bitnamicharts/schema-registry Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
bitnamicharts/schema-registrybitnamicharts
Bitnami提供的Helm chart,用于在Kubernetes环境中部署和管理Confluent Schema Registry,实现Kafka主题数据模式的注册、验证与版本控制,确保数据格式一致性。
下载次数: 0状态:社区镜像维护者:bitnamicharts仓库类型:镜像
Bitnami Confluent Schema Registry 镜像文档
镜像概述和主要用途
Confluent Schema Registry 提供了一个 RESTful 接口,在 Kafka 之上添加了元数据服务层。它扩展了 Kafka,支持 Apache Avro、JSON 和 Protobuf 模式。
Confluent Schema Registry 概述
商标说明:本软件列表由 Bitnami 打包。产品中提及的各个商标分别归各自公司所有,使用这些商标并不意味着任何关联或认可。
核心功能和特性
- 提供 RESTful API 接口用于管理 Kafka 元数据
- 支持 Apache Avro、JSON 和 Protobuf 数据模式
- 实现模式版本控制和演化
- 与 Kafka 集群紧密集成
- 支持多种安全认证机制(SASL、TLS 等)
- 可水平扩展的架构设计
使用场景和适用范围
- 需要确保 Kafka 消息数据结构一致性的环境
- 多团队协作开发基于 Kafka 的流处理应用
- 数据模式需要随时间演进的系统
- 需要集中管理和验证数据模式的企业级应用
- 构建数据湖、数据仓库等数据集成平台时的模式管理
快速入门
consolehelm install my-release oci://registry-1.docker.io/bitnamicharts/schema-registry
如需在生产环境中使用 Confluent Schema Registry,可尝试 VMware Tanzu Application Catalog,这是 Bitnami 目录的商业版本。
⚠️ 重要通知:Bitnami 目录即将发生的变化
自 2025 年 8 月 28 日起,Bitnami 将改进其公共目录,在新的 Bitnami Secure Images 计划下提供精选的强化、安全聚焦的镜像。作为此过渡的一部分:
- 首次向社区用户提供流行容器镜像的安全优化版本访问权限。
- Bitnami 将开始在其免费层级中弃用对非强化、基于 Debian 的软件镜像的支持,并将逐步从公共目录中移除非最新标签。因此,社区用户将只能访问数量减少的强化镜像。这些镜像仅以"latest"标签发布,适用于开发目的。
- 从 8 月 28 日开始,在两周内,所有现有容器镜像,包括旧版本或特定版本标签(例如 2.50.0、10.6)将从公共目录(docker.io/bitnami)迁移到"Bitnami Legacy"仓库(docker.io/bitnamilegacy),在那里它们将不再接收更新。
- 对于生产工作负载和长期支持,建议用户采用 Bitnami Secure Images,其中包括强化容器、更小的***面、CVE 透明度(通过 VEX/KEV)、SBOM 和企业支持。
这些变化旨在通过推广软件供应链完整性和最新部署的最佳实践,提高所有 Bitnami 用户的安全态势。有关更多详细信息,请访问 Bitnami Secure Images 公告。
先决条件
- Kubernetes 1.23+
- Helm 3.8.0+
安装方法
使用 Helm 安装
要安装版本名称为 my-release 的 chart:
consolehelm install my-release oci://REGISTRY_NAME/REPOSITORY_NAME/schema-registry
注意:您需要将占位符
REGISTRY_NAME和REPOSITORY_NAME替换为 Helm chart registry 和仓库的引用。例如,对于 Bitnami,您需要使用REGISTRY_NAME=registry-1.docker.io和REPOSITORY_NAME=bitnamicharts。
提示:使用
helm list命令列出所有发布版本。
配置和安装详情
资源请求和限制
Bitnami charts 允许为 chart 部署中的所有容器设置资源请求和限制。这些设置位于 resources 值中(参见参数表)。为生产工作负载设置请求至关重要,这些请求应根据您的具体用例进行调整。
为简化此过程,chart 包含 resourcesPreset 值,它会根据不同的预设自动设置 resources 部分。请在 bitnami/common chart 中查看这些预设。但是,在生产工作负载中不建议使用 resourcesPreset,因为它可能无法完全适应您的特定需求。有关容器资源管理的更多信息,请参阅 官方 Kubernetes 文档。
滚动标签与不可变标签
强烈建议在生产环境中使用不可变标签。这可确保即使相同标签使用不同镜像更新,您的部署也不会自动更改。
如果主容器有新版本、重大更改或严重漏洞,Bitnami 将发布更新其容器的新 chart。
