Come faccio a risolvere i problemi durante la connessione al mio cluster Amazon MSK?

14 minuti di lettura

Riscontro problemi quando provo a connettermi al mio cluster Amazon Managed Streaming for Apache Kafka (Amazon MSK).

Risoluzione

Quando provi a connetterti a un cluster Amazon MSK, potresti ricevere i seguenti tipi di errori:

Errori non specifici del tipo di autenticazione del cluster
Errori specifici dell'autenticazione del client TLS
Errori specifici dell'autenticazione del client AWS Identity and Access Management (IAM)
Errori specifici dell'autenticazione client SASL/SCARM (Simple Authentication and Security Layer/Salted Challenge Response Mechanism)

Errori non correlati a un tipo di autenticazione specifico

Quando provi a connetterti al tuo cluster Amazon MSK, potresti ricevere uno dei seguenti errori indipendentemente dal tipo di autenticazione abilitato per il tuo cluster.

Errore java.lang.OutOfMemory: Spazio heap Java

Viene visualizzato questo errore quando non si menziona il file delle proprietà del client quando si esegue un comando per le operazioni del cluster utilizzando qualsiasi tipo di autenticazione:

Ad esempio, si ottiene l'OutOfMemoryError quando si esegue il seguente comando con la porta di autenticazione IAM:

./kafka-topics.sh --create --bootstrap-server $BOOTSTRAP:9098 --replication-factor 3 --partitions 1 --topic TestTopic

Tuttavia, il comando seguente viene eseguito correttamente quando viene eseguito con la porta di autenticazione IAM:

./kafka-topics.sh --create --bootstrap-server $BOOTSTRAP:9098  --command-config client.properties --replication-factor 3 --partitions 1 --topic TestTopic

Per risolvere questo errore, assicurati di includere le proprietà appropriate in base al tipo di autenticazione nel file client.properties.

org.apache.kafka.common.errors.timeout Exception: Scaduto in attesa dell'assegnazione di un nodo. Chiamata: CreateTopics

Questo errore si verifica in genere quando si verifica un'errata configurazione di rete tra l'applicazione client e Amazon MSK Cluster.

Per risolvere questo problema, controlla la connettività di rete eseguendo il seguente test di connettività.

Esegui il comando dal computer client.

telnet bootstrap-broker port-number

Assicurati di fare quanto segue:

Sostituisci bootstrap-broker con uno degli indirizzi del broker del tuo cluster Amazon MSK.
Sostituisci il numero di porta con il valore di porta appropriato in base all'autenticazione attivata per il tuo cluster.

Se la macchina client è in grado di accedere ai broker, non ci sono problemi di connettività. In caso contrario, verifica la connettività di rete, in particolare le regole in entrata e in uscita per il gruppo di sicurezza.

org.apache.kafka.common.errors.TopicAuthorizationException: Non autorizzato ad accedere agli argomenti: \ [test\ _topic]

Questo errore viene visualizzato quando si utilizza l'autenticazione IAM e la politica di accesso blocca le operazioni sugli argomenti, come WriteData e ReadData.

Tieni presente che i limiti delle autorizzazioni e le politiche di controllo del servizio bloccano anche i tentativi degli utenti di connettersi al cluster senza l'autorizzazione richiesta.

Se utilizzi l'autenticazione non IAM, controlla se hai aggiunto elenchi di controllo degli accessi (ACL) a livello di argomento che bloccano le operazioni.

Esegui il comando seguente per elencare gli ACL applicati a un argomento:

bin/kafka-acls.sh --bootstrap-server $BOOTSTRAP:PORT --command-config adminclient-configs.conf –-list –-topic testtopic

Connessione al nodo -1 (b-1-testcluster.abc123.c7. kafka.us-east-1.amazonaws.com /3.11.111.123:9098) non riuscita a causa di: Il meccanismo SASL del client 'SCRAM-SHA-512' non è abilitato nel server, i meccanismi abilitati sono\ [AWS\ _MSK\ _IAM]

-oppure-

Connessione al nodo -1 (b-1-testcluster.abc123.c7. kafka.us-east-1.amazonaws.com /3.11.111.123:9096) non riuscita a causa di: Il meccanismo SASL del client "AWS\ _MSK\ _IAM" non è abilitato nel server, i meccanismi abilitati sono\ [SCRAM-SHA-512]

Questi errori vengono visualizzati quando si utilizza un numero di porta che non corrisponde al meccanismo o al protocollo SASL nel file delle proprietà del client. Questo è il file delle proprietà utilizzato nel comando per eseguire le operazioni del cluster.

