Confluent Schema Registry 中配置 JAAS 认证文件的正确方式

在使用 Confluent Schema Registry 时，很多开发者会遇到如何正确配置 JAAS 认证文件的问题。本文将详细介绍在 Docker 环境中为 Schema Registry 配置 JAAS 认证的最佳实践。

常见配置误区

许多开发者会尝试使用 KAFKA_OPTS 或 SCHEMA_REGISTRY_KAFKA_OPTS 环境变量来指定 JAAS 配置文件路径，这是不正确的。Schema Registry 有自己特定的 JVM 参数配置方式。

正确的配置方式

在 Schema Registry 容器中，应该使用 SCHEMA_REGISTRY_OPTS 环境变量来传递 JVM 参数。这个变量专门用于 Schema Registry 服务的 JVM 配置。

正确的配置示例如下：

environment:
  SCHEMA_REGISTRY_OPTS: '-Djava.security.auth.login.config=/opt/kafka/config/server-jaas.conf'

为什么这样配置？

Schema Registry 是基于 Java 开发的独立服务，它有自己的启动脚本 schema-registry-run-class。这个脚本专门处理以 SCHEMA_REGISTRY_OPTS 开头的 JVM 参数，而不会处理通用的 KAFKA_OPTS。

替代方案

除了使用 SCHEMA_REGISTRY_OPTS 外，还可以考虑使用 JAVA_TOOL_OPTIONS。这是一个被大多数 JVM 实现支持的通用环境变量，可以用来传递 JVM 参数：

environment:
  JAVA_TOOL_OPTIONS: '-Djava.security.auth.login.config=/opt/kafka/config/server-jaas.conf'

完整配置示例

以下是一个完整的 Docker Compose 配置示例，展示了如何为 Schema Registry 正确配置 JAAS 认证：

schema-registry:
  image: confluentinc/cp-schema-registry:7.7.0
  environment:
    SCHEMA_REGISTRY_HOST_NAME: schema-registry
    SCHEMA_REGISTRY_KAFKASTORE_BOOTSTRAP_SERVERS: 'broker:29092'
    SCHEMA_REGISTRY_LISTENERS: http://0.0.0.0:8081
    SCHEMA_REGISTRY_OPTS: '-Djava.security.auth.login.config=/opt/kafka/config/server-jaas.conf'
  volumes:
    - /opt/kafka/config/server-jaas.conf:/opt/kafka/config/server-jaas.conf

总结

在配置 Confluent Schema Registry 的 JAAS 认证时，务必使用 SCHEMA_REGISTRY_OPTS 环境变量来指定 JAAS 配置文件路径。这是 Schema Registry 服务专门设计的配置方式，能够确保 JVM 参数被正确识别和应用。理解这一点可以帮助开发者避免常见的配置错误，确保 Kafka 生态系统中各组件能够安全地协同工作。