启用 Kafka 认证
您可以为在 Kafka 中配置的每个监听器配置不同的认证协议。例如,您可以对客户端通信使用 sasl_tls 认证,而对 broker 间通信使用 tls。下表显示了可用协议及其提供的安全性:
| 方法 | 认证方式 | 通过 TLS 加密 |
|---|---|---|
| plaintext | 无 | 否 |
| tls | 无 | 是 |
| mtls | 是(双向认证) | 是 |
| sasl | 是(通过 SASL) | 否 |
| sasl_tls | 是(通过 SASL) | 是 |
通过分别将 auth.clientProtocol 和 auth.interBrokerProtocol 参数设置为所需协议,配置客户端和 broker 间通信的认证协议。
如果在任何监听器上启用了 SASL 认证,您可以使用以下参数设置 SASL 凭据:
kafka.auth.sasl.jaas.clientUsers/kafka.auth.sasl.jaas.clientPasswords:为客户端通信启用 SASL 认证时使用。kafka.auth.sasl.jaas.interBrokerUser/kafka.auth.sasl.jaas.interBrokerPassword:为 broker 间通信启用 SASL 认证时使用。kafka.auth.jaas.zookeeperUser/kafka.auth.jaas.zookeeperPassword:如果 Zookeeper chart 已启用 SASL 认证。
例如,您可以使用以下参数部署 chart:
consolekafka.auth.clientProtocol=sasl kafka.auth.jaas.clientUsers[0]=clientUser kafka.auth.jaas.clientPasswords[0]=clientPassword
使用 TLS 保护流量
为了配置 TLS 认证/加密,您可以为 Kafka 集群中的每个 broker 创建一个包含 Java Key Stores (JKS) 文件的 secret:信任库 (kafka.truststore.jks) 和密钥库 (kafka.keystore.jks)。然后,您需要在部署 chart 时使用 kafka.auth.tls.existingSecrets 参数传递 secret 名称。
注意:如果 JKS 文件受密码保护(推荐),您需要提供密码才能访问密钥库。为此,请使用
kafka.auth.tls.password参数提供您的密码。
例如,要在具有 2 个 Kafka broker 和 1 个 Schema Registry 副本的集群上配置 TLS 认证,请使用以下命令创建 secrets:
consolekubectl create secret generic schema-registry-jks --from-file=/schema-registry.truststore.jks --from-file=./schema-registry-0.keystore.jks kubectl create secret generic kafka-jks-0 --from-file=kafka.truststore.jks=./kafka.truststore.jks --from-file=kafka.keystore.jks=./kafka-0.keystore.jks kubectl create secret generic kafka-jks-1 --from-file=kafka.truststore.jks=./kafka.truststore.jks --from-file=kafka.keystore.jks=./kafka-1.keystore.jks
注意:上述命令假设您已经创建了信任库和密钥库文件。此 脚本 可以帮助您生成 JKS 文件。
然后,使用以下参数部署 chart:
consoleauth.kafka.jksSecret=schema-registry-jks auth.kafka.keystorePassword=some-password auth.kafka.truststorePassword=some-password kafka.replicaCount=2 kafka.auth.clientProtocol=tls kafka.auth.tls.existingSecrets[0]=kafka-jks-0 kafka.auth.tls.existingSecrets[1]=kafka-jks-1 kafka.auth.tls.password=jksPassword
如果您想忽略 Kafka 证书上的主机名验证,请将参数 auth.kafka.tls.endpointIdentificationAlgorithm 设置为空字符串 ""。在这种情况下,您可以为每个 Kafka broker 和 Schema Registry 副本重用相同的信任库和密钥库。例如,要在具有 2 个 Kafka broker 和 1 个 Schema Registry 副本的集群上配置 TLS 认证,请使用以下命令创建 secrets:
