Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Zugriff von innerhalb AWS , aber außerhalb der Cluster-VPC
Um von innerhalb, AWS aber außerhalb der Amazon VPC des Clusters eine Verbindung zu einem MSK-Cluster herzustellen, gibt es die folgenden Optionen.
## Amazon-VPC-Peering
Um von einer VPC aus, die sich von der VPC des Clusters unterscheidet, eine Verbindung zu Ihrem MSK-Cluster herzustellen, können Sie eine Peering-Verbindung zwischen den beiden herstellen. VPCs Informationen zum VPC-Peering finden Sie im [Amazon VPC-Peering-Handbuch](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html).
## Direct Connect
Direct Connect verbindet Ihr lokales Netzwerk AWS über ein standardmäßiges 1-Gigabit- oder 10-Gigabit-Ethernet-Glasfaserkabel. Ein Ende des Kabels ist mit Ihrem Router verbunden, das andere mit einem Router. Direct Connect Mit dieser Verbindung können Sie virtuelle Schnittstellen direkt zur AWS Cloud und Amazon VPC erstellen und dabei Internetdienstanbieter in Ihrem Netzwerkpfad umgehen. Weitere Informationen finden Sie unter [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html).
## AWS Transit Gateway
AWS Transit Gateway ist ein Service, mit dem Sie Ihre Netzwerke VPCs und Ihre lokalen Netzwerke mit einem einzigen Gateway verbinden können. Weitere Informationen zur Verwendung von AWS Transit Gateway finden Sie unter [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html).
## VPN-Verbindungen
Sie können die VPC Ihres MSK-Clusters mithilfe der im folgenden Thema beschriebenen VPC-Konnektivitätsoptionen mit Remote-Netzwerken und -Benutzern verbinden: [VPN-Verbindungen](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html).
## REST-Proxys
Sie können einen REST-Proxy auf einer Instance installieren, die in der Amazon VPC Ihres Clusters ausgeführt wird. Mit REST-Proxys können Ihre Produzenten und Konsumenten über HTTP-API-Anforderungen mit dem Cluster kommunizieren.
## Multi-VPC-Konnektivität in mehreren Regionen
Das folgende Dokument beschreibt Konnektivitätsoptionen für mehrere VPCs , die sich in verschiedenen Regionen befinden: [Multi-VPC-Konnektivität für mehrere Regionen](https://aws.amazon.com/answers/networking/aws-multiple-region-multi-vpc-connectivity/).
## Private Multi-VPC-Konnektivität in einer einzelnen Region
Private Multi-VPC-Konnektivität (unterstützt von [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)) für Amazon Managed Streaming for Apache Kafka (Amazon MSK) -Cluster ist eine Funktion, mit der Sie Kafka-Clients, die in verschiedenen Virtual Private Clouds (VPCs) und AWS Konten gehostet werden, schneller mit einem Amazon MSK-Cluster verbinden können.
Weitere Informationen finden Sie unter [Multi-VPC-Konnektivität in einer einzelnen Region für kontoübergreifende Kunden](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access-mult-vpc.html).
## EC2-Classic-Netzwerke wurden eingestellt
Amazon MSK unterstützt keine Amazon EC2 EC2-Instances mehr, die mit Amazon EC2-Classic-Netzwerken ausgeführt werden.
Weitere Informationen finden Sie unter [EC2-Classic Networking wird eingestellt — So bereiten Sie sich darauf vor.](https://aws.amazon.com/blogs/aws/ec2-classic-is-retiring-heres-how-to-prepare/)
# Private Multi-VPC-Konnektivität von Amazon MSK in einer einzelnen Region
Private Multi-VPC-Konnektivität (unterstützt von [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)) für Amazon Managed Streaming for Apache Kafka (Amazon MSK) -Cluster ist eine Funktion, mit der Sie Kafka-Clients, die in verschiedenen Virtual Private Clouds (VPCs) und AWS Konten gehostet werden, schneller mit einem Amazon MSK-Cluster verbinden können.
Private Multi-VPC-Konnektivität ist eine verwaltete Lösung, die die Netzwerkinfrastruktur für Multi-VPC- und kontenübergreifende Konnektivität vereinfacht. Clients können eine Verbindung zum Amazon MSK-Cluster herstellen PrivateLink und gleichzeitig den gesamten Datenverkehr im AWS Netzwerk behalten. Private Multi-VPC-Konnektivität für Amazon MSK-Cluster ist in allen AWS Regionen verfügbar, in denen Amazon MSK verfügbar ist.
**Topics**
+ [Was ist private Multi-VPC-Konnektivität?](#mvpc-what-is)
+ [Vorteile der privaten Multi-VPC-Konnektivität](#mvpc-benefits)
+ [Anforderungen und Einschränkungen für private Multi-VPC-Konnektivität](#mvpc-requirements)
+ [Erste Schritte mit privater Multi-VPC-Konnektivität](mvpc-getting-started.md)
+ [Die Autorisierungsschema auf einem Cluster aktualisieren](mvpc-cross-account-update-authschemes.md)
+ [Eine verwaltete VPC-Verbindung zu einem Amazon-MSK-Cluster ablehnen](mvpc-cross-account-reject-connection.md)
+ [Eine verwaltete VPC-Verbindung zu einem Amazon-MSK-Cluster löschen](mvpc-cross-account-delete-connection.md)
+ [Berechtigungen für private Multi-VPC-Konnektivität](mvpc-cross-account-permissions.md)
## Was ist private Multi-VPC-Konnektivität?
Private Multi-VPC-Konnektivität für Amazon MSK ist eine Konnektivitätsoption, mit der Sie Apache Kafka-Clients, die in verschiedenen Virtual Private Clouds (VPCs) und AWS Konten gehostet werden, mit einem MSK-Cluster verbinden können.
