Dieses Dokument enthält Anleitungen zur Fehlerbehebung bei häufigen Problemen, die bei der Verwendung eines MirrorMaker 2.0-Connectors auftreten können.
Häufige MirrorMaker 2.0-Fehler
In diesem Abschnitt werden häufige Fehler aufgeführt, die bei der Verwendung eines MirrorMaker 2.0-Connectors auftreten können.
Zeitüberschreitung beim Warten auf eine Knotenzuweisung
Wenn der Connect-Cluster nicht auf den Kafka-Cluster zugreifen kann, wird der folgende Fehler angezeigt:
Timed out waiting for a node assignment.
Mögliche Ursachen für diesen Fehler:
Der Connect-Cluster kann sich nicht beim Kafka-Cluster authentifizieren. Prüfen Sie die Authentifizierungsparameter in der Connector-Konfiguration. Weitere Informationen finden Sie unter MirrorMaker 2.0-Connector erstellen.
Ein Netzwerkproblem verhindert, dass der Connect-Cluster den Kafka-Cluster erreicht. Folgen Sie der Anleitung unter Netzwerkprobleme beheben.
DNS-Auflösung fehlgeschlagen
Wenn der Connect-Cluster die Bootstrap-Adresse nicht auflösen kann, wird der folgende Fehler angezeigt:
No resolvable bootstrap urls given in bootstrap.servers
Möglicherweise wird auch ein ähnlicher Fehler wie der folgende angezeigt:
Couldn't resolve server BOOTSTRAP_ADDRESS from bootstrap.servers as DNS resolution failed for BOOTSTRAP_ADDRESS
Prüfen Sie zur Behebung dieses Problems zuerst, ob die Bootstrap-Adresse korrekt ist. Wenn das der Fall ist, folgen Sie der Anleitung unter Fehlerbehebung bei der Auflösung von Domainnamen.
Ungültige Anmeldedaten
Wenn sich der Connect-Cluster nicht bei einem der Kafka-Cluster authentifizieren kann, erhalten Sie einen Fehler wie den folgenden:
org.apache.kafka.clients.NetworkClient processDisconnection
SEVERE: [AdminClient clientId=source->target|mm2|offset-syncs-source-admin] Connection to
node 11 (broker-1.BOOTSTRAP_ADDRESS/IP_ADDRESS:9092) failed authentication due to: Authentication
failed during authentication due to invalid credentials with SASL mechanism OAUTHBEARER
Mögliche Ursachen für diesen Fehler:
Dem Managed Kafka-Dienstkonto für einen oder beide Cluster fehlt die Rolle „Managed Kafka Service Agent“.
Gewähren Sie für jeden Managed Service for Apache Kafka-Cluster dem Managed Kafka-Dienstkonto für das Projekt des Clusters die IAM-Rolle Managed Kafka Service Agent. Weitere Informationen finden Sie unter Netzwerk für Managed Service for Apache Kafka konfigurieren.
Die Authentifizierung bei einem selbstverwalteten oder externen Cluster ist fehlgeschlagen.
Prüfen Sie bei selbstverwalteten oder externen Kafka-Clustern, ob die Authentifizierungseigenschaften für den Cluster korrekt sind. Die Details hängen von Ihrer Clusterkonfiguration ab. Weitere Informationen finden Sie unter MirrorMaker 2-Connector erstellen.
Die Cluster befinden sich nicht im selben VPC Service Controls-Perimeter.
Wenn Sie VPC Service Controls verwenden, um Ihre Kafka-Cluster zu isolieren, müssen sich die Cluster im selben Perimeter befinden. Weitere Informationen finden Sie unter VPC Service Controls.
Vorgang für Prinzipal abgelehnt
Wenn Sie eine Zugriffssteuerungsliste (Access Control List, ACL) für Apache Kafka erstellen und die ACL dem Managed Kafka-Dienstkonto keine Lese- und Schreibberechtigungen gewährt, erhalten Sie eine Fehlermeldung wie die folgende:
Principal = User:SERVICE_ACCOUNT is Denied operation = OPERATION from host = HOST
on resource = Topic:LITERAL:TOPIC for request = TOPIC with resourceRefCount = 1 based on rule DefaultDeny
Standardmäßig werden Managed Service for Apache Kafka-Cluster mit allow.everyone.if.no.acl.found auf true betrieben. Dadurch erhält das Managed Kafka-Dienstkonto Lese- und Schreibzugriff auf Clusterressourcen.
