本文整理下hdp中开启了kerberos后在storm中访问的kafka所遇到的问题。
测试使用的环境为： hdp2.6.0.3 storm 1.1.0, kafka 0.10.1 ,前置条件是开启了kerberos

1 环境准备

集群开启kerberos后，创建kafka topic，注意需要kinit 所需用户的keytab 比如：
klist -k /etc/security/keytabs/storm.headless.keytab ocdp-clusteraa@ASIAINFO.COM
./kafka-topics.sh --create --topic inputTopicStorm  --zookeeper host-10-1-236-128:2181 --partitions 3 --replication-factor 1
./kafka-topics.sh --create --topic outputTopicStorm  --zookeeper host-10-1-236-128:2181 --partitions 3 --replication-factor 1

创建完topic后，进行一些简单的kafka数据读写测试，向对应的topic中写入数据，命令行是否可以读取成功：

./kafka-console-producer.sh  --topic inputTopicStorm --broker-list host-10-1-236-128:6667 --security-protocol PLAINTEXTSASL

./kafka-console-consumer.sh --new-consumer --topic inputTopicStorm --bootstrap-server host-10-1-236-128:6667 --security-protocol PLAINTEXTSASL --from-beginning

上述命令如果可以正常执行，说明kerberos环境正常。如果遇到权限问题，见文末的kafka权限命令。

2 storm kafka 测试代码

注意支持kerberos的api 最低从kafka0.9开始，需要用新的API，需要传递的参数如下：

 Properties props = new Properties();
        props.put("bootstrap.servers", "host-10-1-236-128:6667,host-10-1-236-129:6667,host-10-1-236-130:6667");
        props.put("acks", "1");
        props.put("key.serializer", "org.apache.kafka.common.serialization.StringSerializer");
        props.put("value.serializer", "org.apache.kafka.common.serialization.StringSerializer");
        props.put("key.deserializer", "org.apache.kafka.common.serialization.StringDeserializer");
        props.put("value.deserializer", "org.apache.kafka.common.serialization.StringDeserializer");
        props.put("security.protocol", "SASL_PLAINTEXT");

        KafkaSpoutConfig<String, String> kafkaSpoutConfig = KafkaSpoutConfig
                .builder(props.getProperty("bootstrap.servers"), "foo")
                .setGroupId("KafkaStormGroupID")
                .setProp(props)
                .setRecordTranslator((r) -> new Values(r.topic(), r.key(), r.value()), new Fields("topic", "key", "message"))
                .build();

注意，根据kafka 0.10.2 的feature Dynamic JAAS configuration for Kafka clients jaas 配置文件的内容已经可以直接写在代码中了，参考原版本代码的实现 https://github.com/pvillard31/storm-kafka-kerberos
为了做到基础组件的透明，避免所有应用实现时都需要指定一遍kerberos的详细访问信息，这里还是采用了旧的方式，即ambari已经写入到了storm每个supervisor节点的/usr/hdp/current/storm-supervisor/conf/storm_jaas.conf文件中。正确的版本为：

KafkaClient {
   com.sun.security.auth.module.Krb5LoginModule required
   useKeyTab=true
   keyTab="/etc/security/keytabs/storm.headless.keytab"
   storeKey=true
   useTicketCache=false
   serviceName="ocdp"
   principal="ocdp-clusteraa@ASIAINFO.COM";
};

4 开源版本storm的配置

在开源版本中，缺少了ambari的角色，需要我们自己修改storm.yaml,加入以下配置：

java.security.auth.login.config : '/data/storm/apache-storm-1.1.1/conf/storm_jaas.conf'
worker.childopts : '-Djava.security.auth.login.config=/data/storm/apache-storm-1.1.1/conf/storm_jaas.conf'

这样worker中就会有java.security.auth.login.config

5 安全模式ZK问题：

注意如果需要连接安全模式ZK:
storm.yaml中需要加上
supervisor.childopts : '-Djava.security.auth.login.config=/data/storm/apache-storm-1.1.1/conf/storm_jaas.conf '
并且storm_jaas.conf中也需要加上zk的安全配置：
Client {
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
keyTab="/opt/apache-storm-1.1.1/conf/storm.headless.keytab"
storeKey=true
useTicketCache=false
serviceName="zookeeper"
principal="ocdp-clusteraa@ASIAINFO.COM";
};

6 kafka权限问题：

使得ocsp用户对topic的所有权限
./kafka-acls.sh --add --allow-principal user:ocsp --operation ALL --topic inputTopicStorm --authorizer-properties zookeeper.connect=host-10-1-236-128:2181
使得ocsp用户能够使用任意的groupID来消费所有的topic
./kafka-acls.sh --authorizer-properties zookeeper.connect=host-10-1-236-128:2181 --allow-principal user:ocsp --consumer --topic=* --group=* --add

7 常见错误：

1. javax.security.auth.login.LoginException: Could not login: the client is being asked for a password, but the Kafka client code does not currently support obtaining a password from the user. not available to garner authentication information from the user

该问题是jaas config 配置有误

2. 较低版本的HDP、kafka

如果在/usr/hdp/current/storm-supervisor/conf/storm_jaas.conf文件中没有KafkaClient字段，需要自行加入
详见： https://docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.4.2/bk_storm-user-guide/content/stormkafka-secure-config.html

3 Storm开启kerberos后 UI访问较为麻烦的问题

通过Ambari 创建一个 Storm View， 在新建的Storm View中就可以直接访问Storm UI了。
详见 https://docs.hortonworks.com/HDPDocuments/Ambari-2.4.0.0/bk_ambari-views/content/creating_the_storm_view_instance.html