Amazon MSK vereinfacht den kontoübergreifenden Zugriff mit [Cluster-Richtlinien](mvpc-cluster-owner-action-policy.md). Diese Richtlinien ermöglichen es dem Clusterbesitzer, anderen AWS Konten Berechtigungen zu erteilen, um eine private Konnektivität zum MSK-Cluster herzustellen.
## Vorteile der privaten Multi-VPC-Konnektivität
Private Multi-VPC-Konnektivität bietet mehrere Vorteile gegenüber [anderen Konnektivitätslösungen](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access.html):
+ Es automatisiert das Betriebsmanagement der AWS PrivateLink Konnektivitätslösung.
+ Es ermöglicht Überlappungen IPs zwischen Verbindungen VPCs, wodurch die Notwendigkeit entfällt, überlappungsfreie IPs, komplexe Peering- und Routing-Tabellen zu verwalten, die mit anderen VPC-Konnektivitätslösungen verbunden sind.
Sie verwenden eine Clusterrichtlinie für Ihren MSK-Cluster, um zu definieren, welche AWS Konten berechtigt sind, kontenübergreifende private Konnektivität zu Ihrem MSK-Cluster einzurichten. Der kontoübergreifende Administrator kann Berechtigungen an entsprechende Rollen oder Benutzer delegieren. Bei Verwendung mit der IAM-Client-Authentifizierung können Sie die Cluster-Richtlinie auch verwenden, um die Kafka-Datenebenen-Berechtigungen für die verbindenden Clients detailliert zu definieren.
## Anforderungen und Einschränkungen für private Multi-VPC-Konnektivität
Beachten Sie die folgenden MSK-Cluster-Anforderungen für die Ausführung von privater Multi-VPC-Konnektivität:
+ Private Multi-VPC-Konnektivität wird nur auf Apache Kafka 2.7.1 oder höher unterstützt. Stellen Sie sicher, dass auf allen Clients, die Sie mit dem MSK-Cluster verwenden, Apache-Kafka-Versionen ausgeführt werden, die mit dem Cluster kompatibel sind.
+ Private Multi-VPC-Konnektivität unterstützt die Authentifizierungstypen IAM, TLS und SASL/SCRAM. Nicht authentifizierte Cluster können keine private Multi-VPC-Konnektivität verwenden.
+ Wenn Sie die Zugriffskontrollmethoden SASL/SCRAM oder mTLS verwenden, müssen Sie Apache Kafka für Ihren Cluster einrichten. ACLs Stellen Sie zunächst Apache Kafka ACLs für Ihren Cluster ein. Aktualisieren Sie anschließend die Konfiguration des Clusters, sodass die Eigenschaft `allow.everyone.if.no.acl.found` für den Cluster auf Falsch gesetzt ist. Weitere Informationen zum Aktualisieren der Konfiguration eines Clusters finden Sie unter [Operationen zur Broker-Konfiguration](msk-configuration-operations.md). Wenn Sie IAM-Zugriffssteuerung verwenden und Autorisierungsrichtlinien anwenden oder Ihre Autorisierungsrichtlinien aktualisieren möchten, finden Sie weitere Informationen unter [IAM-Zugriffssteuerung](iam-access-control.md). Informationen zu Apache Kafka finden Sie ACLs unter. [Apache Kafka ACLs](msk-acls.md)
+ Private Multi-VPC-Konnektivität unterstützt den Instance-Typ t3.small nicht.
+ Private Multi-VPC-Konnektivität wird nicht regionsübergreifend unterstützt, sondern nur AWS für Konten innerhalb derselben AWS Region.
+ Um private Multi-VPC-Konnektivität einzurichten, benötigen Sie dieselbe Anzahl von Client-Subnetzen wie Cluster-Subnetze. Sie müssen außerdem sicherstellen, dass die [Availability Zone](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) für das IDs Client-Subnetz und das Cluster-Subnetz identisch ist.
+ Amazon MSK unterstützt keine private Multi-VPC-Konnektivität zu ZooKeeper-Knoten.