Wenn Sie jedoch ACLs festlegen, müssen diese dem Dienstkonto Lese- und Schreibberechtigungen gewähren. Andernfalls verliert der Connect-Cluster die Lese- und Schreibberechtigungen für alle Themen und die Leseberechtigung für alle Consumer-Gruppen.
Um dieses Problem zu beheben, fügen Sie ACL-Einträge hinzu, die dem Managed Kafka-Dienstkonto die erforderlichen Berechtigungen erteilen. Folgen Sie dazu der Anleitung unter ACL-Eintrag zu einer Managed Kafka-ACL hinzufügen.
Das Hauptkonto ist
User:service-PROJECT_NUMBER@gcp-sa-managedkafka.iam.gserviceaccount.com. Ersetzen Sie PROJECT_NUMBER durch die Google Cloud Projektnummer.Lese- und Schreibzugriff auf bestimmte Themen und Lesezugriff auf bestimmte Nutzergruppen gewähren. Informationen zum Angeben von Ressourcen für eine ACL finden Sie unter ACL-ID.
Nachrichten werden nicht dupliziert
Prüfen Sie die Konfiguration des Connectors, um das Problem zu beheben. Wenn Sie den primären Kafka-Cluster als Quellcluster verwenden, legen Sie producer.override.bootstrap.servers auf die Bootstrap-Adresse des Zielclusters fest.
Netzwerkprobleme beheben
Wenn bei der Verwendung eines MirrorMaker 2.0-Connectors Netzwerkprobleme auftreten, führen Sie die folgenden Schritte zur Fehlerbehebung aus.
Beim Herstellen einer Verbindung zu einem Managed Service for Apache Kafka-Cluster gilt Folgendes:
Suchen Sie das Worker-Subnetz des Connect-Clusters und das VPC-Netzwerk des Subnetzes.
Sehen Sie sich die Konfiguration des primären Kafka-Clusters an und suchen Sie nach der Liste der Subnetze. Mindestens ein Subnetz muss sich im selben VPC-Netzwerk wie das Subnetz des Connect-Clusters befinden.
Wiederholen Sie den vorherigen Schritt für den sekundären Kafka-Cluster.
Achten Sie darauf, dass die Firewallregeln es der Private Service Connect-Schnittstelle erlauben, sowohl den Quell- als auch den Ziel-Kafka-Cluster zu erreichen.
Wenn Sie eine Verbindung zu einem externen oder selbstverwalteten Kafka-Cluster herstellen:
Suchen Sie das Worker-Subnetz des Connect-Clusters und das VPC-Netzwerk des Subnetzes.
Prüfen Sie, ob auf den Kafka-Cluster über das VPC-Netzwerk zugegriffen werden kann. Sie können den Kafka-Cluster beispielsweise im selben VPC-Netzwerk bereitstellen oder den Cluster über freigegebene VPC oder DNS-Zonen vom VPC-Netzwerk aus erreichbar machen.
1. Wenn auf den Kafka-Quell- oder ‑Zielcluster über das Internet zugegriffen wird, konfigurieren Sie Cloud NAT, damit die Connect-Cluster-Worker auf das Internet zugreifen können.
Weitere Informationen zum Netzwerk in Managed Service for Apache Kafka finden Sie unter Managed Service for Apache Kafka.
Fehlerbehebung bei der Auflösung von Domainnamen
Wenn bei der Verwendung eines MirrorMaker 2.0-Connectors Probleme mit der Auflösung von Domainnamen auftreten, führen Sie die folgenden Schritte zur Fehlerbehebung aus:
Suchen Sie das Worker-Subnetz des Connect-Clusters und das VPC-Netzwerk des Subnetzes.
Rufen Sie in der Google Cloud Console die Seite Cloud DNS-Zonen auf.
Wählen Sie das Google Cloud Projekt aus, das das VPC-Netzwerk enthält.
Klicken Sie auf Zonen und prüfen Sie, ob der Domainname in der Liste der DNS-Zonen angezeigt wird.
Sehen Sie sich die Konfiguration des Connect-Clusters an und suchen Sie nach der Liste der auflösbaren DNS-Domains. Wenn der Domainname nicht aufgeführt ist, aktualisieren Sie den Connect-Cluster, um die DNS-Domain hinzuzufügen. Weitere Informationen finden Sie unter Connect-Cluster aktualisieren.