bitnamicharts/schema-registry
bitnamicharts
Bitnami提供的Helm chart,用于在Kubernetes环境中部署和管理Confluent Schema Registry,实现Kafka主题数据模式的注册、验证与版本控制,确保数据格式一致性。
下载次数: 0状态:社区镜像维护者:bitnamicharts仓库类型:镜像最近更新:8 个月前
Bitnami Confluent Schema Registry 镜像文档
镜像概述和主要用途
Confluent Schema Registry 提供了一个 RESTful 接口,在 Kafka 之上添加了元数据服务层。它扩展了 Kafka,支持 Apache Avro、JSON 和 Protobuf 模式。
Confluent Schema Registry 概述
商标说明:本软件列表由 Bitnami 打包。产品中提及的各个商标分别归各自公司所有,使用这些商标并不意味着任何关联或认可。
核心功能和特性
- 提供 RESTful API 接口用于管理 Kafka 元数据
- 支持 Apache Avro、JSON 和 Protobuf 数据模式
- 实现模式版本控制和演化
- 与 Kafka 集群紧密集成
- 支持多种安全认证机制(SASL、TLS 等)
- 可水平扩展的架构设计
使用场景和适用范围
- 需要确保 Kafka 消息数据结构一致性的环境
- 多团队协作开发基于 Kafka 的流处理应用
- 数据模式需要随时间演进的系统
- 需要集中管理和验证数据模式的企业级应用
- 构建数据湖、数据仓库等数据集成平台时的模式管理
快速入门
consolehelm install my-release oci://registry-1.docker.io/bitnamicharts/schema-registry
如需在生产环境中使用 Confluent Schema Registry,可尝试 VMware Tanzu Application Catalog,这是 Bitnami 目录的商业版本。
⚠️ 重要通知:Bitnami 目录即将发生的变化
自 2025 年 8 月 28 日起,Bitnami 将改进其公共目录,在新的 Bitnami Secure Images 计划下提供精选的强化、安全聚焦的镜像。作为此过渡的一部分:
- 首次向社区用户提供流行容器镜像的安全优化版本访问权限。
- Bitnami 将开始在其免费层级中弃用对非强化、基于 Debian 的软件镜像的支持,并将逐步从公共目录中移除非最新标签。因此,社区用户将只能访问数量减少的强化镜像。这些镜像仅以"latest"标签发布,适用于开发目的。
- 从 8 月 28 日开始,在两周内,所有现有容器镜像,包括旧版本或特定版本标签(例如 2.50.0、10.6)将从公共目录(docker.io/bitnami)迁移到"Bitnami Legacy"仓库(docker.io/bitnamilegacy),在那里它们将不再接收更新。
- 对于生产工作负载和长期支持,建议用户采用 Bitnami Secure Images,其中包括强化容器、更小的***面、CVE 透明度(通过 VEX/KEV)、SBOM 和企业支持。
这些变化旨在通过推广软件供应链完整性和最新部署的最佳实践,提高所有 Bitnami 用户的安全态势。有关更多详细信息,请访问 https://github.com/bitnami/containers/issues/83267%E3%80%82
先决条件
- Kubernetes 1.23+
- Helm 3.8.0+
安装方法
使用 Helm 安装
要安装版本名称为 my-release 的 chart:
consolehelm install my-release oci://REGISTRY_NAME/REPOSITORY_NAME/schema-registry
注意:您需要将占位符
REGISTRY_NAME和REPOSITORY_NAME替换为 Helm chart registry 和仓库的引用。例如,对于 Bitnami,您需要使用REGISTRY_NAME=registry-1.docker.io和REPOSITORY_NAME=bitnamicharts。
提示:使用
helm list命令列出所有发布版本。
配置和安装详情
资源请求和限制
Bitnami charts 允许为 chart 部署中的所有容器设置资源请求和限制。这些设置位于 resources 值中(参见参数表)。为生产工作负载设置请求至关重要,这些请求应根据您的具体用例进行调整。
为简化此过程,chart 包含 resourcesPreset 值,它会根据不同的预设自动设置 resources 部分。请在 https://github.com/bitnami/charts/blob/main/bitnami/common/templates/_resources.tpl#L15 中查看这些预设。但是,在生产工作负载中不建议使用 resourcesPreset,因为它可能无法完全适应您的特定需求。有关容器资源管理的更多信息,请参阅 官方 Kubernetes 文档。
滚动标签与不可变标签
强烈建议在生产环境中使用不可变标签。这可确保即使相同标签使用不同镜像更新,您的部署也不会自动更改。
如果主容器有新版本、重大更改或严重漏洞,Bitnami 将发布更新其容器的新 chart。
启用 Kafka 认证
您可以为在 Kafka 中配置的每个监听器配置不同的认证协议。例如,您可以对客户端通信使用 sasl_tls 认证,而对 broker 间通信使用 tls。下表显示了可用协议及其提供的安全性:
| 方法 | 认证方式 | 通过 TLS 加密 |
|---|---|---|
| plaintext | 无 | 否 |
| tls | 无 | 是 |
| mtls | 是(双向认证) | 是 |