# Erste Schritte mit privater Multi-VPC-Konnektivität
**Topics**
+ [Schritt 1: Auf dem MSK-Cluster in Konto A die Multi-VPC-Konnektivität für das IAM-Authentifizierungsschema auf dem Cluster aktivieren](mvpc-cluster-owner-action-turn-on.md)
+ [Schritt 2: Eine Cluster-Richtlinie an den MSK-Cluster anhängen](mvpc-cluster-owner-action-policy.md)
+ [Schritt 3: Kontoübergreifende Benutzeraktionen zur Konfiguration von clientverwalteten VPC-Verbindungen](mvpc-cross-account-user-action.md)
In diesem Tutorial wird ein gängiger Anwendungsfall als Beispiel dafür verwendet, wie Sie Multi-VPC-Konnektivität verwenden können, um einen Apache Kafka-Client privat mit einem MSK-Cluster von innerhalb AWS, aber außerhalb der VPC des Clusters zu verbinden. Für diesen Prozess muss der kontoübergreifende Benutzer eine MSK-verwaltete VPC-Verbindung und -Konfiguration für jeden Client erstellen, einschließlich der erforderlichen Client-Berechtigungen. Der Prozess erfordert außerdem, dass der Eigentümer des MSK-Clusters die PrivateLink Konnektivität auf dem MSK-Cluster aktiviert und Authentifizierungsschemata zur Steuerung des Zugriffs auf den Cluster auswählt.
In verschiedenen Teilen dieses Tutorials wählen wir Optionen aus, die für dieses Beispiel gelten. Dies bedeutet nicht, dass dies die einzigen Optionen sind, um einen MSK-Cluster oder Client-Instances einzurichten.
Die Netzwerkkonfiguration für diesen Anwendungsfall lautet wie folgt:
+ Ein kontoübergreifender Benutzer (Kafka-Client) und ein MSK-Cluster befinden sich in demselben/derselben AWS -Netzwerk/-Region, aber in unterschiedlichen Konten:
+ MSK-Cluster in Konto A
+ Kafka-Client in Konto B
+ Der kontoübergreifende Benutzer stellt mithilfe des IAM-Authentifizierungsschemas eine private Verbindung zum MSK-Cluster her.
In diesem Tutorial wird davon ausgegangen, dass es einen bereitgestellten MSK-Cluster gibt, der mit Apache Kafka Version 2.7.1 oder höher erstellt wurde. Der MSK-Cluster muss sich im ACTIVE-Status befinden, bevor Sie mit dem Konfigurationsprozess beginnen können. Um potenziellen Datenverlust oder Ausfallzeiten zu vermeiden, sollten Clients, die eine private Multi-VPC-Verbindung nutzen, um eine Verbindung zum Cluster herzustellen, Apache-Kafka-Versionen verwenden, die mit dem Cluster kompatibel sind.
Das folgende Diagramm zeigt die Architektur der Amazon MSK Multi-VPC-Konnektivität, die mit einem Client in einem anderen Konto verbunden ist. AWS
![\[Multi-VPC-Netzwerkdiagramm in einer einzelnen Region\]](http://docs.aws.amazon.com/de_de/msk/latest/developerguide/images/mvpc-network.png)
# Schritt 1: Auf dem MSK-Cluster in Konto A die Multi-VPC-Konnektivität für das IAM-Authentifizierungsschema auf dem Cluster aktivieren
Der MSK-Cluster-Besitzer muss die Konfigurationseinstellungen für den MSK-Cluster vornehmen, nachdem der Cluster erstellt wurde und sich im Status ACTIVE befindet.
Der Cluster-Besitzer aktiviert private Multi-VPC-Konnektivität auf dem ACTIVE-Cluster für alle Authentifizierungsschemas, die auf dem Cluster aktiv sein werden. Dies kann mithilfe der [UpdateSecurity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-security.html) - oder MSK-Konsole erfolgen. Die Authentifizierungsschema IAM, SASL/SCRAM und TLS unterstützen private Multi-VPC-Konnektivität. Private Multi-VPC-Konnektivität kann für nicht authentifizierte Cluster nicht aktiviert werden.
Für diesen Anwendungsfall konfigurieren Sie den Cluster für die Verwendung des IAM-Authentifizierungsschemas.
**Anmerkung**
Wenn Sie Ihren MSK-Cluster für die Verwendung SASL/SCRAM des Authentifizierungsschemas konfigurieren, ist die Apache ACLs Kafka-Eigenschaft "" `allow.everyone.if.no.acl.found=false` obligatorisch. [Siehe Apache Kafka. ACLs](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html)
Wenn Sie die privaten Multi-VPC-Konnektivitätseinstellungen aktualisieren, startet Amazon MSK einen fortlaufenden Neustart der Broker-Knoten, um die Broker-Konfigurationen zu aktualisieren. Dieser Vorgang kann bis zu 30 Minuten dauern. Sie können keine weiteren Aktualisierungen am Cluster vornehmen, während die Konnektivität aktualisiert wird.
**Aktivieren der Multi-VPC für ausgewählte Authentifizierungsschemas auf dem Cluster in Konto A mithilfe der Konsole**
1. Öffnen Sie die Amazon MSK-Konsole unter [https://console.aws.amazon.com/msk/](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html)für das Konto, in dem sich der Cluster befindet.
1. Wählen Sie im Navigationsbereich unter **MSK-Cluster** die Option **Cluster** aus, um die Liste der Cluster im Konto anzuzeigen.
1. Wählen Sie den Cluster aus, der für private Multi-VPC-Konnektivität konfiguriert werden soll. Der Cluster muss sich im ACTIVE-Status befinden.
