单个区域中的 Amazon MSK 多VPC私有连接 - Amazon Managed Streaming for Apache Kafka
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

单个区域中的 Amazon MSK 多VPC私有连接

适用于 Apache Kafka(亚马逊 Amazon PrivateLink)集群的亚马逊托管流媒体的多VPC私有连接(MSK由)提供支持,该功能使您能够更快地将托管在不同虚拟私有VPCs云 ( Amazon ) 和账户中的 Kafka 客户端 () 和账户连接到亚马逊集群。MSK

多VPC私有连接是一种托管解决方案,可简化多账户VPC和跨账户连接的网络基础架构。客户端可以通过连接到 Amazon MSK 集群, PrivateLink 同时将所有流量保持在 Amazon 网络内。Amazon MSK 集群的多VPC私有连接在所有可用 Amazon 的 Amazon 区域MSK都可用。

什么是多VPC私有连接?

Amazon 的多VPC私有连接MSK是一种连接选项,允许您将托管在不同虚拟私有云 (VPCs) 和 Amazon 账户中的 Apache Kafka 客户端连接到集群。MSK

Amazon MSK 通过集群策略简化了跨账户访问。这些策略允许集群所有者向其他 Amazon 账户授予与MSK集群建立私有连接的权限。

多VPC私有连接的好处

与其他连接解决方案相比,多VPC私有连接具有以下优势:

  • 它可以自动执行 Amazon PrivateLink 连接解决方案的运营管理。

  • 它允许IPs在连接之间进行重叠VPCs,从而无需维护与其他连接解决方案关联的不重叠IPs、复杂的对等VPC互连和路由表。

您可以使用集群策略来定义哪些 Amazon 账户有权设置与您的MSK集群的跨账户私有连接。MSK跨账户管理员可以将权限委派给相应的角色或用户。与IAM客户端身份验证一起使用时,您还可以使用集群策略为连接的客户端精细定义 Kafka 数据平面权限。

多VPC私有连接的要求和限制

请注意运行多VPC私有连接的以下MSK群集要求:

  • 只有 Apache Kafka 2.7.1 或更高版本支持多VPC私有连接。确保您在集群中使用的任何客户端都运行与MSK集群兼容的 Apache Kafka 版本。

  • 多VPC私有连接支持身份验证类型IAMTLS和SASL/SCRAM。未经身份验证的集群不能使用多VPC私有连接。

  • 如果您使用的是SASL/SCRAM或 m TLS 访问控制方法,则必须为集群设置 Apache Kafka ACLs。首先,为您的集群设置 Apache Ka ACLs fka。然后,更新集群的配置,将集群的属性 allow.everyone.if.no.acl.found 设置为 false。有关如何更新集群配置的信息,请参阅 亚马逊MSK配置操作。如果您正在使用IAM访问控制并想要应用授权策略或更新您的授权策略,请参阅IAM访问控制。有关 Apache Kafka 的信息ACLs,请参阅。阿帕奇 Kafka ACLs

  • 多VPC私有连接不支持 t3.small 实例类型。

  • 不支持跨 Amazon 区域的多VPC私有连接,仅支持同一区域内的 Amazon 账户。

  • 亚马逊MSK不支持与 Zookeeper 节点的多VPC私有连接。