Autenticação

O conector Databricks Kafka suporta múltiplos métodos de autenticação para conexão com o Kafka. Este artigo aborda alguns dos métodos de autenticação mais comuns no Databricks. A lista completa dos métodos de autenticação suportados pode ser encontrada na documentação do Kafka.

Conecte-se ao Amazon MSK com o IAM.

Você pode se conectar ao Amazon Gerenciamento de Transmissões para Kafka (MSK) a partir do Databricks usando autenticação baseada em IAM. Para obter instruções de configuração do MSK, consulte Configuração do Amazon MSK.

nota

As configurações a seguir são necessárias apenas se você estiver usando o IAM para se conectar ao MSK. Você também pode configurar conexões com o MSK usando as opções fornecidas pelo conector Apache Spark Kafka.

Conecte-se com as credenciais do serviço Unity Catalog.

Desde o lançamento do Databricks Runtime 16.1, Databricks oferece suporte a credenciais de serviço Unity Catalog para autenticar o acesso ao AWS Gerenciar Transmissões para Apache Kafka (MSK). Databricks recomenda essa abordagem, especialmente ao executar transmissões Kafka em clusters compartilhados ou compute serverless .

Para usar uma credencial de serviço Unity Catalog para autenticação, execute os seguintes passos:

• Crie uma nova credencial de serviço do Unity Catalog. Se você não estiver familiarizado com esse processo, consulte Criar credenciais de serviço para obter instruções.

  • Certifique-se de que a IAM role associada às suas credenciais de serviço tenha as permissões necessárias para se conectar ao seu cluster MSK.

• Forneça o nome da sua credencial de serviço do Unity Catalog como uma opção de origem na sua configuração do Kafka. Defina a opção databricks.serviceCredential com o nome da sua credencial de serviço.

Python

Python

kafka_options = {
  "kafka.bootstrap.servers": "<bootstrap-hostname>:9092",
  "subscribe": "<topic>",
  "databricks.serviceCredential": "<service-credential-name>",
}

df = spark.readStream.format("kafka").options(**kafka_options).load()

Scala

Scala

val kafkaOptions = Map(
  "kafka.bootstrap.servers" -> "<bootstrap-hostname>:9092",
  "subscribe" -> "<topic>",
  "databricks.serviceCredential" -> "<service-credential-name>",
)

val df = spark.readStream.format("kafka").options(kafkaOptions).load()

SQL

SQL

SELECT * FROM read_kafka(
  bootstrapServers => '<bootstrap-hostname>:9092',
  subscribe => '<topic>',
  serviceCredential => '<service-credential-name>'
);

Observação : ao usar uma credencial de serviço do Unity Catalog para se conectar ao Kafka, as seguintes opções não serão mais necessárias:

• kafka.sasl.mechanism
• kafka.sasl.jaas.config
• kafka.security.protocol
• kafka.sasl.client.callback.handler.class

Conectar com o perfil da instância

Você pode usar um instance profile para autenticar em clusters Amazon MSK que tenham a autenticação IAM habilitada. Para obter mais informações sobre como configurar o perfil da instância, consulte Perfil da instância.

Para conectar-se ao MSK usando um instance profile, configure as seguintes opções:

Python

Python

"kafka.sasl.mechanism": "AWS_MSK_IAM",
"kafka.sasl.jaas.config":
  "shadedmskiam.software.amazon.msk.auth.iam.IAMLoginModule required;",
"kafka.security.protocol": "SASL_SSL",
"kafka.sasl.client.callback.handler.class":
  "shadedmskiam.software.amazon.msk.auth.iam.IAMClientCallbackHandler"

Scala

Scala

"kafka.sasl.mechanism" -> "AWS_MSK_IAM",
"kafka.sasl.jaas.config" ->
  "shadedmskiam.software.amazon.msk.auth.iam.IAMLoginModule required;",
"kafka.security.protocol" -> "SASL_SSL",
"kafka.sasl.client.callback.handler.class" ->
  "shadedmskiam.software.amazon.msk.auth.iam.IAMClientCallbackHandler"

Conectar-se com usuários/funções do IAM

Opcionalmente, você pode configurar sua conexão com o MSK usando um usuário ou IAM role IAM vez de um instance profile. Para fazer isso, você deve fornecer valores para sua key de acesso AWS e chave secreta usando as variáveis de ambiente AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY. Consulte Usar um segredo em uma propriedade de configuração ou variável de ambiente do Spark.

