热门搜索:
cfei/kafka
cfei
cfei/kafka镜像是一个用于部署Kafka broker的Docker镜像,需配合Zookeeper使用,支持多监听器配置、数据持久化、SSL/TLS加密、Kerberos认证及ACL访问控制,适用于构建安全可靠的消息队列服务。
6 次收藏下载次数: 0状态:社区镜像维护者:cfei仓库类型:镜像最近更新:5 年前
cfei/kafka Docker镜像文档
镜像概述
cfei/kafka镜像是一个预配置的Apache Kafka broker Docker镜像,用于快速部署Kafka服务。该镜像依赖Zookeeper集群(可使用https://hub.docker.com/repository/docker/cfei/zookeeper%E9%95%9C%E5%83%8F%EF%BC%89%EF%BC%8C%E6%94%AF%E6%8C%81%E5%A4%9A%E7%A7%8D%E7%BD%91%E7%BB%9C%E9%85%8D%E7%BD%AE%E3%80%81%E6%95%B0%E6%8D%AE%E6%8C%81%E4%B9%85%E5%8C%96%E5%8F%8A%E5%AE%89%E5%85%A8%E7%89%B9%E6%80%A7%EF%BC%88%E5%A6%82SSL/TLS%E3%80%81Kerberos%E8%AE%A4%E8%AF%81%E3%80%81ACL%E8%AE%BF%E9%97%AE%E6%8E%A7%E5%88%B6%EF%BC%89%EF%BC%8C%E9%80%82%E7%94%A8%E4%BA%8E%E5%BC%80%E5%8F%91%E3%80%81%E6%B5%8B%E8%AF%95%E5%8F%8A%E7%94%9F%E4%BA%A7%E7%8E%AF%E5%A2%83%E7%9A%84%E6%B6%88%E6%81%AF%E9%98%9F%E5%88%97%E9%83%A8%E7%BD%B2%E3%80%82
核心功能与特性
- 灵活的监听器配置:支持内部 broker 通信和外部客户端连接的多监听器设置
- 数据持久化:通过卷挂载实现Kafka数据和日志的持久化存储
- 安全增强:支持SSL/TLS加密、Kerberos身份认证及ACL访问控制
- 可定制化配置:通过环境变量灵活配置Kafka参数(如副本因子、堆大小、数据保留时间等)
- 高可用性:支持多节点Zookeeper集群连接,确保服务稳定性
使用场景
- 构建分布式消息系统
- 实时数据流处理平台
- 微服务架构中的异步通信
- 需要高吞吐量和低延迟的消息传递场景
- 需满足安全合规要求(如数据加密、访问控制)的生产环境
使用方法
前提条件
Kafka运行依赖Zookeeper,需先部署至少一个Zookeeper节点。
基础部署示例(docker-compose)
单节点Kafka部署(无SSL)
yamlversion: "3" services: kafka1: image: cfei/kafka container_name: kafka restart: always ports: - 9092:9092 # 客户端连接端口 - 9093:9093 # broker间通信端口 volumes: - ./data:/data/kafka # 数据持久化目录 environment: KAFKA_BROKER_ID: 1 # 集群中唯一的broker ID KAFKA_ZOOKEEPER_CONNECT: <<zookeeper1_ip>>:2181,<<zookeeper2_ip>>:2181,<<zookeeper3_ip>>:2181 # Zookeeper集群地址 KAFKA_INTER_BROKER_LISTENER_NAME: INTERNAL # broker间通信监听器名称 KAFKA_ADVERTISED_LISTENERS: INTERNAL://<<server_ip>>:9093,EXTERNAL://<<server_ip>>:9092 # 对外公告的监听器 KAFKA_LISTENERS: INTERNAL://0.0.0.0:9093,EXTERNAL://0.0.0.0:9092 # 监听地址 KAFKA_OFFSETS_TOPIC_REPLICATION_FACTOR: 2 # 偏移量主题副本因子 KAFKA_MIN_INSYNC_REPLICAS: 2 # 最小同步副本数 KAFKA_RETENTION_HOURS: 336 # 数据保留时间(小时) KAFKA_HEAP_OPTS: "-Xmx8G -Xms4G" # JVM堆配置
本地快速启动(Zookeeper + Kafka)
yamlversion: "3" services: zoo: image: cfei/zookeeper container_name: zookeeper restart: always ports: - 2181:2181 - 2888:2888 - 3888:3888 environment: ZOO_ID: 1 ZOO_PORT: 2181 kafka1: image: cfei/kafka container_name: kafka restart: always ports: - 9092:9092 - 9093:9093 volumes: - ./data:/data/kafka environment: KAFKA_BROKER_ID: 1 KAFKA_ZOOKEEPER_CONNECT: zoo:2181 # 连接本地Zookeeper服务 KAFKA_ADVERTISED_LISTENERS: INTERNAL://localhost:9093,EXTERNAL://localhost:9092 KAFKA_LISTENERS: INTERNAL://0.0.0.0:9093,EXTERNAL://0.0.0.0:9092 depends_on: - zoo # 依赖Zookeeper启动
