broker non è valida.
Se ricevi questo errore anche se la connettività del client o del broker funzionava inizialmente, il broker potrebbe non funzionare.
Quando si tenta di accedere al cluster dall'esterno del cloud privato virtuale (VPC) utilizzando la stringa broker per la produzione di dati, viene visualizzato il seguente errore:
./kafka-console-producer.sh --broker-list b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9092,b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9092 --topic test [2020-04-10 23:51:57,668] ERROR Error when sending message to topic test with key: null, value: 1 bytes with error: (org.apache.kafka.clients.producer.internals.ErrorLoggingCallback) org.apache.kafka.common.errors.TimeoutException: Topic test not present in metadata after 60000 ms.
Viene visualizzato il seguente errore quando si tenta di accedere al cluster dall'esterno del VPC per il consumo di dati utilizzando la stringa del broker:
./kafka-console-consumer.sh --bootstrap-server b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9092,b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9092 --topic test [2020-04-11 00:03:21,157] WARN [Consumer clientId=consumer-console-consumer-88994-1, groupId=console-consumer-88994] Connection to node -1 (b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com/172.31.6.19:9092) could not be established. Broker may not be available. (org.apache.kafka.clients.NetworkClient) [2020-04-11 00:04:36,818] WARN [Consumer clientId=consumer-console-consumer-88994-1, groupId=console-consumer-88994] Connection to node -2 (b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com/172.31.44.252:9092) could not be established. Broker may not be available. (org.apache.kafka.clients.NetworkClient) [2020-04-11 00:05:53,228] WARN [Consumer clientId=consumer-console-consumer-88994-1, groupId=console-consumer-88994] Connection to node -1 (b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com/172.31.6.19:9092) could not be established. Broker may not be available. (org.apache.kafka.clients.NetworkClient)
Per risolvere questi errori, procedi come segue:
- Assicurati che vengano utilizzate la stringa e la porta del broker corrette.
- Se l'errore è causato dall'inattività del broker, controlla la metrica di Amazon CloudWatch ActiveControllerCount per verificare che il controller sia stato attivo per tutto il periodo. Il valore di questa metrica deve essere 1. Qualsiasi altro valore potrebbe indicare che uno dei broker del cluster non è disponibile. Inoltre, controlla la metrica ZookeeperSessionState per confermare che i broker comunicavano costantemente con i nodi Apache ZooKeeper. Per capire perché il broker ha fallito, visualizza la metrica KafkaCatalogsDiskUsed e controlla se il ](https://docs.aws.amazon.com/msk/latest/developerguide/bestpractices.html#bestpractices-monitor-disk-space)broker ha esaurito lo spazio di archiviazione[. Per ulteriori informazioni sui parametri di Amazon MSK e sui valori previsti, consulta i parametri di Amazon MSK per il monitoraggio con CloudWatch.
- Assicurati che l'errore non sia causato dalla configurazione di rete. Le risorse Amazon MSK vengono fornite all'interno del VPC. Pertanto, per impostazione predefinita, i client devono connettersi al cluster Amazon MSK o produrre e utilizzare dal cluster su una rete privata nello stesso VPC. Se accedi al cluster dall'esterno del VPC, potresti ricevere questi errori. Per informazioni sulla risoluzione degli errori quando il client si trova nello stesso VPC del cluster, consulta Impossibile accedere al cluster da dentro AWS: problemi di rete. Per informazioni sull'accesso al cluster dall'esterno del cloud privato virtuale, vedi Come faccio a connettermi al mio cluster Amazon MSK all'esterno del cloud privato virtuale?
Errori specifici dell'autenticazione del client TLS
Potresti ricevere i seguenti errori quando provi a connetterti a quel cluster in cui è abilitata l'autenticazione del client TLS. Questi errori potrebbero essere causati da problemi con la configurazione relativa a SSL.
Broker Bootstrap <broker-host>:9094 (id: -<broker-id> rack: null) disconnesso
Potresti ricevere questo errore quando il produttore o il consumatore tenta di connettersi a un cluster crittografato con TLS tramite la porta TLS 9094 senza passare la configurazione SSL.