1. Wählen Sie die **Eigenschaften**-Registerkarte des Clusters und wechseln Sie dann zu den **Netzwerk**-Einstellungen.
1. Wählen Sie das Dropdown-Menü **Bearbeiten** und dann **Multi-VPC-Konnektivität aktivieren**.
1. Wählen Sie einen oder mehrere Authentifizierungstypen aus, die Sie für diesen Cluster aktivieren möchten. Wählen Sie für diesen Anwendungsfall die **IAM-rollenbasierte Authentifizierung**.
1. Wählen Sie **Änderungen speichern** aus.
**Example - UpdateConnectivity API, die Authentifizierungsschemata für private Verbindungen mit mehreren VPC auf einem Cluster aktiviert**
Als Alternative zur MSK-Konsole können Sie die [UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html) verwenden, um private Multi-VPC-Konnektivität zu aktivieren und Authentifizierungsschemata auf einem ACTIVE-Cluster zu konfigurieren. Das folgende Beispiel zeigt, dass das IAM-Authentifizierungsschema für den Cluster aktiviert ist.
```
{
"currentVersion": "K3T4TT2Z381HKD",
"connectivityInfo": {
"vpcConnectivity": {
"clientAuthentication": {
"sasl": {
"iam": {
"enabled": TRUE
}
}
}
}
}
}
```
Amazon MSK erstellt die Netzwerkinfrastruktur, die für private Konnektivität erforderlich ist. Amazon MSK erstellt außerdem einen neuen Satz von Bootstrap-Broker-Endpunkten für jeden Authentifizierungstyp, der private Konnektivität erfordert. Beachten Sie, dass das Klartext-Authentifizierungsschema keine private Multi-VPC-Konnektivität unterstützt.
# Schritt 2: Eine Cluster-Richtlinie an den MSK-Cluster anhängen
Der Cluster-Besitzer kann eine Cluster-Richtlinie (auch als [ressourcenbasierte Richtlinie](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies) bezeichnet) an den MSK-Cluster anhängen, in dem Sie die private Multi-VPC-Konnektivität aktivieren. Die Cluster-Richtlinie erteilt den Clients die Berechtigung, von einem anderen Konto aus auf den Cluster zuzugreifen. Bevor Sie die Cluster-Richtlinie bearbeiten können, benötigen Sie die Konto-ID(s) für die Konten, die berechtigt sein sollen, auf den MSK-Cluster zuzugreifen. Siehe [Funktionsweise von Amazon MKS mit IAM](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html).
Der Cluster-Besitzer muss dem MSK-Cluster eine Cluster-Richtlinie hinzufügen, die den kontoübergreifenden Benutzer in Konto B autorisiert, Bootstrap-Broker für den Cluster abzurufen und die folgenden Aktionen auf dem MSK-Cluster in Konto A zu autorisieren:
+ CreateVpcConnection
+ GetBootstrapBrokers
+ DescribeCluster
+ DescribeClusterV2
**Example**
Als Referenz finden Sie im Folgenden ein JSON-Beispiel für eine grundlegende Cluster-Richtlinie, ähnlich der Standardrichtlinie, die im IAM-Richtlinien-Editor der MSK-Konsole angezeigt wird. Die folgende Richtlinie gewährt Berechtigungen für den Zugriff auf Cluster-, Themen- und Gruppenebene.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": [
"kafka:CreateVpcConnection",
"kafka:GetBootstrapBrokers",
"kafka:DescribeCluster",
"kafka:DescribeClusterV2",
"kafka-cluster:*"
],
"Resource": "arn:aws:kafka:us-east-1:111122223333:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": "kafka-cluster:*",
"Resource": "arn:aws:kafka:us-east-1:111122223333:topic/testing/*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": "kafka-cluster:*",
"Resource": "arn:aws:kafka:us-east-1:111122223333:group/testing/*"
}
]
}
```
**Eine Cluster-Richtlinie an den MSK-Cluster anhängen**
1. Wählen Sie in der Amazon-MSK-Konsole unter **MSK-Cluster** die Option **Cluster** aus.
1. Scrollen Sie nach unten zu **Sicherheitseinstellungen** und wählen Sie **Cluster-Richtlinie bearbeiten**.
1. Wählen Sie in der Konsole auf dem Bildschirm **Cluster-Richtlinie bearbeiten** die Option **Basisrichtlinie für Multi-VPC-Konnektivität**.
1. Geben Sie im Feld **Konto-ID** die Konto-ID für jedes Konto ein, das berechtigt sein soll, auf diesen Cluster zuzugreifen. Wenn Sie die ID eingeben, wird sie automatisch in die angezeigte JSON-Syntax der Richtlinie kopiert. In unserem Beispiel für eine Cluster-Richtlinie lautet die Konto-ID *111122223333*.
1. Wählen Sie **Änderungen speichern** aus.
Informationen zur Clusterrichtlinie finden Sie APIs unter [Ressourcenbasierte Amazon MSK-Richtlinien](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies).
# Schritt 3: Kontoübergreifende Benutzeraktionen zur Konfiguration von clientverwalteten VPC-Verbindungen
Um private Multi-VPC-Konnektivität zwischen einem Client in einem anderen Konto als dem MSK-Cluster einzurichten, erstellt der kontoübergreifende Benutzer eine verwaltete VPC-Verbindung für den Client. Durch Wiederholen dieses Verfahrens können mehrere Clients mit dem MSK-Cluster verbunden werden. Für diesen Anwendungsfall konfigurieren Sie nur einen Client.