consolekubectl create secret generic schema-registry-jks --from-file=schema-registry.truststore.jks=common.truststore.jks --from-file=schema-registry-0.keystore.jks=common.keystore.jks kubectl create secret generic kafka-jks --from-file=kafka.truststore.jks=common.truststore.jks --from-file=kafka.keystore.jks=common.keystore.jks
添加额外环境变量
如果您想向 Schema Registry 添加额外的环境变量,可以使用 extraEnvs 参数。例如:
yamlextraEnvVars: - name: FOO value: BAR
使用自定义配置
此 helm chart 支持使用 Schema Registry 的自定义配置。
您可以使用 configuration 参数指定 Schema Registry 的配置。此外,您还可以设置包含配置文件的外部 configmap。这可以通过设置 existingConfigmap 参数来完成。
边车容器和初始化容器
如果您需要在与 Schema Registry 相同的 pod 中运行额外的容器(例如,额外的指标或日志导出器),您可以通过 sidecars 配置参数来实现。只需根据 Kubernetes 容器规范定义您的容器。
yamlsidecars: - name: your-image-name image: your-image imagePullPolicy: Always ports: - name: portname containerPort: 1234
同样,您可以使用 initContainers 参数添加额外的初始化容器。
yamlinitContainers: - name: your-image-name image: your-image imagePullPolicy: Always ports: - name: portname containerPort: 1234
使用外部 Kafka
有时您可能希望 Schema Registry 连接到外部 Kafka 集群,而不是安装一个作为依赖项。为此,chart 允许您在 externalKafka 参数 下指定现有 Kafka 集群的凭据。您还应该使用 kafka.enabled 选项禁用 Kafka 安装。
例如,使用以下参数将 Schema Registry 与使用 SASL 认证的现有 Kafka 安装连接:
consolekafka.enabled=false externalKafka.brokers=SASL_PLAINTEXT://kafka-0.kafka-headless.default.svc.cluster.local:9092 externalKafka.auth.protocol=sasl externalKafka.auth.jaas.user=myuser externalKafka.auth.jaas.password=mypassword
或者,您可以使用包含密钥 "client-passwords" 的现有 secret:
consolekafka.enabled=false externalKafka.brokers=SASL_PLAINTEXT://kafka-0.kafka-headless.default.svc.cluster.local:9092 externalKafka.auth.protocol=sasl externalKafka.auth.jaas.user=myuser externalKafka.auth.jaas.existingSecret=my-secret
Ingress
此 chart 提供对 Ingress 资源的支持。如果您的集群上安装了 ingress 控制器,例如 nginx-ingress-controller 或 contour,您可以利用 ingress 控制器来提供您的应用程序。要启用 Ingress 集成,请将 ingress.enabled 设置为 true。ingress.hostname 属性可用于设置主机名。
主机
很可能您只希望有一个主机名映射到此 Schema Registry 安装。如果是这种情况,属性 ingress.hostname 将设置它。但是,可以有多个主机。为方便起见,可以将 ingress.extraHosts 对象指定为数组。您还可以使用 ingress.extraTLS 为额外主机添加 TLS 配置。
对于在 ingress.extraHosts 中指示的每个主机,请指定 name、path 以及您可能希望 ingress 控制器知道的任何 annotations。
有关注释,请参阅 本文档。并非所有注释都受所有 ingress 控制器支持,但本文档很好地指出了哪些注释受许多流行的 ingress 控制器支持。
参数
全局参数
| 名称 | 描述 | 值 |
|---|---|---|
global.imageRegistry | 全局 Docker 镜像仓库 | "" |
global.imagePullSecrets | 全局 Docker 仓库密钥名称数组 | [] |
