本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
单区域中的 Amazon MSK 多 VPC 私有连接
Apache Kafka(Amazon MSK Amazon PrivateLink)集群的多 VPC 私有连接(由)提供支持(由)提供支持,让您可以更快地将托管在不同虚拟私有云(VPCs)和 Amazon 账户中的 Kafka 客户端连接到 Amazon MSK 集群。
多 VPC 私有连接是一种托管式解决方案,可简化多 VPC 和跨账户连接的网络基础设施。客户端可以连接到 Amazon MSK 集群, PrivateLink 同时将所有流量保持在 Amazon 网络内。Amazon MSK 集群的多 VPC 私有连接适用于支持 Amazon MSK 集群的所有 Amazon 区域。
主题
什么是多 VPC 私有连接?
Amazon MSK 的多 VPC 私有连接是一种连接选项,让您可以将托管在不同虚拟私有云(VPCs)和 Amazon 账户中的 Apache Kafka 客户端连接到 MSK 集群。
Amazon MSK 通过集群策略简化跨账户存取。这些策略允许集群所有者向其他 Amazon 账户授予与 MSK 集群建立私有连接的权限。
多 VPC 私有连接的优势
与其他连接解决方案相比,多 VPC 私有连接具有以下几个优势:
它可以自动化 Amazon PrivateLink 连接解决方案的操作管理。
它允许 IPs 在连接之间重叠 VPCs,从而无需维护与其他 VPC 连接解决方案关联的非重叠 IPs的复杂对等连接和路由表。
您可以对 MSK 集群使用集群策略,以定义哪些 Amazon 账户拥有设置与 Amazon MSK 集群的跨账户私有连接的权限。跨账户管理员可以将权限委派给相应的角色或用户。当与 IAM 客户端身份验证一起使用时,您也可以使用集群策略为连接的客户端精细定义 Kafka 数据面板的权限。
多 VPC 私有连接的要求和限制
请注意运行多 VPC 私有连接的以下 MSK 集群要求:
只有 Apache Kafka 2.7.1 或更高版本支持多 VPC 私有连接。请确保与 MSK 集群搭配使用的任何客户端都运行与集群兼容的 Apache Kafka 版本。
多 VPC 私有连接支持身份验证类型 IAM、TLS 和 SASL/SCRAM。未经身份验证的集群无法使用多 VPC 私有连接。
如果您使用的是 SASL/SCRAM 或 mTLS 访问控制方法,则必须为集群设置 Apache Kafka。 ACLs 首先,为集群设置 Apache Ka ACLs fka。然后,更新集群的配置,将集群的属性
allow.everyone.if.no.acl.found设置为 false。有关如何更新集群配置的信息,请参阅代理配置操作。如果您使用的是 IAM 访问控制并想要应用授权策略或更新授权策略,请参阅 IAM 访问控制。有关 Apache Kafka 的信息 ACLs,请参阅。阿帕奇Kafka a ACLs多 VPC 私有连接不支持 t3.small 实例类型。
跨 Amazon 区域账户不支持多 VPC 私有连接,仅同一区域内的 Amazon 账户支持多 VPC 私有连接。
-
要设置多 VPC 私有连接,您的客户端子网数量必须与集群子网数量相同。您还必须确保客户端子网和集群子网的可用区 IDs相同。
Amazon MSK 不支持与 Zookeeper 节点的多 VPC 私有连接。