Clients können die unterstützten Authentifizierungsschema IAM, SASL/SCRAM oder TLS verwenden. Jeder verwalteten VPC-Verbindung kann nur ein Authentifizierungsschema zugeordnet sein. Das Client-Authentifizierungsschema muss auf dem MSK-Cluster konfiguriert werden, zu dem der Client eine Verbindung herstellt.
Für diesen Anwendungsfall konfigurieren Sie das Client-Authentifizierungsschema so, dass der Client in Konto B das IAM-Authentifizierungsschema verwendet.
**Voraussetzungen**
Dieser Vorgang erfordert die folgenden Elemente:
+ Die zuvor erstellte Clusterrichtlinie, die dem Client in Konto B die Berechtigung erteilt, Aktionen auf dem MSK-Cluster in Konto A durchzuführen.
+ Eine dem Client in Konto B zugeordnete Identitätsrichtlinie, die Berechtigungen für `kafka:CreateVpcConnection``ec2:CreateTags`, `ec2:CreateVPCEndpoint` und Aktionen gewährt. `ec2:DescribeVpcAttribute`
**Example**
Zum Nachschlagen finden Sie nachstehend ein JSON-Beispiel für eine grundlegende Client-Identitätsrichtlinie.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafka:CreateVpcConnection",
"ec2:CreateTags",
"ec2:CreateVPCEndpoint",
"ec2:DescribeVpcAttribute"
],
"Resource": "*"
}
]
}
```
**So erstellen Sie eine verwaltete VPC-Verbindung für einen Client in Konto B**
1. Rufen Sie vom Cluster-Administrator den **Cluster-ARN** des MSK-Clusters in Konto A ab, zu dem der Client in Konto B eine Verbindung herstellen soll. Notieren Sie sich den Cluster-ARN, um ihn später zu verwenden.
1. Wählen Sie in der MSK-Konsole für das Client-Konto B **Verwaltete VPC-Verbindungen** und dann **Verbindung erstellen**.
1. Fügen Sie im Bereich **Verbindungseinstellungen** den Cluster-ARN in das Cluster-ARN-Textfeld ein, und wählen Sie dann **Überprüfen**.
1. Wählen Sie den **Authentifizierungstyp** für den Client in Konto B. Wählen Sie für diesen Anwendungsfall IAM, wenn Sie die Client-VPC-Verbindung erstellen.
1. Wählen Sie die **VPC** für den Client aus.
1. Wählen Sie mindestens zwei Availability **Zones** und zugehörige **Subnetze**. Sie können die Availability Zone in IDs den Clusterdetails der AWS Management Console oder mithilfe der [DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)API oder des AWS CLI-Befehls [describe-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html) abrufen. Die Zone IDs , die Sie für das Client-Subnetz angeben, muss mit denen des Cluster-Subnetzes übereinstimmen. Wenn die Werte für ein Subnetz fehlen, erstellen Sie zunächst ein Subnetz mit derselben Zonen-ID wie Ihr MSK-Cluster.
1. Wählen Sie eine **Sicherheitsgruppe** für diese VPC-Verbindung aus. Sie können die Standardsicherheitsgruppe verwenden. Weitere Informationen zum Konfigurieren einer Sicherheitsgruppe finden Sie unter [Steuern des Datenverkehrs zu Ressourcen mithilfe von Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html).
1. Wählen Sie **Verbindung erstellen**.
1. Informationen, um die Liste der neuen Bootstrap-Broker-Zeichenfolgen von der MSK-Konsole des kontoübergreifenden Benutzers abzurufen (**Cluster**-Details > **Verwaltete VPC-Verbindung**), finden Sie in den Bootstrap-Broker-Zeichenfolgen unter „**Cluster-Verbindungszeichenfolge**.“ Vom Client-Konto B aus kann die Liste der Bootstrap-Broker angezeigt werden, indem Sie die [GetBootstrapBrokers](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-bootstrap-brokers.html#GetBootstrapBrokers)API aufrufen oder indem Sie sich die Liste der Bootstrap-Broker in den Details des Konsolenclusters ansehen.
1. Aktualisieren Sie die mit den VPC-Verbindungen verknüpften Sicherheitsgruppen wie folgt:
1. Legen Sie **Regeln für eingehenden** Datenverkehr für die PrivateLink VPC fest, um den gesamten Datenverkehr für den IP-Bereich aus dem Konto B-Netzwerk zuzulassen.
1. [Optional] Legen Sie die Konnektivität für **Regeln für ausgehenden Datenverkehr** zum MSK-Cluster fest. Wählen Sie die **Sicherheitsgruppe** in der VPC-Konsole, **Regeln für ausgehenden Datenverkehr bearbeiten** und fügen Sie eine Regel für **benutzerdefinierten TCP-Datenverkehr** für die Portbereiche 14001–14100 hinzu. Der Multi-VPC-Network-Load-Balancer überwacht die Portbereiche 14001–14100. Siehe [Network Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html).
1. Konfigurieren Sie den Client in Konto B so, dass er die neuen Bootstrap-Broker für private Multi-VPC-Konnektivität verwendet, um eine Verbindung zum MSK-Cluster in Konto A herzustellen. Siehe [Daten produzieren und verbrauchen](https://docs.aws.amazon.com/msk/latest/developerguide/produce-consume.html).
