我特别尝试用ApacheStorm（1.0.2）实现这一点，但它与任何使用kerberos保护的服务都相关。我要在docker管理一个安全的风暴群。有一个开箱即用的 Docker 的形象有很多风暴，他们的工作非常好。我在用https://github.com/baqend/docker-storm. 我也有风暴运行安全rhel虚拟机的。
然而，我的理解是kerberos将主机名与主体联系起来，所以如果我要使客户机可以使用servicefoobar，我需要创建的主体 foobar/hostname@REALM . 然后客户端服务可能会连接到 hostname 与校长 foobar ，kerberos将查找 foobar/hostname@REALM 在它的数据库中，找到它在那里（因为我们创建了一个具有该名称的主体），一切都将正常工作。
在我的例子中，这里描述了：https://docs.hortonworks.com/hdpdocuments/hdp2/hdp-2.3.0/bk_installing_manually_book/content/configure_kerberos_for_storm.html. nimbus认证为 storm/<nimbus host>@REALM ，并且主管和外部客户验证为 storm/REALM . 一切正常。
但在2017年，我们有了容器，主机名不再是静态的。那么，我该如何kerberize一个在docker数据中心（或kubernetes等）运行的服务呢？我必须为服务器身份验证附加一个未知的主机名。我想我可以为所有可能的主机名创建一个主体，并在启动时根据容器所在的位置动态地选择一个合适的主机名，但这很困难。
我是不是误解了kerberos的工作原理？有没有我看不到的解决办法？我在网上看到很多人在docker上运行storm的例子，但我无法想象没有人的集群是安全的。