配置参数说明
基础配置(必选)
| 环境变量 | 说明 |
|---|---|
KAFKA_BROKER_ID | 集群中唯一的broker ID,永久且唯一 |
KAFKA_ZOOKEEPER_CONNECT | Zookeeper连接地址列表(逗号分隔),Kafka将连接第一个可用节点 |
KAFKA_ADVERTISED_LISTENERS | 对外公告的监听器列表(逗号分隔),供客户端和其他broker发现当前节点。至少需配置两个监听器(如内部通信和客户端连接)。注意:不要使用55555端口(容器内部保留端口) |
KAFKA_LISTENERS | 监听地址列表(逗号分隔),支持通配符IP。至少需配置两个监听器。注意:不要使用55555端口 |
其他配置(可选)
| 环境变量 | 说明 | 默认值 |
|---|---|---|
KAFKA_OFFSETS_TOPIC_REPLICATION_FACTOR | 消费者偏移量主题的副本因子,建议至少为2 | 1 |
KAFKA_MIN_INSYNC_REPLICAS | 写入操作需确认的最小副本数,建议至少为2 | 1 |
KAFKA_RETENTION_HOURS | 日志文件保留时间(小时) | 168(7天) |
KAFKA_LISTENER_SECURITY_PROTOCOL_MAP | 监听器名称与安全协议的映射,SSL配置时需设置 | INTERNAL:PLAINTEXT,EXTERNAL:PLAINTEXT,INTERNAL_SSL:SSL,EXTERNAL_SSL:SSL,SSL:SSL,PLAINTEXT:PLAINTEXT |
KAFKA_INTER_BROKER_LISTENER_NAME | broker间通信使用的监听器名称 | INTERNAL |
KAFKA_DEFAULT_REPLICATION_FACTOR | 自动创建主题的默认副本因子 | 1 |
KAFKA_HEAP_OPTS | JVM堆大小配置 | -Xmx256M |
KAFKA_JVM_PERFORMANCE_OPTS | JVM性能参数 | -server -XX:+UseG1GC -XX:MaxGCPauseMillis=20 -XX:InitiatingHeapOccupancyPercent=35 -XX:+ExplicitGCInvokesConcurrent -Djava.awt.headless=true |
卷挂载
| 挂载路径 | 用途 |
|---|---|
/data/kafka | Kafka checkpoint数据存储目录,容器重建时需保留 |
/opt/kafka/logs | Kafka日志目录,用于调试 |
/ssl/ | SSL配置目录,挂载自定义keystore和truststore时使用 |
/sasl/kafka.service.keytab | Kerberos密钥表文件,Kerberos认证时需挂载 |
安全配置
SSL/TLS加密
docker-compose示例(启用SSL)
yamlversion: "3" services: kafka: image: cfei/kafka ports: - 9092:9092 - 9093:9093 environment: KAFKA_BROKER_ID: 1 KAFKA_ZOOKEEPER_CONNECT: <<zookeeper1_ip>>:2181,<<zookeeper2_ip>>:2181,<<zookeeper3_ip>>:2181 KAFKA_INTER_BROKER_LISTENER_NAME: SSL # broker间通信使用SSL KAFKA_LISTENERS: SSL://0.0.0.0:9092,EXTERNAL_SSL://0.0.0.0:9093 # SSL监听器 KAFKA_ADVERTISED_LISTENERS: SSL://<<server_ip>>:9092,EXTERNAL_SSL://<<server_ip>>:9093 KAFKA_TLS_SERVER_DNS_HOSTNAME: <<server_FQDN>> # 服务器DNS名称(不可为IP) KAFKA_CERTIFICATE_AUTHORITY_URL: ca:5000 # 证书颁发机构URL depends_on: - ca ca: image: cfei/certificate_authority volumes: - ./cert-auth:/ssl/ # 证书存储目录
Kerberos认证
带Kerberos API的配置(Zookeeper无Kerberos)