Nach Abschluss der Autorisierung erstellt Amazon MSK eine verwaltete VPC-Verbindung für jede angegebene VPC und jedes Authentifizierungsschema. Die gewählte Sicherheitsgruppe ist der jeweiligen Verbindung zugeordnet. Diese verwaltete VPC-Verbindung wird von Amazon MSK so konfiguriert, dass sie sich privat mit den Brokern verbindet. Sie können die neuen Bootstrap-Broker verwenden, um eine private Verbindung zum Amazon-MSK-Cluster herzustellen.
# Die Autorisierungsschema auf einem Cluster aktualisieren
Private Konnektivität mit mehreren VPC unterstützt mehrere Autorisierungsschemata: SASL/SCRAM, IAM, and TLS. The cluster owner can turn on/off private Konnektivität für ein oder mehrere Authentifizierungsschemata. Der Cluster muss sich im Status ACTIVE befinden, um diese Aktion ausführen zu können.
**So aktivieren Sie ein Authentifizierungsschema mit der Amazon-MSK-Konsole**
1. Öffnen Sie die Amazon-MSK-Konsole unter [AWS-Managementkonsole](https://console.aws.amazon.com/msk) für den Cluster, den Sie bearbeiten möchten.
1. Wählen Sie im Navigationsbereich unter **MSK-Cluster** die Option **Cluster** aus, um die Liste der Cluster im Konto anzuzeigen.
1. Wählen Sie den Cluster aus, den Sie bearbeiten möchten. Der Cluster muss sich im ACTIVE-Status befinden.
1. Wählen Sie die Registerkarte **Eigenschaften** des Clusters und wechseln Sie dann zu **Netzwerkeinstellungen**.
1. Wählen Sie das Dropdown-Menü **Bearbeiten** und dann **Multi-VPC-Konnektivität aktivieren**, um ein neues Authentifizierungsschema einzuschalten.
1. Wählen Sie einen oder mehrere Authentifizierungstyp(en) aus, die Sie für diesen Cluster aktivieren möchten.
1. Wählen Sie **Auswahl aktivieren**.
Wenn Sie ein neues Authentifizierungsschema aktivieren, sollten Sie auch neue verwaltete VPC-Verbindungen für das neue Authentifizierungsschema erstellen und Ihre Clients so aktualisieren, dass sie die für das neue Authentifizierungsschema spezifischen Bootstrap-Broker verwenden.
**So deaktivieren Sie ein Authentifizierungsschema mithilfe der Amazon-MSK-Konsole**
**Anmerkung**
Wenn Sie private Multi-VPC-Konnektivität für Authentifizierungsschemas deaktivieren, wird die gesamte konnektivitätsbezogene Infrastruktur, einschließlich der verwalteten VPC-Verbindungen, gelöscht.
Wenn Sie private Multi-VPC-Konnektivität für Authentifizierungsschemas deaktivieren, ändern sich bestehende VPC-Verbindungen auf der Client-Seite in INACTIVE, und die PrivateLink-Infrastruktur auf der Cluster-Seite, einschließlich der verwalteten VPC-Verbindungen, wird entfernt. Der kontoübergreifende Benutzer kann nur die inaktive VPC-Verbindung löschen. Wenn die private Konnektivität auf dem Cluster wieder aktiviert wird, muss der kontoübergreifende Benutzer eine neue Verbindung zum Cluster herstellen.
1. Öffnen Sie die Amazon-MSK-Konsole unter [AWS-Managementkonsole](https://console.aws.amazon.com/msk).
1. Wählen Sie im Navigationsbereich unter **MSK-Cluster** die Option **Cluster** aus, um die Liste der Cluster im Konto anzuzeigen.
1. Wählen Sie die Cluster aus, die Sie bearbeiten möchten. Der Cluster muss sich im ACTIVE-Status befinden.
1. Wählen Sie die Registerkarte **Eigenschaften** des Clusters und wechseln Sie dann zu **Netzwerkeinstellungen**.
1. Wählen Sie das Dropdown-Menü **Bearbeiten** und dann **Multi-VPC-Konnektivität deaktivieren** (um ein Authentifizierungsschema auszuschalten).
1. Wählen Sie einen oder mehrere Authentifizierungstyp(en) aus, die Sie für diesen Cluster deaktivieren möchten.
1. Wählen Sie **Auswahl deaktivieren**.
**Example Um on/off ein Authentifizierungsschema mit der API zu aktivieren**
Als Alternative zur MSK-Konsole können Sie die [UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html) verwenden, um private Multi-VPC-Konnektivität zu aktivieren und Authentifizierungsschemata auf einem ACTIVE-Cluster zu konfigurieren. Das folgende Beispiel zeigt SASL/SCRAM , dass IAM-Authentifizierungsschemata für den Cluster aktiviert sind.
Wenn Sie ein neues Authentifizierungsschema aktivieren, sollten Sie auch neue verwaltete VPC-Verbindungen für das neue Authentifizierungsschema erstellen und Ihre Clients so aktualisieren, dass sie die für das neue Authentifizierungsschema spezifischen Bootstrap-Broker verwenden.