Per comunicare con i broker in un cluster configurato per utilizzare SASL/SCRAM, utilizza le seguenti porte: 9096 per l'accesso da AWS e 9196 per l'accesso pubblico
Per comunicare con i broker in un cluster configurato per utilizzare il controllo degli accessi IAM, utilizza le seguenti porte: 9098 per l'accesso da AWS e 9198 per l'accesso pubblico

Scaduto in attesa della connessione mentre è in stato: COLLEGAMENTO

Potresti ricevere questo errore quando il client tenta di connettersi al cluster tramite la stringa Apache ZooKeeper e la connessione non può essere stabilita. Questo errore può verificarsi anche quando la stringa di Apache ZooKeeper è errata.

Quando si utilizza la stringa non corretta di Apache ZooKeeper per connettersi al cluster, si ottiene il seguente errore:

./kafka-topics.sh --zookeeper z-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:2181,z-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:2181,z-3.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:2181 --list
[2020-04-10 23:58:47,963] WARN Client session timed out, have not heard from server in 10756ms for sessionid 0x0 (org.apache.zookeeper.ClientCnxn)
[2020-04-10 23:58:58,581] WARN Client session timed out, have not heard from server in 10508ms for sessionid 0x0 (org.apache.zookeeper.ClientCnxn)
[2020-04-10 23:59:08,689] WARN Client session timed out, have not heard from server in 10004ms for sessionid 0x0 (org.apache.zookeeper.ClientCnxn)
Exception in thread "main" kafka.zookeeper.ZooKeeperClientTimeoutException: Timed out waiting for connection while in state: CONNECTING
at kafka.zookeeper.ZooKeeperClient.$anonfun$waitUntilConnected$3(ZooKeeperClient.scala:259)
at scala.runtime.java8.JFunction0$mcV$sp.apply(JFunction0$mcV$sp.java:23)
at kafka.utils.CoreUtils$.inLock(CoreUtils.scala:253)
at kafka.zookeeper.ZooKeeperClient.waitUntilConnected(ZooKeeperClient.scala:255)
at kafka.zookeeper.ZooKeeperClient.<init>(ZooKeeperClient.scala:113)
at kafka.zk.KafkaZkClient$.apply(KafkaZkClient.scala:1858)
at kafka.admin.TopicCommand$ZookeeperTopicService$.apply(TopicCommand.scala:321)
at kafka.admin.TopicCommand$.main(TopicCommand.scala:54)
at kafka.admin.TopicCommand.main(TopicCommand.scala)

Per risolvere questo errore, procedi come segue:

Verifica che la stringa Apache ZooKeeper utilizzata sia corretta.
Assicurati che il gruppo di sicurezza per il tuo cluster Amazon MSK consenta il traffico in entrata dal gruppo di sicurezza del client sulle porte di Apache ZooKeeper.

Argomento 'topicName' non presente nei metadati dopo 60000 ms o Connessione al nodo -<node-id> (<broker-host>/<broker-ip>:<port>) non può essere stabilito. Il broker potrebbe non essere disponibile. (org.apache.kafka.clients.client di rete)

Potresti ricevere questo errore in una delle seguenti condizioni:

Il produttore o il consumatore non è in grado di connettersi all'host e alla porta del broker.
La stringa del broker non è valida.

Se ricevi questo errore anche se la connettività del client o del broker funzionava inizialmente, il broker potrebbe non funzionare.

Quando si tenta di accedere al cluster dall'esterno del cloud privato virtuale (VPC) utilizzando la stringa broker per la produzione di dati, viene visualizzato il seguente errore:

./kafka-console-producer.sh --broker-list b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9092,b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9092 --topic test
[2020-04-10 23:51:57,668] ERROR Error when sending message to topic test with key: null, value: 1 bytes with error: (org.apache.kafka.clients.producer.internals.ErrorLoggingCallback)
org.apache.kafka.common.errors.TimeoutException: Topic test not present in metadata after 60000 ms.