Potresti ricevere il seguente errore quando il produttore tenta di connettersi al cluster:
./kafka-console-producer.sh --broker-list b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094,b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 --topic test [2020-04-10 18:57:58,019] WARN [Producer clientId=console-producer] Bootstrap broker b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 (id: -2 rack: null) disconnected (org.apache.kafka.clients.NetworkClient) [2020-04-10 18:57:58,342] WARN [Producer clientId=console-producer] Bootstrap broker b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 (id: -2 rack: null) disconnected (org.apache.kafka.clients.NetworkClient) [2020-04-10 18:57:58,666] WARN [Producer clientId=console-producer] Bootstrap broker b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)
Potresti ricevere il seguente errore quando il consumatore tenta di connettersi al cluster:
./kafka-console-consumer.sh --bootstrap-server b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094,b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 --topic test [2020-04-10 19:09:03,277] WARN [Consumer clientId=consumer-console-consumer-79102-1, groupId=console-consumer-79102] Bootstrap broker b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient) [2020-04-10 19:09:03,596] WARN [Consumer clientId=consumer-console-consumer-79102-1, groupId=console-consumer-79102] Bootstrap broker b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient) [2020-04-10 19:09:03,918] WARN [Consumer clientId=consumer-console-consumer-79102-1, groupId=console-consumer-79102] Bootstrap broker b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 (id: -2 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)
Per risolvere questo errore, configura la configurazione SSL. Per ulteriori informazioni, vedi Come iniziare a usare la crittografia?
Se l'autenticazione client è abilitata per il tuo cluster, devi aggiungere parametri aggiuntivi relativi al tuo certificato ACM Private CA. Per ulteriori informazioni, vedere Autenticazione TLS reciproca.
ERRORE Impossibile ottenere l'ora di modifica dell'archivio delle chiavi: <configure-path-to-truststore>
-oppure-
Caricamento del keystore non riuscito
Se c'è un problema con la configurazione del truststore, questo errore può verificarsi quando i file truststore vengono caricati per il produttore e il consumatore. È possibile visualizzare informazioni simili alle seguenti nei registri:
./kafka-console-consumer --bootstrap-server b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094,b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 --topic test --consumer.config /home/ec2-user/ssl.config [2020-04-11 10:39:12,194] ERROR Modification time of key store could not be obtained: /home/ec2-ser/certs/kafka.client.truststore.jks (org.apache.kafka.common.security.ssl.SslEngineBuilder) java.nio.file.NoSuchFileException: /home/ec2-ser/certs/kafka.client.truststore.jks [2020-04-11 10:39:12,253] ERROR Unknown error when running consumer: (kafka.tools.ConsoleConsumer$) Caused by: org.apache.kafka.common.KafkaException: org.apache.kafka.common.KafkaException: org.apache.kafka.common.KafkaException: Failed to load SSL keystore /home/ec2-ser/certs/kafka.client.truststore.jks of type JKS
In questo caso, i log indicano un problema con il caricamento del file truststore. Il percorso del file truststore è configurato erroneamente nella configurazione SSL. Puoi risolvere questo errore fornendo il percorso corretto per il file truststore nella configurazione SSL.
Questo errore può verificarsi anche a causa delle seguenti condizioni:
- Il tuo file truststore o key store è danneggiato.
- La password del file truststore non è corretta.