| sasl | 是(通过 SASL) | 否 |
| sasl_tls | 是(通过 SASL) | 是 |
通过分别将 auth.clientProtocol 和 auth.interBrokerProtocol 参数设置为所需协议,配置客户端和 broker 间通信的认证协议。
如果在任何监听器上启用了 SASL 认证,您可以使用以下参数设置 SASL 凭据:
kafka.auth.sasl.jaas.clientUsers/kafka.auth.sasl.jaas.clientPasswords:为客户端通信启用 SASL 认证时使用。kafka.auth.sasl.jaas.interBrokerUser/kafka.auth.sasl.jaas.interBrokerPassword:为 broker 间通信启用 SASL 认证时使用。kafka.auth.jaas.zookeeperUser/kafka.auth.jaas.zookeeperPassword:如果 Zookeeper chart 已启用 SASL 认证。
例如,您可以使用以下参数部署 chart:
consolekafka.auth.clientProtocol=sasl kafka.auth.jaas.clientUsers[0]=clientUser kafka.auth.jaas.clientPasswords[0]=clientPassword
使用 TLS 保护流量
为了配置 TLS 认证/加密,您可以为 Kafka 集群中的每个 broker 创建一个包含 Java Key Stores (JKS) 文件的 secret:信任库 (kafka.truststore.jks) 和密钥库 (kafka.keystore.jks)。然后,您需要在部署 chart 时使用 kafka.auth.tls.existingSecrets 参数传递 secret 名称。
注意:如果 JKS 文件受密码保护(推荐),您需要提供密码才能访问密钥库。为此,请使用
kafka.auth.tls.password参数提供您的密码。
例如,要在具有 2 个 Kafka broker 和 1 个 Schema Registry 副本的集群上配置 TLS 认证,请使用以下命令创建 secrets:
consolekubectl create secret generic schema-registry-jks --from-file=/schema-registry.truststore.jks --from-file=./schema-registry-0.keystore.jks kubectl create secret generic kafka-jks-0 --from-file=kafka.truststore.jks=./kafka.truststore.jks --from-file=kafka.keystore.jks=./kafka-0.keystore.jks kubectl create secret generic kafka-jks-1 --from-file=kafka.truststore.jks=./kafka.truststore.jks --from-file=kafka.keystore.jks=./kafka-1.keystore.jks
注意:上述命令假设您已经创建了信任库和密钥库文件。此 https://raw.githubusercontent.com/confluentinc/confluent-platform-security-tools/master/kafka-generate-ssl.sh 可以帮助您生成 JKS 文件。
然后,使用以下参数部署 chart:
consoleauth.kafka.jksSecret=schema-registry-jks auth.kafka.keystorePassword=some-password auth.kafka.truststorePassword=some-password kafka.replicaCount=2 kafka.auth.clientProtocol=tls kafka.auth.tls.existingSecrets[0]=kafka-jks-0 kafka.auth.tls.existingSecrets[1]=kafka-jks-1 kafka.auth.tls.password=jksPassword
如果您想忽略 Kafka 证书上的主机名验证,请将参数 auth.kafka.tls.endpointIdentificationAlgorithm 设置为空字符串 ""。在这种情况下,您可以为每个 Kafka broker 和 Schema Registry 副本重用相同的信任库和密钥库。例如,要在具有 2 个 Kafka broker 和 1 个 Schema Registry 副本的集群上配置 TLS 认证,请使用以下命令创建 secrets:
consolekubectl create secret generic schema-registry-jks --from-file=schema-registry.truststore.jks=common.truststore.jks --from-file=schema-registry-0.keystore.jks=common.keystore.jks kubectl create secret generic kafka-jks --from-file=kafka.truststore.jks=common.truststore.jks --from-file=kafka.keystore.jks=common.keystore.jks
添加额外环境变量
如果您想向 Schema Registry 添加额外的环境变量,可以使用 extraEnvs 参数。例如:
yamlextraEnvVars: - name: FOO value: BAR