Viene visualizzato il seguente errore quando si tenta di accedere al cluster dall'esterno del VPC per il consumo di dati utilizzando la stringa del broker:

./kafka-console-consumer.sh --bootstrap-server b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9092,b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9092 --topic test
[2020-04-11 00:03:21,157] WARN [Consumer clientId=consumer-console-consumer-88994-1, groupId=console-consumer-88994] Connection to node -1 (b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com/172.31.6.19:9092) could not be established. Broker may not
be available. (org.apache.kafka.clients.NetworkClient)
[2020-04-11 00:04:36,818] WARN [Consumer clientId=consumer-console-consumer-88994-1, groupId=console-consumer-88994] Connection to node -2 (b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com/172.31.44.252:9092) could not be established. Broker may
not be available. (org.apache.kafka.clients.NetworkClient)
[2020-04-11 00:05:53,228] WARN [Consumer clientId=consumer-console-consumer-88994-1, groupId=console-consumer-88994] Connection to node -1 (b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com/172.31.6.19:9092) could not be established. Broker may not be available. (org.apache.kafka.clients.NetworkClient)

Per risolvere questi errori, procedi come segue:

Assicurati che vengano utilizzate la stringa e la porta del broker corrette.
Se l'errore è causato dall'inattività del broker, controlla la metrica di Amazon CloudWatch ActiveControllerCount per verificare che il controller sia stato attivo per tutto il periodo. Il valore di questa metrica deve essere 1. Qualsiasi altro valore potrebbe indicare che uno dei broker del cluster non è disponibile. Inoltre, controlla la metrica ZookeeperSessionState per confermare che i broker comunicavano costantemente con i nodi Apache ZooKeeper. Per capire perché il broker ha fallito, visualizza la metrica KafkaCatalogsDiskUsed e controlla se il ](https://docs.aws.amazon.com/msk/latest/developerguide/bestpractices.html#bestpractices-monitor-disk-space)broker ha esaurito lo spazio di archiviazione[. Per ulteriori informazioni sui parametri di Amazon MSK e sui valori previsti, consulta i parametri di Amazon MSK per il monitoraggio con CloudWatch.
Assicurati che l'errore non sia causato dalla configurazione di rete. Le risorse Amazon MSK vengono fornite all'interno del VPC. Pertanto, per impostazione predefinita, i client devono connettersi al cluster Amazon MSK o produrre e utilizzare dal cluster su una rete privata nello stesso VPC. Se accedi al cluster dall'esterno del VPC, potresti ricevere questi errori. Per informazioni sulla risoluzione degli errori quando il client si trova nello stesso VPC del cluster, consulta Impossibile accedere al cluster da dentro AWS: problemi di rete. Per informazioni sull'accesso al cluster dall'esterno del cloud privato virtuale, vedi Come faccio a connettermi al mio cluster Amazon MSK all'esterno del cloud privato virtuale?

Errori specifici dell'autenticazione del client TLS

Potresti ricevere i seguenti errori quando provi a connetterti a quel cluster in cui è abilitata l'autenticazione del client TLS. Questi errori potrebbero essere causati da problemi con la configurazione relativa a SSL.

Broker Bootstrap <broker-host>:9094 (id: -<broker-id> rack: null) disconnesso

Potresti ricevere questo errore quando il produttore o il consumatore tenta di connettersi a un cluster crittografato con TLS tramite la porta TLS 9094 senza passare la configurazione SSL.

Potresti ricevere il seguente errore quando il produttore tenta di connettersi al cluster:

./kafka-console-producer.sh --broker-list b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094,b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 --topic test
[2020-04-10 18:57:58,019] WARN [Producer clientId=console-producer] Bootstrap broker b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 (id: -2 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)
[2020-04-10 18:57:58,342] WARN [Producer clientId=console-producer] Bootstrap broker b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 (id: -2 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)
[2020-04-10 18:57:58,666] WARN [Producer clientId=console-producer] Bootstrap broker b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)

Potresti ricevere il seguente errore quando il consumatore tenta di connettersi al cluster:

./kafka-console-consumer.sh --bootstrap-server b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094,b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 --topic test
[2020-04-10 19:09:03,277] WARN [Consumer clientId=consumer-console-consumer-79102-1, groupId=console-consumer-79102] Bootstrap broker b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)
[2020-04-10 19:09:03,596] WARN [Consumer clientId=consumer-console-consumer-79102-1, groupId=console-consumer-79102] Bootstrap broker b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 (id: -1 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)
[2020-04-10 19:09:03,918] WARN [Consumer clientId=consumer-console-consumer-79102-1, groupId=console-consumer-79102] Bootstrap broker b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 (id: -2 rack: null) disconnected (org.apache.kafka.clients.NetworkClient)

Per risolvere questo errore, configura la configurazione SSL. Per ulteriori informazioni, vedi Come iniziare a usare la crittografia?