Errore durante l'invio del messaggio al topic test con key: null, value: 0 byte con errore: (org.apache.kafka.clients.producer.internals.errorLoggingCallback)
org.apache.kafka.common.errors.SSL Authentication Exception: Handshake SSL non riuscito
-oppure-
Connessione al nodo -<broker-id> (<broker-hostname>/<broker-hostname>:9094) autenticazione non riuscita a causa di: Handshake SSL non riuscito (org.apache.kafka.clients.NetworkClient)
Potresti ricevere il seguente errore quando si verifica un problema con la configurazione dell'archivio chiavi del produttore che causa l'errore di autenticazione:
./kafka-console-producer --broker-list b-2.tlscluster.5818ll.c7.kafka.us-east-1.amazonaws.com:9094,b-1.tlscluster.5818ll.c7.kafka.us-east-1.amazonaws.com:9094,b-4.tlscluster.5818ll.c7.kafka.us-east-1.amazonaws.com:9094 --topic example --producer.config/home/ec2-user/ssl.config [2020-04-11 11:13:19,286] ERROR [Producer clientId=console-producer] Connection to node -3 (b-4.tlscluster.5818ll.c7.kafka.us-east-1.amazonaws.com/172.31.6.195:9094) failed authentication due to: SSL handshake failed (org.apache.kafka.clients.NetworkClient)
È possibile che venga visualizzato il seguente errore quando si verifica un problema con la configurazione dell'archivio chiavi del consumatore che causa un errore di autenticazione:
./kafka-console-consumer --bootstrap-server b-2.tlscluster.5818ll.c7.kafka.us-east-1.amazonaws.com:9094,b-1.tlscluster.5818ll.c7.kafka.us-east-1.amazonaws.com:9094,b-4.tlscluster.5818ll.c7.kafka.us-east-1.amazonaws.com:9094 --topic example --consumer.config/home/ec2-user/ssl.config [2020-04-11 11:14:46,958] ERROR [Consumer clientId=consumer-1, groupId=console-consumer-46876] Connection to node -1 (b-2.tlscluster.5818ll.c7.kafka.us-east-1.amazonaws.com/172.31.15.140:9094) failed authentication due to: SSL handshake failed (org.apache.kafka.clients.NetworkClient) [2020-04-11 11:14:46,961] ERROR Error processing message, terminating consumer process: (kafka.tools.ConsoleConsumer$) org.apache.kafka.common.errors.SslAuthenticationException: SSL handshake failed
Per risolvere questo errore, assicurati di aver configurato correttamente la configurazione relativa all'archivio chiavi.
java.io.IOException: la password del keystore non era corretta
Potresti ricevere questo errore quando la password per l'archivio chiavi o il truststore non è corretta.
Per risolvere questo errore, procedi come segue:
Verifica se la password del key store o del truststore è corretta eseguendo il seguente comando:
keytool -list -keystore kafka.client.keystore.jks Enter keystore password: Keystore type: PKCS12 Keystore provider: SUN Your keystore contains 1 entry schema-reg, Jan 15, 2020, PrivateKeyEntry, Certificate fingerprint (SHA1): 4A:F3:2C:6A:5D:50:87:3A:37:6C:94:5E:05:22:5A:1A:D5:8B:95:ED
Se la password per l'archivio chiavi o il truststore non è corretta, potresti visualizzare il seguente errore:
keytool -list -keystore kafka.client.keystore.jks Enter keystore password: keytool error: java.io.IOException: keystore password was incorrect
Puoi visualizzare l'output dettagliato del comando precedente aggiungendo il flag**-v**:
keytool -list -v -keystore kafka.client.keystore.jks
Puoi anche usare questi comandi per verificare se l'archivio chiavi è danneggiato.
Potresti ricevere questo errore anche quando la chiave segreta associata all'alias non è configurata correttamente nella configurazione SSL del produttore e del consumatore. Per verificare questa causa principale, esegui il seguente comando:
keytool -keypasswd -alias schema-reg -keystore kafka.client.keystore.jks Enter keystore password: Enter key password for <schema-reg> New key password for <schema-reg>: Re-enter new key password for <schema-reg>:
Se la tua password per il segreto dell'alias (esempio: schema-reg) è corretta, il comando ti chiede di inserire una nuova password per l'altra chiave segreta. In caso contrario, il comando fallisce con il seguente messaggio:
keytool -keypasswd -alias schema-reg -keystore kafka.client.keystore.jks Enter keystore password: Enter key password for <schema-reg> keytool error: java.security.UnrecoverableKeyException: Get Key failed: Given final block not properly padded. Such issues can arise if a bad key is used during decryption.