yamlversion: "3" services: kafka: image: cfei/kafka ports: - 9092:9092 - 9093:9093 environment: KAFKA_BROKER_ID: 1 KAFKA_ZOOKEEPER_CONNECT: <<zookeeper1_ip>>:2181,<<zookeeper2_ip>>:2181,<<zookeeper3_ip>>:2181 KAFKA_LISTENERS: INTERNAL_SASL_PLAINTEXT://0.0.0.0:9092,SASL_PLAINTEXT://0.0.0.0:9093 # SASL监听器 KAFKA_ADVERTISED_LISTENERS: INTERNAL_SASL_PLAINTEXT://<<server_ip>>:9092,SASL_PLAINTEXT://<<server_ip>>:9093 KAFKA_INTER_BROKER_LISTENER_NAME: INTERNAL_SASL_PLAINTEXT # 内部通信使用SASL KAFKA_AUTHENTICATION: KERBEROS # 启用Kerberos认证 KERBEROS_PUBLIC_URL: <<kerberos_public_dns>> # Kerberos服务器DNS KERBEROS_REALM: KAFKA.SECURE # Kerberos领域 KERBEROS_API_URL: "<<kerberos_api_public_dns>>/<<get_keytab_endpoint_route>>" # 获取密钥表的API地址 KERBEROS_API_KAFKA_USERNAME: <<kerberos_kafka_principal_name>> # Kafka主体名称 KERBEROS_API_KAFKA_PASSWORD: <<kerberos_api_kafka_password>> # API访问密码
自定义密钥表的Kerberos配置
yamlversion: "3" services: kafka: image: cfei/kafka ports: - 9092:9092 - 9093:9093 environment: KAFKA_BROKER_ID: 1 KAFKA_ZOOKEEPER_CONNECT: <<zookeeper1_ip>>:2181,<<zookeeper2_ip>>:2181,<<zookeeper3_ip>>:2181 KAFKA_LISTENERS: INTERNAL_SASL_PLAINTEXT://0.0.0.0:9092,SASL_PLAINTEXT://0.0.0.0:9093 KAFKA_ADVERTISED_LISTENERS: INTERNAL_SASL_PLAINTEXT://<<server_ip>>:9092,SASL_PLAINTEXT://<<server_ip>>:9093 KAFKA_INTER_BROKER_LISTENER_NAME: INTERNAL_SASL_PLAINTEXT KAFKA_AUTHENTICATION: KERBEROS KERBEROS_PUBLIC_URL: <<kerberos_public_dns>> KERBEROS_REALM: <<kerberos_realm>> KAFKA_KERBEROS_PRINCIPAL: <<kafka_kerberos_principal_name>>@<<kerberos_realm>> # Kafka主体 ZOOKEEPER_KERBEROS_PRINCIPAL: <<zookeeper_kerberos_principal_name>>@<<kerberos_realm>> # Zookeeper主体 volumes: - ./kafka.service.keytab:/sasl/kafka.service.keytab # 挂载自定义密钥表
ACL访问控制
需先配置Kerberos认证,再启用ACL:
yamlversion: "3" services: kafka: image: cfei/kafka ports: - 9092:9092 - 9093:9093 environment: KAFKA_BROKER_ID: 1 KAFKA_ZOOKEEPER_CONNECT: <<zookeeper1_ip>>:2181,<<zookeeper2_ip>>:2181,<<zookeeper3_ip>>:2181 KAFKA_LISTENERS: INTERNAL_SASL_PLAINTEXT://0.0.0.0:9092,SASL_PLAINTEXT://0.0.0.0:9093 KAFKA_ADVERTISED_LISTENERS: INTERNAL_SASL_PLAINTEXT://<<server_ip>>:9092,SASL_PLAINTEXT://<<server_ip>>:9093 KAFKA_INTER_BROKER_LISTENER_NAME: INTERNAL_SASL_PLAINTEXT KAFKA_AUTHENTICATION: KERBEROS KERBEROS_PUBLIC_URL: <<kerberos_public_dns>> KERBEROS_REALM: <<kerberos_realm>> KERBEROS_API_URL: "<<kerberos_api_public_dns>>/<<get_keytab_endpoint_route>>" KERBEROS_API_KAFKA_USERNAME: <<kerberos_kafka_principal_name>> KERBEROS_API_KAFKA_PASSWORD: <<kerberos_api_kafka_password>> KERBEROS_API_ZOOKEEPER_USERNAME: <<kerberos_zookeeper_principal_name>> KERBEROS_API_ZOOKEEPER_PASSWORD: <<kerberos_api_zookeeper_password>> KAFKA_ACL_ENABLE: "true" # 启用ACL KAFKA_ACL_SUPER_USERS: User:kafka # 超级用户(拥有所有权限) KAFKA_ZOOKEEPER_SET_ACL: "true" # 保护Zookeeper中的Kafka数据