使用自定义配置
此 helm chart 支持使用 Schema Registry 的自定义配置。
您可以使用 configuration 参数指定 Schema Registry 的配置。此外,您还可以设置包含配置文件的外部 configmap。这可以通过设置 existingConfigmap 参数来完成。
边车容器和初始化容器
如果您需要在与 Schema Registry 相同的 pod 中运行额外的容器(例如,额外的指标或日志导出器),您可以通过 sidecars 配置参数来实现。只需根据 Kubernetes 容器规范定义您的容器。
yamlsidecars: - name: your-image-name image: your-image imagePullPolicy: Always ports: - name: portname containerPort: 1234
同样,您可以使用 initContainers 参数添加额外的初始化容器。
yamlinitContainers: - name: your-image-name image: your-image imagePullPolicy: Always ports: - name: portname containerPort: 1234
使用外部 Kafka
有时您可能希望 Schema Registry 连接到外部 Kafka 集群,而不是安装一个作为依赖项。为此,chart 允许您在 externalKafka 参数 下指定现有 Kafka 集群的凭据。您还应该使用 kafka.enabled 选项禁用 Kafka 安装。
例如,使用以下参数将 Schema Registry 与使用 SASL 认证的现有 Kafka 安装连接:
consolekafka.enabled=false externalKafka.brokers=SASL_PLAINTEXT://kafka-0.kafka-headless.default.svc.cluster.local:9092 externalKafka.auth.protocol=sasl externalKafka.auth.jaas.user=myuser externalKafka.auth.jaas.password=mypassword
或者,您可以使用包含密钥 "client-passwords" 的现有 secret:
consolekafka.enabled=false externalKafka.brokers=SASL_PLAINTEXT://kafka-0.kafka-headless.default.svc.cluster.local:9092 externalKafka.auth.protocol=sasl externalKafka.auth.jaas.user=myuser externalKafka.auth.jaas.existingSecret=my-secret
Ingress
此 chart 提供对 Ingress 资源的支持。如果您的集群上安装了 ingress 控制器,例如 https://github.com/bitnami/charts/tree/main/bitnami/nginx-ingress-controller 或 https://github.com/bitnami/charts/tree/main/bitnami/contour%EF%BC%8C%E6%82%A8%E5%8F%AF%E4%BB%A5%E5%88%A9%E7%94%A8 ingress 控制器来提供您的应用程序。要启用 Ingress 集成,请将 ingress.enabled 设置为 true。ingress.hostname 属性可用于设置主机名。
主机
很可能您只希望有一个主机名映射到此 Schema Registry 安装。如果是这种情况,属性 ingress.hostname 将设置它。但是,可以有多个主机。为方便起见,可以将 ingress.extraHosts 对象指定为数组。您还可以使用 ingress.extraTLS 为额外主机添加 TLS 配置。
对于在 ingress.extraHosts 中指示的每个主机,请指定 name、path 以及您可能希望 ingress 控制器知道的任何 annotations。
有关注释,请参阅 https://github.com/kubernetes/ingress-nginx/blob/main/docs/user-guide/nginx-configuration/annotations.md%E3%80%82%E5%B9%B6%E9%9D%9E%E6%89%80%E6%9C%89%E6%B3%A8%E9%87%8A%E9%83%BD%E5%8F%97%E6%89%80%E6%9C%89 ingress 控制器支持,但本文档很好地指出了哪些注释受许多流行的 ingress 控制器支持。
参数
全局参数
| 名称 | 描述 | 值 |
|---|---|---|
global.imageRegistry | 全局 Docker 镜像仓库 | "" |
global.imagePullSecrets | 全局 Docker 仓库密钥名称数组 | [] |
global.defaultStorageClass | 持久卷的全局默认 StorageClass | "" |
global.security.allowInsecureImages | 允许跳过镜像验证 | false |
global.compatibility.openshift.adaptSecurityContext | 调整部署的 securityContext 部分,使其与 Openshift restricted-v2 SCC 兼容:删除 runAsUser、runAsGroup 和 fsGroup,让平台使用其允许的默认 ID。可能的值:auto(如果检测到运行的集群是 Openshift,则应用),force(始终执行适配),disabled(不执行适配) | auto |