Se l'autenticazione client è abilitata per il tuo cluster, devi aggiungere parametri aggiuntivi relativi al tuo certificato ACM Private CA. Per ulteriori informazioni, vedere Autenticazione TLS reciproca.

ERRORE Impossibile ottenere l'ora di modifica dell'archivio delle chiavi: <configure-path-to-truststore>

-oppure-

Caricamento del keystore non riuscito

Se c'è un problema con la configurazione del truststore, questo errore può verificarsi quando i file truststore vengono caricati per il produttore e il consumatore. È possibile visualizzare informazioni simili alle seguenti nei registri:

./kafka-console-consumer --bootstrap-server b-2.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094,b-1.encryption.3a3zuy.c7.kafka.us-east-1.amazonaws.com:9094 --topic test --consumer.config /home/ec2-user/ssl.config
[2020-04-11 10:39:12,194] ERROR Modification time of key store could not be obtained: /home/ec2-ser/certs/kafka.client.truststore.jks (org.apache.kafka.common.security.ssl.SslEngineBuilder)
java.nio.file.NoSuchFileException: /home/ec2-ser/certs/kafka.client.truststore.jks
[2020-04-11 10:39:12,253] ERROR Unknown error when running consumer: (kafka.tools.ConsoleConsumer$)
Caused by: org.apache.kafka.common.KafkaException: org.apache.kafka.common.KafkaException: org.apache.kafka.common.KafkaException: Failed to load SSL keystore /home/ec2-ser/certs/kafka.client.truststore.jks of type JKS

In questo caso, i log indicano un problema con il caricamento del file truststore. Il percorso del file truststore è configurato erroneamente nella configurazione SSL. Puoi risolvere questo errore fornendo il percorso corretto per il file truststore nella configurazione SSL.

Questo errore può verificarsi anche a causa delle seguenti condizioni:

Il tuo file truststore o key store è danneggiato.
La password del file truststore non è corretta.

Errore durante l'invio del messaggio al topic test con key: null, value: 0 byte con errore: (org.apache.kafka.clients.producer.internals.errorLoggingCallback)

org.apache.kafka.common.errors.SSL Authentication Exception: Handshake SSL non riuscito

-oppure-

Connessione al nodo -<broker-id> (<broker-hostname>/<broker-hostname>:9094) autenticazione non riuscita a causa di: Handshake SSL non riuscito (org.apache.kafka.clients.NetworkClient)

Potresti ricevere il seguente errore quando si verifica un problema con la configurazione dell'archivio chiavi del produttore che causa l'errore di autenticazione:

./kafka-console-producer --broker-list b-2.tlscluster.5818ll.c7.kafka.us-east-1.amazonaws.com:9094,b-1.tlscluster.5818ll.c7.kafka.us-east-1.amazonaws.com:9094,b-4.tlscluster.5818ll.c7.kafka.us-east-1.amazonaws.com:9094 --topic example --producer.config/home/ec2-user/ssl.config
[2020-04-11 11:13:19,286] ERROR [Producer clientId=console-producer] Connection to node -3 (b-4.tlscluster.5818ll.c7.kafka.us-east-1.amazonaws.com/172.31.6.195:9094) failed authentication due to: SSL handshake failed (org.apache.kafka.clients.NetworkClient)

È possibile che venga visualizzato il seguente errore quando si verifica un problema con la configurazione dell'archivio chiavi del consumatore che causa un errore di autenticazione:

./kafka-console-consumer --bootstrap-server b-2.tlscluster.5818ll.c7.kafka.us-east-1.amazonaws.com:9094,b-1.tlscluster.5818ll.c7.kafka.us-east-1.amazonaws.com:9094,b-4.tlscluster.5818ll.c7.kafka.us-east-1.amazonaws.com:9094 --topic example --consumer.config/home/ec2-user/ssl.config
[2020-04-11 11:14:46,958] ERROR [Consumer clientId=consumer-1, groupId=console-consumer-46876] Connection to node -1 (b-2.tlscluster.5818ll.c7.kafka.us-east-1.amazonaws.com/172.31.15.140:9094) failed authentication due to: SSL handshake failed (org.apache.kafka.clients.NetworkClient)
[2020-04-11 11:14:46,961] ERROR Error processing message, terminating consumer process: (kafka.tools.ConsoleConsumer$)
org.apache.kafka.common.errors.SslAuthenticationException: SSL handshake failed

Per risolvere questo errore, assicurati di aver configurato correttamente la configurazione relativa all'archivio chiavi.

java.io.IOException: la password del keystore non era corretta

Potresti ricevere questo errore quando la password per l'archivio chiavi o il truststore non è corretta.

Per risolvere questo errore, procedi come segue:

Verifica se la password del key store o del truststore è corretta eseguendo il seguente comando:

keytool -list -keystore kafka.client.keystore.jks
Enter keystore password:
Keystore type: PKCS12
Keystore provider: SUN
Your keystore contains 1 entry
schema-reg, Jan 15, 2020, PrivateKeyEntry,
Certificate fingerprint (SHA1): 4A:F3:2C:6A:5D:50:87:3A:37:6C:94:5E:05:22:5A:1A:D5:8B:95:ED

Se la password per l'archivio chiavi o il truststore non è corretta, potresti visualizzare il seguente errore:

keytool -list -keystore kafka.client.keystore.jks
Enter keystore password:
keytool error: java.io.IOException: keystore password was incorrect

Puoi visualizzare l'output dettagliato del comando precedente aggiungendo il flag**-v**:

keytool -list -v -keystore kafka.client.keystore.jks

Puoi anche usare questi comandi per verificare se l'archivio chiavi è danneggiato.

Potresti ricevere questo errore anche quando la chiave segreta associata all'alias non è configurata correttamente nella configurazione SSL del produttore e del consumatore. Per verificare questa causa principale, esegui il seguente comando:

keytool -keypasswd -alias schema-reg -keystore kafka.client.keystore.jks
Enter keystore password:
Enter key password for <schema-reg>
New key password for <schema-reg>:
Re-enter new key password for <schema-reg>:

Se la tua password per il segreto dell'alias (esempio: schema-reg) è corretta, il comando ti chiede di inserire una nuova password per l'altra chiave segreta. In caso contrario, il comando fallisce con il seguente messaggio:

keytool -keypasswd -alias schema-reg -keystore kafka.client.keystore.jks
Enter keystore password:
Enter key password for <schema-reg>
keytool error: java.security.UnrecoverableKeyException: Get Key failed: Given final block not properly padded. Such issues can arise if a bad key is used during decryption.

Puoi anche verificare se un particolare alias fa parte dell'archivio chiavi eseguendo il seguente comando:

keytool -list -keystore kafka.client.keystore.jks -alias schema-reg
Enter keystore password:
schema-reg, Jan 15, 2020, PrivateKeyEntry,
Certificate fingerprint (SHA1): 4A:F3:2C:6A:5D:50:87:3A:37:6C:94:5E:05:22:5A:1A:D5:8B:95:ED

Errori specifici dell'autenticazione del client IAM

Connessione al nodo -1 (b-1.testcluster.abc123.c2. kafka.us-east-1.amazonaws.com /10.11.111.123:9098) non riuscita a causa di: Accesso negato

-oppure-

Eccezione di autenticazione SASL org.apache.kafka.common.errors.sasl: Accesso negato

Assicurati che il ruolo IAM che accede al cluster Amazon MSK consenta le operazioni del cluster come indicato nel controllo degli accessi IAM.

Oltre alle politiche di accesso, i limiti delle autorizzazioni e le politiche di controllo del servizio bloccano l'utente che tenta di connettersi al cluster, ma non riesce a trasmettere l'autorizzazione richiesta.

