本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 开始使用多 VPC 私有连接 **Topics** + [步骤 1:在账户 A 的 MSK 集群上,为集群上的 IAM 身份验证方案开启多 VPC 连接](mvpc-cluster-owner-action-turn-on.md) + [步骤 2:将集群策略附加到 MSK 集群](mvpc-cluster-owner-action-policy.md) + [步骤 3:用于配置客户端托管的 VPC 连接的跨账户用户操作](mvpc-cross-account-user-action.md) 本教程使用一个常见的用例作为示例,说明如何使用多 VPC 连接,将 Apache Kafka 客户端从集群的 VPC 内部 Amazon但外部私下连接到 MSK 集群。此过程要求跨账户用户为每个客户端创建 MSK 托管式 VPC 连接和配置,包括所需的客户端权限。该过程还要求 MSK 集群所有者在 MSK 集群上启用 PrivateLink 连接,并选择身份验证方案来控制对集群的访问。 在本教程的不同部分中,我们选择适用于此示例的选项。这并不意味着它们是可用于设置 MSK 集群或客户端实例的唯一选项。 此用例的网络配置如下: + 跨账户用户(Kafka 客户端)和 MSK 集群位于同一个 Amazon 网络/区域中,但在不同的账户中: + 账户 A 中的 MSK 集群 + 账户 B 中的 Kafka 客户端 + 跨账户用户将使用 IAM 身份验证方案私密连接到 MSK 集群。 本教程假设有一个使用 Apache Kafka 版本 2.7.1 或更高版本创建的预置 MSK 集群。在开始配置过程之前,MSK 集群必须处于 ACTIVE 状态。为避免潜在的数据丢失或停机,将使用多 VPC 私有连接来连接到集群的客户端应使用与集群兼容的 Apache Kafka 版本。 下图说明了连接到不同 Amazon 账户中的客户端的 Amazon MSK 多 VPC 连接架构。 ![单区域中的多 VPC 网络图](http://docs.amazonaws.cn/msk/latest/developerguide/images/mvpc-network.png)