容器化MIT Kerberos服务器（用于Ozone开发环境）

镜像概述和主要用途

本镜像为容器化的MIT Kerberos服务器，专门用于Apache Ozone的开发与测试场景。请注意：本镜像未针对生产环境进行安全加固，严禁用于生产环境。

其核心价值在于预生成Ozone安全冒烟测试（secure Ozone smoketests）所需的keytab文件，支持将这些文件导出并与容器化测试环境一同存储，从而避免测试过程中重复生成keytab，显著提升测试效率。

核心功能和特性

1. 预生成keytab文件：内置Ozone安全冒烟测试所需的全部keytab，无需手动生成
2. keytab导出与集成：支持将预生成的keytab文件导出至宿主机或其他容器，便于与测试环境联动
3. 加速测试流程：通过预生成keytab避免重复计算，减少测试准备时间

使用场景和适用范围

• Apache Ozone开发环境：用于本地或CI环境中Ozone组件的开发调试
• Ozone安全功能测试：验证Ozone在Kerberos认证环境下的功能正确性（如权限控制、加密传输等）
• 容器化测试环境集成：配合Docker Compose或Kubernetes等工具构建完整的Ozone测试集群

使用方法和配置说明

基础使用（docker run）

启动Kerberos服务器

docker run -d \
  --name ozone-kerberos \
  -p 88:88 \  # Kerberos KDC默认端口
  -v /path/to/keytabs:/keytabs \  # 挂载目录用于导出keytab
  <镜像名称>:<标签>

参数说明

• -p 88:88：映射Kerberos KDC服务端口（默认TCP/UDP 88）
• -v /path/to/keytabs:/keytabs：将容器内预生成的keytab文件（路径/keytabs）导出至宿主机/path/to/keytabs目录

Docker Compose配置示例

适用于与Ozone测试集群联动的场景：

version: '3'
services:
  kerberos:
    image: <镜像名称>:<标签>
    container_name: ozone-kerberos
    ports:
      - "88:88"
    volumes:
      - ./keytabs:/keytabs  # 导出keytab至当前目录下的keytabs文件夹
    restart: unless-stopped

  # 可在此处添加Ozone组件（如ozone-manager、datanode等）服务，通过 volumes 共享keytab

关键配置说明

1. 环境变量（可选）

2. keytab文件路径

容器内预生成的keytab文件统一存储于 /keytabs 目录，文件命名遵循Ozone测试规范（如 ozone.keytab、hdfs.keytab 等）。通过挂载该目录可直接获取所有文件。

验证服务可用性

启动容器后，可通过以下命令验证Kerberos服务是否正常运行：

# 进入容器
docker exec -it ozone-kerberos bash

# 检查KDC服务状态
krb5kdc -n  # 前台运行KDC，观察是否有错误输出（正常情况下无报错）

# 验证keytab文件存在性
ls -l /keytabs  # 应列出预生成的keytab文件