KEDA中配置Kafka SASL_SSL认证的完整指南

2025-05-26 14:55:56作者：邓越浪Henry

前言

在使用KEDA进行Kafka消费者自动伸缩时，安全认证是一个关键环节。本文将详细介绍如何在KEDA中配置Kafka的SASL_SSL认证机制，确保您的应用能够安全地连接到Kafka集群。

认证机制概述

Kafka支持多种安全认证方式，其中SASL_SSL结合了SASL认证和SSL加密传输，是一种常用的安全方案。KEDA通过TriggerAuthentication资源与Kafka scaler配合，可以实现以下认证参数的配置：

SASL认证类型（plaintext, scram_sha256, scram_sha512等）
TLS/SSL加密传输
客户端证书认证
用户名密码认证

配置步骤详解

1. 创建认证密钥Secret

首先需要创建一个Kubernetes Secret来存储所有敏感认证信息：

apiVersion: v1
kind: Secret
metadata:
  name: keda-kafka-secrets
  namespace: your-namespace
data:
  cert: <base64编码的客户端证书>
  key: <base64编码的私钥>
  sasl: "cGxhaW50ZXh0"  # plaintext的base64编码
  username: <base64编码的用户名>
  password: <base64编码的密码>
  tls: "ZW5hYmxl"      # enable的base64编码

2. 配置TriggerAuthentication

接下来创建TriggerAuthentication资源引用这些Secret：

apiVersion: keda.sh/v1alpha1
kind: TriggerAuthentication
metadata:
  name: keda-kafka-auth
spec:
  secretTargetRef:
  - parameter: sasl
    name: keda-kafka-secrets
    key: sasl
  - parameter: username
    name: keda-kafka-secrets
    key: username
  - parameter: password
    name: keda-kafka-secrets
    key: password
  - parameter: tls
    name: keda-kafka-secrets
    key: tls
  - parameter: cert
    name: keda-kafka-secrets
    key: cert
  - parameter: key
    name: keda-kafka-secrets
    key: key

3. 配置ScaledObject

最后在ScaledObject中引用这个TriggerAuthentication：

apiVersion: keda.sh/v1alpha1
kind: ScaledObject
metadata:
  name: kafka-consumer-app
spec:
  scaleTargetRef:
    name: your-consumer-app
  triggers:
  - type: kafka
    metadata:
      bootstrapServers: "your-kafka-server:9093"
      consumerGroup: "your-consumer-group"
      topic: "your-topic"
      lagThreshold: "1"
    authenticationRef:
      name: keda-kafka-auth