• 在默认的Kafka配置下，客户端与Kafka集群通信都是通过broker的主机名进行的，因此客户端都需要在 /etc/hosts 中配置各个broker的IP和主机名；
• 采用主机名通信的方式带来的问题是，客户端要配置所有broker的主机名，一是麻烦，用户不爽；二是如果扩容必须通知到所有的上下游，否则访问会出错（因为客户端解析不出新的主机名）；
• 给Kafka配置域名可以很好地解决上面的问题，但相应地，付出的代价是，Kafka的管理人员需要进行额外的配置；
• 本文介绍三种难度下给Kafka配置域名访问的方法，分别是：
  • 无认证Kafka，支持内外网同时访问，内网配置域名；
  • SASL/PLAIN认证Kafka，支持内外网同时访问，内网配置域名；
  • Ambari发行版的SASL/PLAIN认证Kafka，支持内外网同时访问，内网配置域名；
• 三种方法有一个共同的前提：配置好DNS，将域名解析到所有Kafka broker的IP地址，并且在扩容（如果有）的同时，更新DNS解析配置；
• 本文所出现的配置域名的方法在1.0（包括）之后的多个版本都应用过，如有例外，欢迎反馈；

为了方便表述，假设一台broker的内、外网地址分别为 192.168.1.1 和 8.8.8.8，内网使用 9092 端口，外网使用9093 端口，因为各个broker的配置方式是相同的，所以我将以这个broker的配置为例讲解，其它broker的配置请自行类推。

注意，不配置域名的情况下，kafka的 listeners 一般长下面这个样子：

listeners=PLAINTEXT://:9092
# 或者 listeners=PLAINTEXT://localhost:9092

因为要支持内外网同时访问，初级难度也不初级，先看配置：

listeners=PLAINTEXT://192.168.1.1:9092,EXTERNAL://8.8.8.8:9093
listener.security.protocol.map=PLAINTEXT:PLAINTEXT,EXTERNAL:PLAINTEXT
security.inter.broker.protocol=PLAINTEXT

配置其实和无认证情况的类似，但需要多两个配置：

listeners=SASL_PLAINTEXT://192.168.1.1:9092,EXTERNAL://8.8.8.8:9093
listener.security.protocol.map=SASL_PLAINTEXT:SASL_PLAINTEXT,EXTERNAL:SASL_PLAINTEXT
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.enabled.mechanisms=PLAIN
sasl.mechanism.inter.broker.protocol=PLAIN

没什么好说的，不过内外网的安全协议并非都要是 SASL_PLAINTEXT，一个为 SASL_PLAINTEXT，一个为 PLAINTEXT 也是OK的。

其实无论使用什么发行版的Kafka，上面两种配置方法都应当是一样的，但是你挡不出Ambari给你造个bug。我按照上面的方法在Ambari中进行配置，也确实有效，认证和域名访问都正常，就有一个问题，Ambari会报警，报警如下：

图中遮住的部分是真实的内网地址，这个报警就让人很摸不着头脑了，9093端口绑在外网，从内网可不是不通吗？尴尬的是，如果不解决这个问题，报警就没有作用了，但监控broker的存活还是很有必要的，我尝试了以下三种解决方法：