Wenn Sie private Multi-VPC-Konnektivität für Authentifizierungsschemas deaktivieren, ändern sich bestehende VPC-Verbindungen auf der Client-Seite in INACTIVE, und die PrivateLink-Infrastruktur auf der Cluster-Seite, einschließlich der verwalteten VPC-Verbindungen, wird entfernt. Der kontoübergreifende Benutzer kann nur die inaktive VPC-Verbindung löschen. Wenn die private Konnektivität auf dem Cluster wieder aktiviert wird, muss der kontoübergreifende Benutzer eine neue Verbindung zum Cluster herstellen.
```
Request:
{
"currentVersion": "string",
"connnectivityInfo": {
"publicAccess": {
"type": "string"
},
"vpcConnectivity": {
"clientAuthentication": {
"sasl": {
"scram": {
"enabled": TRUE
},
"iam": {
"enabled": TRUE
}
},
"tls": {
"enabled": FALSE
}
}
}
}
}
Response:
{
"clusterArn": "string",
"clusterOperationArn": "string"
}
```
# Eine verwaltete VPC-Verbindung zu einem Amazon-MSK-Cluster ablehnen
Von der Amazon-MSK-Konsole auf dem Cluster-Administratorkonto aus können Sie eine Client-VPC-Verbindung ablehnen. Die Client-VPC-Verbindung muss sich im Status AVAILABLE befinden, damit sie abgelehnt werden kann. Möglicherweise möchten Sie eine verwaltete VPC-Verbindung von einem Client ablehnen, der nicht mehr autorisiert ist, eine Verbindung zu Ihrem Cluster herzustellen. Um zu verhindern, dass neue verwaltete VPC-Verbindungen eine Verbindung zu einem Client herstellen, verweigern Sie den Zugriff auf den Client in der Cluster-Richtlinie. Eine abgelehnte Verbindung verursacht immer noch Kosten, bis sie vom Verbindungsbesitzer gelöscht wird. Siehe [Löschen einer verwalteten VPC-Verbindung zu einem Amazon-MSK-Cluster](https://docs.aws.amazon.com/msk/latest/developerguide/mvpc-cross-account-delete-connection.html).
**So lehnen Sie eine Client-VPC-Verbindung mithilfe der MSK-Konsole ab**
1. Öffnen Sie die Amazon-MSK-Konsole unter [AWS-Managementkonsole](https://console.aws.amazon.com/msk).
1. Wählen Sie im Navigationsbereich **Cluster** aus und scrollen Sie zu der Liste **Netzwerkeinstellungen > Client-VPC-Verbindungen**.
1. Wählen Sie die Verbindung aus, die Sie ablehnen möchten, und wählen Sie **Client-VPC-Verbindung ablehnen**.
1. Bestätigen Sie, dass Sie die ausgewählte Client-VPC-Verbindung ablehnen möchten.
Verwenden Sie die `RejectClientVpcConnection`-API, um eine verwaltete VPC-Verbindung mithilfe der API abzulehnen.
# Eine verwaltete VPC-Verbindung zu einem Amazon-MSK-Cluster löschen
Der kontoübergreifende Benutzer kann eine verwaltete VPC-Verbindung für einen MSK-Cluster von der Konsole des Client-Kontos aus löschen. Da der Benutzer des Cluster-Besitzers nicht Eigentümer der verwalteten VPC-Verbindung ist, kann die Verbindung nicht aus dem Cluster-Administratorkonto gelöscht werden. Sobald eine VPC-Verbindung gelöscht wurde, fallen keine Kosten mehr an.
**So löschen Sie eine verwaltete VPC-Verbindung mit der MSK-Konsole**
1. Öffnen Sie vom Client-Konto aus die Amazon-MSK-Konsole unter [AWS-Managementkonsole](https://console.aws.amazon.com/msk).
1. Wählen Sie im Navigationsbereich **Verwaltete VPC-Verbindungen**.
1. Wählen Sie in der Liste der Verbindungen die Verbindung aus, die Sie löschen möchten.
1. Bestätigen Sie, dass Sie die VPC-Verbindung löschen möchten.
Verwenden Sie die `DeleteVpcConnection`-API, um eine verwaltete VPC-Verbindung mithilfe der API zu löschen.
# Berechtigungen für private Multi-VPC-Konnektivität
In diesem Abschnitt werden die Berechtigungen zusammengefasst, die für Clients und Cluster erforderlich sind, die die private Multi-VPC-Konnektivitäts-Feature verwenden. Private Multi-VPC-Konnektivität erfordert, dass der Client-Administrator für jeden Client, der über eine verwaltete VPC-Verbindung zum MSK-Cluster verfügt, Berechtigungen erstellt. Außerdem muss der MSK-Clusteradministrator die PrivateLink Konnektivität auf dem MSK-Cluster aktivieren und Authentifizierungsschemata auswählen, um den Zugriff auf den Cluster zu kontrollieren.