global.defaultStorageClass | 持久卷的全局默认 StorageClass | "" |
global.security.allowInsecureImages | 允许跳过镜像验证 | false |
global.compatibility.openshift.adaptSecurityContext | 调整部署的 securityContext 部分,使其与 Openshift restricted-v2 SCC 兼容:删除 runAsUser、runAsGroup 和 fsGroup,让平台使用其允许的默认 ID。可能的值:auto(如果检测到运行的集群是 Openshift,则应用),force(始终执行适配),disabled(不执行适配) | auto |
kubeVersion | 覆盖 Kubernetes 版本 | "" |
通用参数
| 名称 | 描述 | 值 |
|---|---|---|
nameOverride | 用于部分覆盖 common.names.fullname 模板的字符串(将前置发布名称) | "" |
fullnameOverride | 用于完全覆盖 common.names.fullname 模板的字符串 | "" |
namespaceOverride | 用于完全覆盖 common.names.namespace 的字符串 | "" |
commonLabels | 要添加到所有部署对象的标签 | {} |
commonAnnotations | 要添加到所有部署对象的注释 | {} |
clusterDomain | Kubernetes 集群域名 | cluster.local |
extraDeploy | 要与发布一起部署的额外对象数组 | [] |
usePasswordFiles | 将凭据挂载为文件而不是使用环境变量 | true |
diagnosticMode.enabled | 启用诊断模式(所有探针将被禁用,命令将被覆盖) | false |
diagnosticMode.command | 覆盖部署中所有容器的命令 | ["sleep"] |
diagnosticMode.args | 覆盖部署中所有容器的参数 | ["infinity"] |
Schema Registry 参数
| 名称 | 描述 | 值 |
|---|---|---|
image.registry | Schema Registry 镜像仓库 | REGISTRY_NAME |
image.repository | Schema Registry 镜像仓库路径 | REPOSITORY_NAME/schema-registry |
image.digest | Schema Registry 镜像摘要,格式为 sha256:aa.... 注意:设置此参数将覆盖标签 | "" |
image.pullPolicy | Schema Registry 镜像拉取策略 | IfNotPresent |
image.pullSecrets | Schema Registry 镜像拉取密钥 | [] |
image.debug | 启用镜像调试模式 | false |
command | 覆盖默认容器命令(使用自定义镜像时有用) | [] |
args | 覆盖默认容器参数(使用自定义镜像时有用) | [] |
automountServiceAccountToken | 在 pod 中挂载服务账户令牌 | false |
hostAliases | Schema Registry pods 主机别名 | [] |
podLabels | Schema Registry pods 的额外标签 | {} |
configuration | 指定 schema-registry.properties 的内容。未指定时根据其他参数自动生成 | {} |
existingConfigmap | 包含 Schema Registry 配置的现有 ConfigMap 名称 | "" |
log4j | Schema Registry Log4J 配置(可选) | {} |
existingLog4jConfigMap | 包含自定义 log |
bitnami/schema-registry
bitnami
Bitnami提供的安全镜像,用于部署和运行模式注册表(schema-registry),支持数据模式的注册、版本控制与管理,具备预配置、安全加固特性,便于快速集成到数据处理环境。
2 次收藏100万+ 次下载
6 个月前更新
dhi/harbor-registryctl
dhi
A minimal Harbor Registry Control image
1万+ 次下载
19 天前更新
bitnamilegacy/schema-registry
bitnamilegacy
Bitnami旧版镜像(不再更新),包含所有现有容器镜像的备份,仅用于临时迁移目的。
10万+ 次下载
6 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"
镜像拉取问题咨询请 提交工单,官方技术交流群:1072982923
轩辕镜像面向开发者与科研用户,提供开源镜像的搜索和访问支持。所有镜像均来源于原始仓库,本站不存储、不修改、不传播任何镜像内容。