Eccezione di autenticazione SASL org.apache.kafka.common.errors.sasl: Troppe connessioni

-oppure-

Eccezione di autenticazione SASL org.apache.kafka.common.errors.sasl: Errore interno

Questi errori vengono visualizzati quando il cluster è in esecuzione su un tipo di broker kafka.t3.small con controllo degli accessi IAM e hai superato il limite di connessione. Il tipo di istanza kafka.t3.small accetta solo una connessione TCP per broker al secondo. Quando questo limite di connessione viene superato, il test di creazione fallisce e viene visualizzato questo errore, che indica credenziali non valide. Per ulteriori informazioni, consulta Come funziona Amazon MSK con IAM.

Per risolvere questo errore, considera di fare quanto segue:

Nella configurazione di Amazon MSK Connect worker, aggiorna i valori per reconnect.backoff.ms e reconnect.backoff.max.ms a 1000 o superiore.
Esegui l'upgrade a un tipo di istanza broker più grande (come kafka.m5.large o superiore). Per ulteriori informazioni, consulta Tipi di broker e Dimensione corretta del cluster: Numero di partizioni per broker.

Errori specifici dell'autenticazione del client SASL/SCRAM

Connessione al nodo -1 (b-3.testcluster.abc123.c2.kafka.us-east-1.amazonaws.com/10.11.111.123:9096) non riuscita a causa di: Autenticazione non riuscita durante l'autenticazione a causa di credenziali non valide con meccanismo SASL SCRAM-SHA-512

Assicurati di aver archiviato le credenziali utente in AWS Secrets Manager e di averle associate al cluster Amazon MSK.
Quando accedi al cluster tramite 9096 porte, assicurati che l'utente e la password utilizzati in AWS Secrets Manager siano gli stessi delle proprietà del client.
Quando provi a recuperare i segreti utilizzando l'API get-secret-value, assicurati che la password utilizzata in AWS Secrets Manager non contenga caratteri speciali, come (/]).

org.apache.kafka.common.errors.ClusterAuthorizationException: Richiesta di richiesta (processor=11, connectionID=internal\ _IP-INTERNAL\ _IP-0, session=sessione (utente:anonimo, /INTERNAL\ _IP), listenerName=listenerName (REPLICATION\ _SECURE), securityProtocol=SSL, buffer=null) non è autorizzata

Questo errore viene visualizzato quando sono soddisfatte entrambe le condizioni seguenti:

Hai attivato l'autenticazione SASL/SCRAM per il tuo cluster Amazon MSK.
Hai impostato resourceType=Cluster e operation=Cluster\ _ACTION negli ACL del tuo cluster.

Il cluster Amazon MSK non supporta questa impostazione perché impedisce la replica interna di Apache Kafka. Con questa impostazione, l'identità dei broker appare come ANONIMA per le comunicazioni tra broker. Se è necessario che il cluster supporti questi ACL durante l'utilizzo dell'autenticazione SASL/SCRAM, è necessario concedere le autorizzazioni per TUTTE le operazioni all'utente ANONIMO. Ciò impedisce la limitazione della replica tra i broker.

Esegui il seguente comando per concedere questa autorizzazione all'utente ANONIMO:

./kafka-acls.sh --authorizer-properties
zookeeper.connect=example-ZookeeperConnectString --add --allow-principal
User:ANONYMOUS --operation ALL --cluster

Informazioni correlate

Connessione a un cluster Amazon MSK

Come faccio a risolvere i problemi più comuni quando utilizzo il mio cluster Amazon MSK con autenticazione SASL/SCRAM?

Argomenti

Analisi

Tag

Amazon Managed Streaming for Apache Kafka (Amazon MSK)

Lingua

Italiano

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

Come faccio a trasferire dati tra cluster Amazon MSK in account diversi con MirrorMaker 2 in esecuzione su MSK Connect?
AWS UFFICIALEAggiornata un anno fa
Come posso risolvere i problemi relativi ai trigger Lambda che eseguono il polling da MSK e dai cluster Kafka autogestiti?
AWS UFFICIALEAggiornata un anno fa
Come posso risolvere i problemi più comuni quando utilizzo il mio cluster Amazon MSK con autenticazione SASL/SCRAM?
AWS UFFICIALEAggiornata 2 anni fa
Come faccio a risolvere i problemi quando aggiorno il mio cluster Amazon MSK?
AWS UFFICIALEAggiornata un anno fa