**Cluster-Authentifizierungstyp und Zugriffsberechtigungen für Themen**
Aktivieren Sie die private Multi-VPC-Konnektivitäts-Feature für Authentifizierungsschemas, die für Ihren MSK-Cluster aktiviert sind. Siehe [Anforderungen und Einschränkungen für private Multi-VPC-Konnektivität](aws-access-mult-vpc.md#mvpc-requirements). Wenn Sie Ihren MSK-Cluster für die Verwendung des SASL/SCRAM Authentifizierungsschemas konfigurieren, ist die Apache ACLs Kafka-Eigenschaft obligatorisch. `allow.everyone.if.no.acl.found=false` Nachdem Sie die [Apache Kafka ACLs](msk-acls.md) für Ihren Cluster festgelegt haben, aktualisieren Sie die Cluster-Konfiguration, sodass die Eigenschaft `allow.everyone.if.no.acl.found` für den Cluster auf Falsch gesetzt wird. Weitere Informationen zum Aktualisieren der Konfiguration eines Clusters finden Sie unter [Operationen zur Broker-Konfiguration](msk-configuration-operations.md).
**Kontoübergreifende Cluster-Richtlinienberechtigungen**
Wenn sich ein Kafka-Client in einem anderen AWS Konto als dem MSK-Cluster befindet, fügen Sie dem MSK-Cluster eine clusterbasierte Richtlinie hinzu, die den Client-Root-Benutzer für kontoübergreifende Konnektivität autorisiert. Sie können die Multi-VPC-Clusterrichtlinie mit dem IAM-Richtlinieneditor in der MSK-Konsole (**Clustersicherheitseinstellungen** > **Clusterrichtlinie bearbeiten**) bearbeiten oder die Clusterrichtlinie wie folgt APIs verwalten:
**PutClusterPolicy**
Hängt eine Cluster-Richtlinie an den MSK-Cluster an. Sie können diese API verwenden, um die angegebene MSK-Cluster-Richtlinie zu erstellen oder zu aktualisieren. Wenn Sie die Richtlinie aktualisieren, ist das Feld currentVersion in der Nutzlast der Anfrage erforderlich.
**GetClusterPolicy**
Ruft den JSON-Text des Cluster-Richtliniendokuments ab, das an den Cluster angehängt ist.
**DeleteClusterPolicy**
Löscht die Cluster-Richtlinie.
Als Referenz finden Sie im Folgenden ein JSON-Beispiel für eine grundlegende Cluster-Richtlinie, ähnlich der, die im IAM-Richtlinien-Editor der MSK-Konsole angezeigt wird. Die folgende Richtlinie gewährt Berechtigungen für den Zugriff auf Cluster-, Themen- und Gruppenebene.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": [
"123456789012"
]
},
"Action": [
"kafka-cluster:*",
"kafka:CreateVpcConnection",
"kafka:GetBootstrapBrokers",
"kafka:DescribeCluster",
"kafka:DescribeClusterV2"
],
"Resource": [
"arn:aws:kafka:us-east-1:123456789012:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2",
"arn:aws:kafka:us-east-1:123456789012:topic/testing/*",
"arn:aws:kafka:us-east-1:123456789012:group/testing/*"
]
}]
}
```
------
**Client-Berechtigungen für private Multi-VPC-Konnektivität zu einem MSK-Cluster**
Um private Multi-VPC-Konnektivität zwischen einem Kafka-Client und einem MSK-Cluster einzurichten, benötigt der Client eine angehängte Identitätsrichtlinie, die Berechtigungen für die Aktionen `kafka:CreateVpcConnection`, `ec2:CreateTags` und `ec2:CreateVPCEndpoint` für den Client gewährt. Zum Nachschlagen finden Sie nachstehend ein JSON-Beispiel für eine grundlegende Client-Identitätsrichtlinie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafka:CreateVpcConnection",
"ec2:CreateTags",
"ec2:CreateVPCEndpoint"
],
"Resource": "*"
}
]
}
```
------
# Port-Informationen
Verwenden Sie die folgenden Portnummern, damit Amazon MSK mit Client-Computern kommunizieren kann:
+ Um mit Brokern in Klartext zu kommunizieren, verwenden Sie Port 9092.
+ Um mit Brokern mit TLS-Verschlüsselung zu kommunizieren, verwenden Sie Port 9094 für den Zugriff von innen AWS und Port 9194 für den öffentlichen Zugriff.
+ Um mit Brokern über SASL/SCRAM zu kommunizieren, verwenden Sie Port 9096 für den Zugriff von innen AWS und Port 9196 für den öffentlichen Zugriff.
+ Um mit Brokern in einem Cluster zu kommunizieren, der für die Nutzung eingerichtet ist[IAM-Zugriffssteuerung](iam-access-control.md), verwenden Sie Port 9098 für den Zugriff von innen AWS und Port 9198 für den öffentlichen Zugriff.
+ Verwenden Sie Port 20092, um mit Brokern zu kommunizieren, die den IPv6 Netzwerktyp im Klartext verwenden
+ Verwenden Sie Port 20098, um mit Brokern in einem Cluster zu kommunizieren, der für die Verwendung der IAM-Zugriffskontrolle eingerichtet ist. IPv6
+ SASL/SCRAM Verwenden Sie Port 20096, um mit Brokern zu kommunizieren IPv6, die Using verwenden.
+ Verwenden Sie Port 20094 IPv6, um mit Brokern mit TLS-Verschlüsselung zu kommunizieren.