更多相关 Docker 镜像与资源
以下是 cfei/kafka 相关的常用 Docker 镜像,适用于 不同场景 等不同场景:
- bitnami/kafka Docker 镜像说明
- apache/kafka Docker 镜像说明
- bitnamicharts/kafka Docker 镜像说明(Kafka 消息队列,Bitnami Charts 版本,适合 Kubernetes 部署)
- ubuntu/kafka Docker 镜像说明(Kafka 消息队列,基于 Ubuntu,适合生产环境)
- wurstmeister/kafka Docker 镜像说明
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
DockerHub 原生拉取命令
docker pull cfei/kafka:<标签>
更多 kafka 镜像推荐
bitnami/kafka
Bitnami Secure Images(VMware Tanzu)
比特纳米Kafka安全镜像是一款针对分布式流处理平台Kafka的预配置、安全加固容器镜像,集成行业最佳安全实践,涵盖漏洞扫描、最小权限原则、加密通信支持及合规性检查,旨在简化Kafka部署流程,确保数据传输与存储安全性,适用于企业级流数据处理场景,帮助用户快速搭建安全可靠的Kafka集群。
964 次收藏1亿+ 次下载
8 个月前更新
bitnamicharts/kafka
bitnamicharts
Bitnami为Apache Kafka提供的Helm Chart是一款预配置的Kubernetes包管理工具,旨在简化分布式流处理平台Apache Kafka在Kubernetes集群中的部署、配置与全生命周期运维管理,集成了高可用性集群设置、安全认证机制、Prometheus监控指标及自动伸缩策略等核心功能,帮助用户无需手动处理复杂的集群参数配置,即可快速搭建稳定、可扩展且符合生产级标准的Kafka服务,适用于从开发测试到大规模生产环境的各类场景。
6 次收藏1000万+ 次下载
8 个月前更新
ubuntu/kafka
Ubuntu 官方镜像
Apache Kafka 是一个分布式事件流平台,它支持高吞吐量、低延迟的实时数据流处理与传输,可广泛应用于消息传递、日志聚合、实时分析、数据集成等场景,其长期维护轨道由 Canonical 负责,以确保平台在稳定性、安全性及功能迭代方面获得持续支持,为企业级用户提供可靠的事件流处理解决方案。
60 次收藏100万+ 次下载
1 个月前更新
apache/kafka
Apache 软件基金会镜像
Apache Kafka是一个开源的分布式流处理平台,旨在提供高吞吐量、低延迟的实时数据流传递服务,支持发布/订阅消息模式,能够持久化存储海量数据流并确保数据可靠性,具备水平扩展能力和容错机制,广泛应用于日志收集、事件驱动架构、实时数据集成及流处理系统等场景,为企业级应用提供高效、稳定的数据流传输与处理解决方案。
206 次收藏1000万+ 次下载
10 天前更新
manageiq/kafka
manageiq
适用于OpenShift的Kafka容器,主要为ManageIQ提供服务,基于https://github.com/rondinif/openshift-kafka升级而来。
1万+ 次下载
7 年前更新
cleanstart/kafka
cleanstart
Secure by Design,为速度构建,基于最小化CleanStart OS的强化容器镜像。
1万+ 次下载
5 天前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
配置了专属域名后,docker search 为什么会报错?
docker search 限制
Docker Hub 上有的镜像,为什么在轩辕镜像网站搜不到?
站内搜不到镜像
机器不能直连外网时,怎么用 docker save / load 迁镜像?
离线 save/load
docker pull 拉插件报错(plugin v1+json)怎么办?
插件要用 plugin install
WSL 里 Docker 拉镜像特别慢,怎么排查和优化?
WSL 拉取慢
轩辕镜像安全吗?如何用 digest 校验镜像没被篡改?
安全与 digest
第一次用轩辕镜像拉 Docker 镜像,要怎么登录和配置?
新手拉取配置
轩辕镜像合规吗?轩辕镜像的合规是怎么做的?
镜像合规机制
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
docker 无法连接轩辕镜像域名怎么办?
域名连通性排查
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"