Além disso, se você optar por configurar sua conexão usando uma IAM role, você deve modificar o valor fornecido para kafka.sasl.jaas.config para incluir o ARN da função, como no exemplo a seguir.

Python

Python

"kafka.sasl.mechanism": "AWS_MSK_IAM",
"kafka.sasl.jaas.config":
  "shadedmskiam.software.amazon.msk.auth.iam.IAMLoginModule required awsRoleArn='arn:aws:iam::123456789012:role/msk_client_role'",
"kafka.security.protocol": "SASL_SSL",
"kafka.sasl.client.callback.handler.class":
  "shadedmskiam.software.amazon.msk.auth.iam.IAMClientCallbackHandler"

Scala

Scala

"kafka.sasl.mechanism" -> "AWS_MSK_IAM",
"kafka.sasl.jaas.config" ->
  "shadedmskiam.software.amazon.msk.auth.iam.IAMLoginModule required awsRoleArn='arn:aws:iam::123456789012:role/msk_client_role'",
"kafka.security.protocol" -> "SASL_SSL",
"kafka.sasl.client.callback.handler.class" ->
  "shadedmskiam.software.amazon.msk.auth.iam.IAMClientCallbackHandler"

Use SASL/PLAIN para autenticar

Para conectar-se ao Kafka usando autenticação SASL/PLAIN (nome de usuário e senha), configure as seguintes opções. Use o nome da classe sombreada PlainLoginModule :

Python

Python

kafka_options = {
  "kafka.bootstrap.servers": "<bootstrap-server>:9093",
  "subscribe": "<topic>",
  "kafka.security.protocol": "SASL_SSL",
  "kafka.sasl.mechanism": "PLAIN",
  "kafka.sasl.jaas.config":
    'kafkashaded.org.apache.kafka.common.security.plain.PlainLoginModule required username="<username>" password="<password>";',
}

df = spark.readStream.format("kafka").options(**kafka_options).load()

Scala

Scala

val kafkaOptions = Map(
  "kafka.bootstrap.servers" -> "<bootstrap-server>:9093",
  "subscribe" -> "<topic>",
  "kafka.security.protocol" -> "SASL_SSL",
  "kafka.sasl.mechanism" -> "PLAIN",
  "kafka.sasl.jaas.config" ->
    """kafkashaded.org.apache.kafka.common.security.plain.PlainLoginModule required username="<username>" password="<password>";""",
)

val df = spark.readStream.format("kafka").options(kafkaOptions).load()

SQL

SQL

SELECT * FROM STREAM read_kafka(
  bootstrapServers => '<bootstrap-server>:9093',
  subscribe => '<topic>',
  `kafka.security.protocol` => 'SASL_SSL',
  `kafka.sasl.mechanism` => 'PLAIN',
  `kafka.sasl.jaas.config` => 'kafkashaded.org.apache.kafka.common.security.plain.PlainLoginModule required username="<username>" password="<password>";'
);

A Databricks recomenda armazenar sua senha como um segredo em vez de incluí-la diretamente no código. Para mais informações, veja Gerenciamento de segredos.

Use SASL/SCRAM para autenticar.