Puoi anche verificare se un particolare alias fa parte dell'archivio chiavi eseguendo il seguente comando:
keytool -list -keystore kafka.client.keystore.jks -alias schema-reg Enter keystore password: schema-reg, Jan 15, 2020, PrivateKeyEntry, Certificate fingerprint (SHA1): 4A:F3:2C:6A:5D:50:87:3A:37:6C:94:5E:05:22:5A:1A:D5:8B:95:ED
Errori specifici dell'autenticazione del client IAM
Connessione al nodo -1 (b-1.testcluster.abc123.c2. kafka.us-east-1.amazonaws.com /10.11.111.123:9098) non riuscita a causa di: Accesso negato
-oppure-
Eccezione di autenticazione SASL org.apache.kafka.common.errors.sasl: Accesso negato
Assicurati che il ruolo IAM che accede al cluster Amazon MSK consenta le operazioni del cluster come indicato nel controllo degli accessi IAM.
Oltre alle politiche di accesso, i limiti delle autorizzazioni e le politiche di controllo del servizio bloccano l'utente che tenta di connettersi al cluster, ma non riesce a trasmettere l'autorizzazione richiesta.
Eccezione di autenticazione SASL org.apache.kafka.common.errors.sasl: Troppe connessioni
-oppure-
Eccezione di autenticazione SASL org.apache.kafka.common.errors.sasl: Errore interno
Questi errori vengono visualizzati quando il cluster è in esecuzione su un tipo di broker kafka.t3.small con controllo degli accessi IAM e hai superato il limite di connessione. Il tipo di istanza kafka.t3.small accetta solo una connessione TCP per broker al secondo. Quando questo limite di connessione viene superato, il test di creazione fallisce e viene visualizzato questo errore, che indica credenziali non valide. Per ulteriori informazioni, consulta Come funziona Amazon MSK con IAM.
Per risolvere questo errore, considera di fare quanto segue:
- Nella configurazione di Amazon MSK Connect worker, aggiorna i valori per reconnect.backoff.ms e reconnect.backoff.max.ms a 1000 o superiore.
- Esegui l'upgrade a un tipo di istanza broker più grande (come kafka.m5.large o superiore). Per ulteriori informazioni, consulta Tipi di broker e Dimensione corretta del cluster: Numero di partizioni per broker.
Errori specifici dell'autenticazione del client SASL/SCRAM
Connessione al nodo -1 (b-3.testcluster.abc123.c2.kafka.us-east-1.amazonaws.com/10.11.111.123:9096) non riuscita a causa di: Autenticazione non riuscita durante l'autenticazione a causa di credenziali non valide con meccanismo SASL SCRAM-SHA-512
- Assicurati di aver archiviato le credenziali utente in AWS Secrets Manager e di averle associate al cluster Amazon MSK.
- Quando accedi al cluster tramite 9096 porte, assicurati che l'utente e la password utilizzati in AWS Secrets Manager siano gli stessi delle proprietà del client.
- Quando provi a recuperare i segreti utilizzando l'API get-secret-value, assicurati che la password utilizzata in AWS Secrets Manager non contenga caratteri speciali, come (/]).
org.apache.kafka.common.errors.ClusterAuthorizationException: Richiesta di richiesta (processor=11, connectionID=internal\ _IP-INTERNAL\ _IP-0, session=sessione (utente:anonimo, /INTERNAL\ _IP), listenerName=listenerName (REPLICATION\ _SECURE), securityProtocol=SSL, buffer=null) non è autorizzata
Questo errore viene visualizzato quando sono soddisfatte entrambe le condizioni seguenti:
- Hai attivato l'autenticazione SASL/SCRAM per il tuo cluster Amazon MSK.
- Hai impostato resourceType=Cluster e operation=Cluster\ _ACTION negli ACL del tuo cluster.
Il cluster Amazon MSK non supporta questa impostazione perché impedisce la replica interna di Apache Kafka. Con questa impostazione, l'identità dei broker appare come ANONIMA per le comunicazioni tra broker. Se è necessario che il cluster supporti questi ACL durante l'utilizzo dell'autenticazione SASL/SCRAM, è necessario concedere le autorizzazioni per TUTTE le operazioni all'utente ANONIMO. Ciò impedisce la limitazione della replica tra i broker.
Esegui il seguente comando per concedere questa autorizzazione all'utente ANONIMO:
./kafka-acls.sh --authorizer-properties zookeeper.connect=example-ZookeeperConnectString --add --allow-principal User:ANONYMOUS --operation ALL --cluster
Informazioni correlate
Contenuto pertinente
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata 9 mesi fa