Kafka开启SASL认证,认证很慢,需要20秒问题排查

已于 2024-04-17 09:28:31 修改
阅读量6.2k 收藏 15
点赞数 17
分类专栏: Kafka 中间件 文章标签: kafka
于 2022-04-07 17:23:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LuckFu/article/details/124020426
版权

问题现象

我们发现kafka生产环境。开启了SASL认证后,Kafka客户端访问Kafka Server,执行简单的Topic list命令,平均时间需要20秒左右。

直接连接Kafka集群里面的Zookeeper后,发现访问zookeeper也需要很久。

并且存在,有的节点访问很快,1秒就返回了。有的需要很慢,40秒左右。

又发现,只要kafka客户端和服务端是同一个网段的,就访问很快,秒级响应

如果客户端和kafka服务端在不同的网段,则需要20秒左右或者更久,或者直接超时了。

搜索引擎一搜,发现很多类似的问题,但是都没有给出解决方案,都说Kafka开启SASL认证后,

第一次连接都需要20秒左右。但是同网段的秒回,又怎么解释呢,说不通啊。

排查过程

抓包 

想看哪里耗时,直接使用tcpdump抓包看了。比对了同网段和不同网段的通信过程,发现都一样。

可以发现,在TCP握手成功后,要开始Kafka的认证过程时,这一步骤花费了20秒。

从网络通信判断确实是认证过程比较耗费时间。那具体是在哪一个过程耗费时间呢。

开启Kafka debug日志

想确认具体是哪里耗时,看日志嘛,方便后续定位源码。

可以看到从初始化连接到HANDSHAKE_OR_VERSION_REQUEST很慢。

不同网段的日志:

后面的报错,是因为命令执行结束了,客户端关闭了连接。

 同网段的日志。发现同一个处理流程,不到一秒就处理完了。

源码排查

看日志,耗时主要是在认证类中的实现 SaslServerAuthenticator

 看了请求状态,日志中出现的HAND_OR_VERSIONS_REQUEST是在INITIAL_REQUEST后面。

看源码,再请求转到这个HAND_OR_VERSIONS_REQUEST状态前,只有这一段才有可能造成了延时。毕竟涉及网络IO,需要读取数据。

 再往下深究

发现TransportLayer底层是用了InetAddressSocket创建Socket连接。

这个时候,就开始怀疑是不是DNS域名解析的问题,毕竟这个InetAddressSocket就是干这个的。

难道Kafka将IP地址当成了域名? 如果域名解析很慢,就造成了整体卡慢。

因为同网段不需要域名解析。不同网段才需要解析啊。

问题短暂解决(过了一天又出现问题)

修改Kafka配置,将暴露给外部访问的listener,改成域名的方式 

然后在客户端本机Host文件配置域名解析规则:

/etc/hosts

10.109.223.3 node3

然后再执行上述的命令,也可以达到秒级返回了。

如图,跨网段访问,10秒内返回了。(过了一天又出现卡慢了)