Para conectar-se ao Kafka usando SASL/SCRAM (SCRAM-SHA-256 ou SCRAM-SHA-512), configure as seguintes opções. Use o nome da classe sombreada ScramLoginModule :

Python

Python

kafka_options = {
  "kafka.bootstrap.servers": "<bootstrap-server>:9093",
  "subscribe": "<topic>",
  "kafka.security.protocol": "SASL_SSL",
  "kafka.sasl.mechanism": "SCRAM-SHA-512",
  "kafka.sasl.jaas.config":
    'kafkashaded.org.apache.kafka.common.security.scram.ScramLoginModule required username="<username>" password="<password>";',
}

df = spark.readStream.format("kafka").options(**kafka_options).load()

Scala

Scala

val kafkaOptions = Map(
  "kafka.bootstrap.servers" -> "<bootstrap-server>:9093",
  "subscribe" -> "<topic>",
  "kafka.security.protocol" -> "SASL_SSL",
  "kafka.sasl.mechanism" -> "SCRAM-SHA-512",
  "kafka.sasl.jaas.config" ->
    """kafkashaded.org.apache.kafka.common.security.scram.ScramLoginModule required username="<username>" password="<password>";""",
)

val df = spark.readStream.format("kafka").options(kafkaOptions).load()

SQL

SQL

SELECT * FROM STREAM read_kafka(
  bootstrapServers => '<bootstrap-server>:9093',
  subscribe => '<topic>',
  `kafka.security.protocol` => 'SASL_SSL',
  `kafka.sasl.mechanism` => 'SCRAM-SHA-512',
  `kafka.sasl.jaas.config` => 'kafkashaded.org.apache.kafka.common.security.scram.ScramLoginModule required username="<username>" password="<password>";'
);

nota

Substitua SCRAM-SHA-512 por SCRAM-SHA-256 se o seu cluster Kafka estiver configurado para usar SCRAM-SHA-256.

A Databricks recomenda armazenar sua senha como um segredo em vez de incluí-la diretamente no código. Para mais informações, veja Gerenciamento de segredos.

Use SSL para conectar o Databricks ao Kafka.

Para habilitar conexões SSL/TLS com o Kafka, defina kafka.security.protocol como SSL e forneça as opções de configuração de armazenamento de confiança e armazenamento key prefixadas com kafka.. Para conexões SSL que exigem apenas autenticação do servidor (TLS unidirecional), você precisa de um repositório de confiança. Para TLS mútuo (mTLS), onde o broker Kafka também autentica o cliente, você precisa tanto de um armazenamento de confiança quanto de um armazenamento key .

As seguintes opções de SSL/TLS estão disponíveis. Para obter a lista completa de propriedades SSL, consulte a documentação de configuração SSL do Apache Kafka e a seção Criptografia e Autenticação com SSL na documentação da Confluent.

Opção	Descrição
kafka.security.protocol	Defina como SSL para ativar a criptografia TLS.
kafka.ssl.truststore.location	Caminho para o arquivo de armazenamento de certificados confiáveis que contém os certificados de CA confiáveis.
kafka.ssl.truststore.password	Senha para o arquivo de armazenamento de certificados confiáveis.
kafka.ssl.truststore.type	Formato de arquivo de armazenamento confiável (default: JKS).
kafka.ssl.keystore.location	Caminho para o arquivo de armazenamento key contendo o certificado do cliente e key privada (necessário para mTLS).
kafka.ssl.keystore.password	Senha para o arquivo de armazenamento key .
kafka.ssl.key.password	Senha da key privada no repositório key .
kafka.ssl.endpoint.identification.algorithm	Algoritmo de verificação de nome de host. O valor padrão é https. Defina como uma string vazia para desativar.

Se você usa SSL, a Databricks recomenda que você:

• Armazene seus certificados em um volume Unity Catalog . Os usuários que têm permissão de leitura do volume podem usar seus certificados Kafka. Para obter mais informações, consulte O que são volumes Unity Catalog ?.
• Armazene as senhas dos seus certificados como segredos em um Escopo Secreto. Para mais informações, veja Gerenciando Escopo Secreto.

