Testcontainers-Java项目中Kafka容器认证配置问题解析
问题背景
在使用Testcontainers-Java项目进行Kafka集成测试时,开发者Valery-Pechur遇到了容器认证配置问题。该问题出现在尝试为Kafka容器配置SCRAM-SHA-256认证机制时,客户端连接时出现了认证失败的情况。
初始配置分析
开发者最初尝试了以下配置方案:
private static final Map<String, String> KAFKA_ENV_WITH_AUTHORIZATION = Map.of(
"KAFKA_LISTENER_SECURITY_PROTOCOL_MAP", "BROKER:PLAINTEXT,PLAINTEXT:SASL_PLAINTEXT",
"KAFKA_LISTENER_NAME_PLAINTEXT_SASL_ENABLED_MECHANISMS", ScramMechanism.SCRAM_SHA_256.mechanismName(),
"KAFKA_LISTENER_NAME_PLAINTEXT_SCRAM-SHA-256_SASL_JAAS_CONFIG",
"org.apache.kafka.common.security.scram.ScramLoginModule required username='%s' password='%s';"
.formatted(AUTH_USERNAME, AUTH_PASSWORD)
);
这种配置方式使用了Zookeeper模式,并通过kafka-configs
命令添加了SCRAM用户凭据。这种方式在旧版本中工作正常,但在迁移到新版本时出现了问题。
新版本配置尝试
开发者随后尝试了新的配置方案,针对Kafka的KRaft模式(无Zookeeper)进行了调整:
private static final Map<String, String> KAFKA_ENV_WITH_AUTHORIZATION = Map.ofEntries(
Map.entry("KAFKA_SASL_ENABLED_MECHANISMS", "SCRAM-SHA-256,PLAIN"),
Map.entry("KAFKA_LISTENER_NAME_PLAINTEXT_SASL_ENABLED_MECHANISMS", "SCRAM-SHA-256"),
Map.entry("KAFKA_LISTENER_NAME_BROKER_SASL_ENABLED_MECHANISMS", "SCRAM-SHA-256"),
Map.entry("KAFKA_LISTENER_NAME_CONTROLLER_SASL_ENABLED_MECHANISMS", "PLAIN"),
Map.entry("KAFKA_SASL_MECHANISM_INTER_BROKER_PROTOCOL", "SCRAM-SHA-256"),
Map.entry("KAFKA_SASL_MECHANISM_CONTROLLER_PROTOCOL", "PLAIN"),
Map.entry("KAFKA_LISTENER_SECURITY_PROTOCOL_MAP", "BROKER:SASL_PLAINTEXT,CONTROLLER:PLAINTEXT,PLAINTEXT:PLAINTEXT"),
Map.entry("KAFKA_LISTENER_NAME_PLAINTEXT_SCRAM-SHA-256_SASL_JAAS_CONFIG",
"org.apache.kafka.common.security.scram.ScramLoginModule required username='%s' password='%s';"
.formatted(AUTH_USERNAME, AUTH_PASSWORD)),
Map.entry("KAFKA_LISTENER_NAME_BROKER_SCRAM-SHA-256_SASL_JAAS_CONFIG",
"org.apache.kafka.common.security.scram.ScramLoginModule required username='%s' password='%s';"
.formatted(AUTH_USERNAME, AUTH_PASSWORD)),
Map.entry("KAFKA_LISTENER_NAME_CONTROLLER_PLAIN_SASL_JAAS_CONFIG",
"org.apache.kafka.common.security.plain.PlainLoginModule required username='%s' password='%s';"
.formatted(AUTH_USERNAME, AUTH_PASSWORD))
);
这种配置尝试为不同的监听器配置不同的认证机制,但出现了错误:"Unexpected handshake request with client mechanism SCRAM-SHA-256, enabled mechanisms are []",表明客户端尝试使用SCRAM-SHA-256机制,但服务端没有启用该机制。
问题原因分析
-
KRaft模式配置差异:从Zookeeper模式迁移到KRaft模式时,用户凭据的添加方式发生了变化。在KRaft模式下,需要使用
kafka-storage
命令而不是kafka-configs
命令来添加用户。 -
监听器配置问题:初始配置中可能没有正确地将SCRAM-SHA-256机制应用到正确的监听器上,导致服务端没有启用预期的认证机制。
-
环境变量命名规范:不同版本的Kafka镜像可能对环境变量的命名有不同的要求,如使用
KAFKA_CFG_
前缀还是直接使用KAFKA_
前缀。
解决方案探索
开发者随后尝试了第三种配置方案:
private static final Map<String, String> KAFKA_ENV_WITH_AUTHORIZATION = Map.ofEntries(
Map.entry("KAFKA_CFG_SASL_ENABLED_MECHANISMS", "[SCRAM-SHA-256]"),
Map.entry("KAFKA_LISTENER_NAME_PLAINTEXT_SASL_ENABLED_MECHANISMS", "SCRAM-SHA-256"),
Map.entry("KAFKA_LISTENER_SECURITY_PROTOCOL_MAP", "PLAINTEXT:SASL_PLAINTEXT,CONTROLLER:PLAINTEXT,BROKER:PLAINTEXT"),
Map.entry("KAFKA_CLIENT_LISTENER_NAME", "PLAINTEXT"),
Map.entry("KAFKA_LISTENER_NAME_PLAINTEXT_SCRAM-SHA-256_SASL_JAAS_CONFIG",