只需要在客户端本机配置HOST 

真正的问题

还是跟域名有关。Kafka客户端配置了域名解析服务器。所以客户端发出的请求,会先经过域名解析服务器。这就很耗费时间了。

最终查看 /etc/resolv.conf

确实配置了nameserver。

最终将nameserver都去掉,之前客户端配置的/etc/hosts 新添加的域名解析也去掉,问题最终解决。

search localdomain
nameserver 8.8.8.8
nameserver 114.114.114.114

Jeff Dauglas
关注
  • 17
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
KafKa 开启 SASL 验证
41981DC的博客
08-12 2749
kafka 配置 sasl 权限认证
Kafka开启SASL认证,访问速度很慢
javaMylife的博客
06-05 611
kafka集群开启sasl配置后,本地电脑使用kafkatools连接kafka集群速度非常非常,但是生产环境的kafkaconsumer却很快,而且不采用sasl模式也是很快的,最后在本地hosts添加kafka集群的域名配置,连接地址采用域名不使用Ip就可以了。
kafka 运行变可能原因
春风化雨
12-24 1357
1、cpu 性能瓶颈 2、磁盘读写瓶颈 3、网络带宽瓶颈
2024年最新Apache zookeeper kafka 开启SASL安全认证_kafka开启认证
最新发布
2401_84302369的博客
05-01 925
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。使用kafka-console-producer.sh脚本测试生产者,由于开启安全认证和授权,此时使用console-producer脚本来尝试发送消息,那么消息会发送失败,原因是没有指定合法的认证用户,因此客户端需要做相应的配置,需要创建一个名为producer.conf的配置文件给producer程序使用。
Kafka3.4 SASL/kerberos/ACL 证以及 SSL 加密连接
青冬的博客
08-07 2362
kafka sasl 搭建,以及 SSL 传输加密搭建,最新版本 kafka3.4 实操。 其他节点只需要安装执行
Apache zookeeper kafka 开启SASL安全认证 —— 筑梦之路
筑梦之路
08-23 4450
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展和具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用。Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
Kafka安全认证机制详解之SASL_PLAIN_kafka sasl认证
2401_84138803的博客
04-07 934
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Kafka在K8S中启动时间问题
DB29T的博客
11-16 2027
1、通过调整 num.recovery.threads.per.data.dir 进行集群恢复,最大速度取决于磁盘的速度。2、在没有特殊情况下,尽量正常关闭Kafka集群。直接关闭主机等非正常关闭,可能需要重新加载所有数据文件。3、可以通过增加 宽限时间terminationGracePeriodSeconds 和 prestop 来给Kafka足够的时间执行 shut-down-hook逻辑。
kafka问题:第一次消费数据巨或者org.apache.kafka.common.errors.TimeoutException: Failed to update metadata after
龙ygl龙的博客
12-26 2679
背景:在开发的过程中,当有大批量的数据进行同时处理的业务场景。为了保证系统的稳定性和防止数据丢失。我们需要使用消息队列,进行存储消息。这里kafka不失为一种最佳的选择。 这里特别提醒一句话,kafka的版本不对一切都是白费,会出现各种问题。 但是在使用kafka的过程中,我遇到了如下问题: 1、第一次消费数据是巨。大概需要40的时间才可以消费到。 2、当我清理了k...
kafka开启ACL,请求出现超时的解决办法
程序猿的樊笼
07-07 1278
正常情况下,使用某个kafka管理平台(或者是使用kafka提供的admin client)调用kafka的接口查询相关信息,比如查询topic列表,请求是很快的,如下:正常情况(网络也没问题),请求一般是很快的,如果通过一些管理平台,页面显示也是很流畅的。目前有几次遇到请求特别,接近10甚至数十的情况,一些管理平台就可能出现超时现象或者查询的特别。我目前遇到2次,说明如下:环境信息如下:当时在公司的时候是没有问题的,回家的时候因为要开启VPN就会出现这个问题,管理平台页面特别,甚至查询不出来。环
启动延时缩短 50%-80%,kafka详细教程
m0_54852680的博客
12-15 1143
镜像加速可以通过控制台、CLI 工具或是 FC SDK 开启,详细步骤参考镜像拉取加速文档。 方式一:在函数计算控制台函数配置下选择“开启镜像加速”。 方式二:使用 Funcraft 工具部署。 在已有的 CustomContainerConfig 配置下添加 AccelerationType: Default 如需关闭则配置 AccelerationType: CustomContainerConfig: Image: registry-vpc.cn-beijing.aliyuncs.com/f
kafka使用笔记-librdkafka支持sasl认证-附件资源
03-02
kafka使用笔记-librdkafka支持sasl认证-附件资源
使用sasl的kafka集群的搭建使用
03-15
搭建基于sasl的安全认证kafka集群,并配置acl,使用户能分权分域接受发送消息
KAFKA权限配置SASL/PLAIN身份验证
01-07
zookeeper集群SASL认证&KAFKA权限配置SASL/PLAIN身份验证 配置环境 JKD: 1.8 Kafka: 2.3.0 Zookeeper: 3.4.14 服务器名 kafka内网IP:PORT kafka外网IP:PORT zookeeper内网IP:PORT KAFKA01 192.168.1.157:...
Kafka安全认证机制详解之SASL_PLAIN_kafka sasl认证2024年最新2024疫情期间八家大厂的网络安全面试经历和真题整理
2301_78416732的博客
04-13 581
【代码】Kafka安全认证机制详解之SASL_PLAIN_kafka sasl认证2024年最新2024疫情期间八家大厂的网络安全面试经历和真题整理。
k8s之kafka集群重启耗时太长问题
weixin_42566359的博客
10-09 1686
k8s之kafka集群重启耗时太长问题
C++-基础(2)
2401_84253132的博客
04-26 220
C++14:C++14 标准于 2014 年发布,是对 C++11 的一些小的改进和修订,没有引入大规模的新功能,但对现有功能做了一些优化和改进。​C++17:C++17 标准于 2017 年发布,引入了一些新特性和改进,如结构化绑定、折叠表达式、并行算法、文件系统库等,进一步提高了 C++ 的现代化程度。​C++20:C++202020 年发布。它引入了许多新特性,包括概念、范围 for 循环、三向比较运算符、协程、模块化等,进一步丰富了 C++ 语言的功能。​。
Apache zookeeper kafka 开启SASL安全认证
heming20122012的专栏
03-13 1399
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展和具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用。Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
kafka 集群sasl认证
weixin_42490799的博客
02-19 526
kafka 集群sasl认证
kafka开启SASL认证配置
05-27
要在Kafka开启SASL认证需要进行以下步骤: 1. 在Kafka的配置文件server.properties中,启用SASL认证: ``` listeners=SASL_PLAINTEXT://localhost:9092 sasl.enabled.mechanisms=PLAIN sasl.mechanism.inter.broker.protocol=PLAIN security.inter.broker.protocol=SASL_PLAINTEXT ``` 2. 创建一个Kafka的JAAS配置文件,用于指定SASL认证的用户和密码: ``` KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="kafka" password="kafka-secret" user_kafka="kafka-secret"; }; ``` 3. 在启动Kafka时,指定JAAS配置文件的路径: ``` export KAFKA_OPTS="-Djava.security.auth.login.config=/path/to/kafka_jaas.conf" ``` 以上是启用SASL认证的基本步骤,需要根据实际情况进行调整。同时,还需要Kafka的客户端配置文件中,指定SASL认证的相关参数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值