O exemplo a seguir usa locais de armazenamento de objetos e segredos de Databricks para habilitar uma conexão SSL:

Python

Python

df = (spark.readStream
  .format("kafka")
  .option("kafka.bootstrap.servers", "<bootstrap-server>:9093")
  .option("kafka.security.protocol", "SSL")
  .option("kafka.ssl.truststore.location", <truststore-location>)
  .option("kafka.ssl.keystore.location", <keystore-location>)
  .option("kafka.ssl.keystore.password", dbutils.secrets.get(scope=<certificate-scope-name>,key=<keystore-password-key-name>))
  .option("kafka.ssl.truststore.password", dbutils.secrets.get(scope=<certificate-scope-name>,key=<truststore-password-key-name>))
)

Scala

Scala

val df = spark.readStream
  .format("kafka")
  .option("kafka.bootstrap.servers", "<bootstrap-server>:9093")
  .option("kafka.security.protocol", "SSL")
  .option("kafka.ssl.truststore.location", <truststore-location>)
  .option("kafka.ssl.keystore.location", <keystore-location>)
  .option("kafka.ssl.keystore.password", dbutils.secrets.get(scope = <certificate-scope-name>, key = <keystore-password-key-name>))
  .option("kafka.ssl.truststore.password", dbutils.secrets.get(scope = <certificate-scope-name>, key = <truststore-password-key-name>))

SQL

SQL

SELECT * FROM read_kafka(
  bootstrapServers => '<bootstrap-server>:9093',
  subscribe => '<topic>',
  `kafka.security.protocol` => 'SSL',
  `kafka.ssl.truststore.location` => '<truststore-location>',
  `kafka.ssl.keystore.location` => '<keystore-location>',
  `kafka.ssl.keystore.password` => secret('<certificate-scope-name>', '<keystore-password-key-name>'),
  `kafka.ssl.truststore.password` => secret('<certificate-scope-name>', '<truststore-password-key-name>')
);

Use os nomes de classe sombreados do Databricks para Kafka.

Databricks inclui versões proprietárias e personalizadas da biblioteca de clientes Kafka . Todos os nomes de classe do cliente Kafka que você referencia nas opções de configuração de autenticação devem usar o prefixo de nome de classe sombreado em vez do nome de classe padrão de código aberto. Isso se aplica a qualquer classe referenciada em opções como kafka.sasl.jaas.config, kafka.sasl.login.callback.handler.class e kafka.sasl.client.callback.handler.class.

Usar nomes de classe sem sombreamento resulta em um erro RESTRICTED_STREAMING_OPTION_PERMISSION_ENFORCED . Consulte as Perguntas Frequentes para obter mais detalhes.

Lidar com possíveis erros

• falhas de autenticação do IAM

  Se você vir SaslException, Failed to construct kafka consumer ou erros de autenticação, verifique:

  • O ARN IAM role em seu kafka.sasl.jaas.config está correto e formatado adequadamente.
  • A IAM role tem as permissões necessárias para acessar seu cluster MSK (por exemplo, kafka-cluster:Connect, kafka-cluster:ReadData).
  • Para configurar o perfil da instance profile , certifique-se de que ele esteja anexado ao cluster e possua permissões MSK.
  • Para acesso entreaccount , verifique se a relação de confiança permite que a account Databricks assuma a função.

• Problemas de conectividade de rede

  Se você vir TimeoutException ou falhas de conexão:

  • Verifique se o grupo de segurança do cluster MSK permite tráfego de entrada do grupo de segurança compute do Databricks nas portas Kafka (normalmente 9092 para PLAINTEXT, 9094 para SASL/SSL ou 9098 para IAM).
  • Certifique-se de que o peering de VPC ou o PrivateLink esteja configurado corretamente entre a VPC do Databricks e a VPC do MSK.
  • Confirme se o hostname e a porta kafka.bootstrap.servers estão corretos.

• Nenhum registro retornado

  Se a autenticação for bem-sucedida, mas nenhum dado for retornado:

  • Verifique se você está se inscrevendo no tópico correto.
  • O default startingOffsets é latest, que apenas lê novos dados. Defina startingOffsets a earliest para ler os dados existentes.
  • Verifique se sua IAM role tem permissão kafka-cluster:ReadData para o tópico.