Strategy ONE
Configurar ACLs do Zookeeper
Os znodes no Zookeeper têm o privilégio World por padrão. Com a abordagem mostrada abaixo, você pode restringir o acesso administrativo dos znodes do Zookeeper somente aos endereços IP das máquinas do Zookeeper, do Kafka e do Consumer. Siga as etapas abaixo para alterar a ACL de znodes para um esquema baseado em IP.
Conectar-se ao cliente Zookeeper e habilitar ACLs para nós específicos
-
Localize o arquivo que você precisa para conectar ao Zookeeper.
Windows
CopiarC:\Program Files (x86)\MicroStrategy\Messaging Services\Kafka\kafka_2.13-3.2.0\bin\windows\zookeeper-shell.batLinux
Copiar/opt/MicroStrategy/MessagingServices/Kafka/kafka_2.13-3.2.0/bin/zookeeper-shell.sh -
Conectar-se ao Zookeeper usando
zookeeper-shell.bat <IP1>:<Port> , <IP2>:<Port>.Windows
.\zookeeper-shell.bat 10.23.39.148:2181,10.23.35.115:2181
Linux
./zookeeper-shell.sh 10.23.36.181:2181,10.23.33.221:2181
-
Verifique se os znodes no Zookeeper têm o privilégio Mundial executando o seguinte comando:
CopiargetAcl /brokers
-
Redefina as ACLs em todos os znodes.
CopiarsetAcl -R / ip:<IP1>:cdrwa,ip:<IP2>:cdrwa,ip:<IP3>:cdrwa,...setAcl -R / ip:10.250.151.242:cdrwa,ip:10.250.155.99:cdrwa
-
Verifique o ACL de nós individuais exibindo todos os znodes permitidos usando o seguinte comando:
CopiargetAcl /brokers
Certifique-se de que os endereços IP de todas as máquinas Kafka, Zookeeper e Consumer estejam incluídos para que o sistema continue a funcionar. Além dos endereços IP. também é possível incluir 127.0.0.1 para acesso de host local.
Testar consumidor e Kafka
Depois de definir as ACLs, teste para garantir que Consumer e Kafka estejam funcionando.
-
Interrompa todos os nós do Kafka.
-
Interrompa todos os nós do Zookeeper.
-
Inicie todos os nós do Zookeeper.
-
Depois que todos os nós do Zookeeper estiverem ativos, inicie todos os nós do Kafka.
-
Inicie Consumidor.