kubeVersion | 覆盖 Kubernetes 版本 | "" |
通用参数
| 名称 | 描述 | 值 |
|---|---|---|
nameOverride | 用于部分覆盖 common.names.fullname 模板的字符串(将前置发布名称) | "" |
fullnameOverride | 用于完全覆盖 common.names.fullname 模板的字符串 | "" |
namespaceOverride | 用于完全覆盖 common.names.namespace 的字符串 | "" |
commonLabels | 要添加到所有部署对象的标签 | {} |
commonAnnotations | 要添加到所有部署对象的注释 | {} |
clusterDomain | Kubernetes 集群域名 | cluster.local |
extraDeploy | 要与发布一起部署的额外对象数组 | [] |
usePasswordFiles | 将凭据挂载为文件而不是使用环境变量 | true |
diagnosticMode.enabled | 启用诊断模式(所有探针将被禁用,命令将被覆盖) | false |
diagnosticMode.command | 覆盖部署中所有容器的命令 | ["sleep"] |
diagnosticMode.args | 覆盖部署中所有容器的参数 | ["infinity"] |
Schema Registry 参数
| 名称 | 描述 | 值 |
|---|---|---|
image.registry | Schema Registry 镜像仓库 | REGISTRY_NAME |
image.repository | Schema Registry 镜像仓库路径 | REPOSITORY_NAME/schema-registry |
image.digest | Schema Registry 镜像摘要,格式为 sha256:aa.... 注意:设置此参数将覆盖标签 | "" |
image.pullPolicy | Schema Registry 镜像拉取策略 | IfNotPresent |
image.pullSecrets | Schema Registry 镜像拉取密钥 | [] |
image.debug | 启用镜像调试模式 | false |
command | 覆盖默认容器命令(使用自定义镜像时有用) | [] |
args | 覆盖默认容器参数(使用自定义镜像时有用) | [] |
automountServiceAccountToken | 在 pod 中挂载服务账户令牌 | false |
hostAliases | Schema Registry pods 主机别名 | [] |
podLabels | Schema Registry pods 的额外标签 | {} |
configuration | 指定 schema-registry.properties 的内容。未指定时根据其他参数自动生成 | {} |
existingConfigmap | 包含 Schema Registry 配置的现有 ConfigMap 名称 | "" |
log4j | Schema Registry Log4J 配置(可选) | {} |
existingLog4jConfigMap | 包含自定义 log |
bitnamicharts/redis
bitnamicharts
Bitnami提供的Redis Helm chart,用于在Kubernetes环境中快速部署和管理Redis服务。
37 次收藏5000万+ 次下载
17 天前更新
bitnamicharts/postgresql
bitnamicharts
Bitnami的PostgreSQL Helm chart,用于在Kubernetes环境中便捷部署和管理PostgreSQL数据库,支持灵活配置与可靠运行。
5 次收藏1000万+ 次下载
18 天前更新
bitnamicharts/common
bitnamicharts
Bitnami Common Library Chart是一个Helm库图表,用于集中Bitnami各图表间的通用逻辑,提供丰富的模板助手以简化Helm图表开发,支持亲和性配置、API版本适配、资源管理等功能。
1000万+ 次下载
19 天前更新
bitnamicharts/kafka
bitnamicharts
Bitnami为Apache Kafka提供的Helm Chart是一款预配置的Kubernetes包管理工具,旨在简化分布式流处理平台Apache Kafka在Kubernetes集群中的部署、配置与全生命周期运维管理,集成了高可用性集群设置、安全认证机制、Prometheus监控指标及自动伸缩策略等核心功能,帮助用户无需手动处理复杂的集群参数配置,即可快速搭建稳定、可扩展且符合生产级标准的Kafka服务,适用于从开发测试到大规模生产环境的各类场景。
5 次收藏1000万+ 次下载
7 个月前更新
bitnamicharts/external-dns
bitnamicharts
Bitnami提供的Helm图表,用于部署和管理ExternalDNS,实现Kubernetes资源与DNS提供商记录的自动同步。
1000万+ 次下载
8 个月前更新
bitnamicharts/rabbitmq
bitnamicharts
Bitnami的RabbitMQ Helm chart,用于在Kubernetes环境中便捷、可靠地部署和管理RabbitMQ消息队列。
3 次收藏1000万+ 次下载
7 个月前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"