"org.apache.kafka.common.security.scram.ScramLoginModule required username='%s' password='%s';"
.formatted(AUTH_USERNAME, AUTH_PASSWORD))
);
这种配置简化了监听器设置,专注于PLAINTEXT监听器的SCRAM-SHA-256认证。虽然错误消息变成了"Authentication failed during authentication due to invalid credentials",表明认证机制已经启用,但凭据验证失败,这说明配置已经部分生效。
最佳实践建议
-
明确Kafka运行模式:确定使用Zookeeper模式还是KRaft模式,因为两者的配置方式不同。
-
简化监听器配置:除非有特殊需求,否则可以简化监听器配置,专注于一个主要的SASL监听器。
-
正确添加用户凭据:
- 对于Zookeeper模式:使用
kafka-configs
命令 - 对于KRaft模式:使用
kafka-storage
命令
- 对于Zookeeper模式:使用
-
验证环境变量前缀:根据使用的Kafka镜像版本,确认是使用
KAFKA_
还是KAFKA_CFG_
前缀。 -
分步调试:先确保基础连接正常工作,再逐步添加认证配置。
完整解决方案示例
以下是一个针对KRaft模式的完整配置示例:
private static final Map<String, String> KAFKA_ENV_WITH_AUTHORIZATION = Map.of(
"KAFKA_CFG_PROCESS_ROLES", "broker,controller",
"KAFKA_CFG_NODE_ID", "1",
"KAFKA_CFG_CONTROLLER_QUORUM_VOTERS", "1@localhost:9093",
"KAFKA_CFG_LISTENERS", "PLAINTEXT://:9092,CONTROLLER://:9093",
"KAFKA_CFG_ADVERTISED_LISTENERS", "PLAINTEXT://localhost:9092",
"KAFKA_CFG_LISTENER_SECURITY_PROTOCOL_MAP", "CONTROLLER:PLAINTEXT,PLAINTEXT:SASL_PLAINTEXT",
"KAFKA_CFG_SASL_ENABLED_MECHANISMS", "SCRAM-SHA-256",
"KAFKA_CFG_LISTENER_NAME_PLAINTEXT_SASL_ENABLED_MECHANISMS", "SCRAM-SHA-256",
"KAFKA_CFG_LISTENER_NAME_PLAINTEXT_SCRAM-SHA-256_SASL_JAAS_CONFIG",
"org.apache.kafka.common.security.scram.ScramLoginModule required username='%s' password='%s';"
.formatted(AUTH_USERNAME, AUTH_PASSWORD)
);
// 在容器启动后执行
KAFKA_CONTAINER.execInContainer(
"/usr/bin/kafka-storage", "format", "-t", "$CLUSTER_ID",
"--config", "/etc/kafka/kraft/server.properties",
"--add-scram", "SCRAM-SHA-256=[name=%s,password=%s]".formatted(AUTH_USERNAME, AUTH_PASSWORD),
"--ignore-formatted"
);
总结
在Testcontainers-Java项目中配置Kafka容器认证时,需要特别注意Kafka的运行模式(Zookeeper或KRaft)以及对应版本的环境变量命名规范。正确的配置顺序应该是:先设置容器环境变量定义认证机制,然后启动容器,最后执行命令添加用户凭据。通过分步调试和简化配置,可以有效地解决认证配置问题。
- DDeepSeek-V3.1-BaseDeepSeek-V3.1 是一款支持思考模式与非思考模式的混合模型Python00
- QQwen-Image-Edit基于200亿参数Qwen-Image构建,Qwen-Image-Edit实现精准文本渲染与图像编辑,融合语义与外观控制能力Jinja00
GitCode-文心大模型-智源研究院AI应用开发大赛
GitCode&文心大模型&智源研究院强强联合,发起的AI应用开发大赛;总奖池8W,单人最高可得价值3W奖励。快来参加吧~044CommonUtilLibrary
快速开发工具类收集,史上最全的开发工具类,欢迎Follow、Fork、StarJava04GitCode百大开源项目
GitCode百大计划旨在表彰GitCode平台上积极推动项目社区化,拥有广泛影响力的G-Star项目,入选项目不仅代表了GitCode开源生态的蓬勃发展,也反映了当下开源行业的发展趋势。06GOT-OCR-2.0-hf
阶跃星辰StepFun推出的GOT-OCR-2.0-hf是一款强大的多语言OCR开源模型,支持从普通文档到复杂场景的文字识别。它能精准处理表格、图表、数学公式、几何图形甚至乐谱等特殊内容,输出结果可通过第三方工具渲染成多种格式。模型支持1024×1024高分辨率输入,具备多页批量处理、动态分块识别和交互式区域选择等创新功能,用户可通过坐标或颜色指定识别区域。基于Apache 2.0协议开源,提供Hugging Face演示和完整代码,适用于学术研究到工业应用的广泛场景,为OCR领域带来突破性解决方案。00openHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!C0300- WWan2.2-S2V-14B【Wan2.2 全新发布|更强画质,更快生成】新一代视频生成模型 Wan2.2,创新采用MoE架构,实现电影级美学与复杂运动控制,支持720P高清文本/图像生成视频,消费级显卡即可流畅运行,性能达业界领先水平Python00
- GGLM-4.5-AirGLM-4.5 系列模型是专为智能体设计的基础模型。GLM-4.5拥有 3550 亿总参数量,其中 320 亿活跃参数;GLM-4.5-Air采用更紧凑的设计,拥有 1060 亿总参数量,其中 120 亿活跃参数。GLM-4.5模型统一了推理、编码和智能体能力,以满足智能体应用的复杂需求Jinja00
Yi-Coder
Yi Coder 编程模型,小而强大的编程助手HTML013
热门内容推荐
最新内容推荐
项目优选









