View a markdown version of this page

Bereiten Sie Quell- und Zielcluster vor - Amazon Managed Streaming für Apache Kafka
Bereiten Sie den Quellcluster vorBereiten Sie den Zielcluster vor

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bereiten Sie Quell- und Zielcluster vor

Bevor Sie einen MSK Replicator erstellen, müssen Sie sowohl einen Quellcluster als auch einen Zielcluster vorbereiten. In diesem Abschnitt werden die Anforderungen für die Einrichtung der Replikation zwischen Amazon MSK-Clustern (bereitgestellt oder Serverlos) behandelt.

Anmerkung

MSK Replicator unterstützt auch die Replikation zwischen selbstverwalteten Apache Kafka-Clustern und Amazon MSK Provisioned Clustern mit Express-Brokern. Wenn Sie von einer selbstverwalteten Kafka-Bereitstellung migrieren, finden Sie unter Migrieren Sie von Apache Kafka-Clustern, die nicht von MSK stammen, zu Amazon MSK Express-Brokern und Informationen zu den spezifischen Voraussetzungen für selbstverwaltete Cluster. Richten Sie die Voraussetzungen für MSK Replicator mit selbstverwalteten Apache Kafka-Clustern ein

Bereiten Sie den Quellcluster vor

Wenn Sie bereits über einen MSK-Quellcluster verfügen, stellen Sie sicher, dass er die in diesem Abschnitt beschriebenen Anforderungen erfüllt. Gehen Sie andernfalls wie folgt vor, um einen von MSK bereitgestellten oder serverlosen Quellcluster zu erstellen.

  1. Erstellen Sie einen von MSK bereitgestellten oder serverlosen Cluster mit aktivierter IAM-Zugriffskontrolle in der Quellregion. Ihr Quell-Cluster muss über mindestens drei Broker verfügen.

  2. Wenn es sich bei einem regionsübergreifenden MSK-Replikator um einen bereitgestellten Cluster handelt, konfigurieren Sie ihn mit aktivierter privater Multi-VPC-Konnektivität für IAM-Zugriffskontrollschemata. Beachten Sie, dass der Authentifizierungstyp „Nicht authentifiziert“ nicht unterstützt wird, wenn Multi-VPC aktiviert ist. Sie müssen die private Multi-VPC-Konnektivität für andere Authentifizierungsschema (mTLS oder SASL/SCRAM) nicht aktivieren. Sie können private Multi-VPC-Konnektivität in den Cluster-Details der Konsole unter Netzwerkeinstellungen oder mit der UpdateConnectivity-API konfigurieren. Siehe Cluster-Besitzer aktiviert Multi-VPC. Wenn es sich bei Ihrem Quellcluster um einen serverlosen MSK-Cluster handelt, müssen Sie die private Multi-VPC-Konnektivität nicht aktivieren.

    Für einen regionsinternen MSK-Replikator benötigt der MSK-Quell-Cluster keine private Multi-VPC-Konnektivität, und andere Clients können weiterhin mit dem Authentifizierungstyp „Nicht authentifiziert“ auf den Cluster zugreifen.

  3. Für regionsübergreifende MSK-Replikatoren müssen Sie dem Quell-Cluster eine ressourcenbasierte Berechtigungsrichtlinie hinzufügen. Dadurch kann MSK eine Verbindung zu diesem Cluster herstellen, um Daten zu replizieren. Sie können dies mithilfe der folgenden CLI- oder AWS Konsolenverfahren tun. Siehe auch ressourcenbasierte Amazon-MSK-Richtlinien. Dieser Schritt ist für regionsinterne MSK-Replikatoren nicht nötig.

Console: create resource policy

Aktualisieren Sie die Quell-Cluster-Richtlinie mit dem folgenden JSON-Code. Ersetzen Sie den Platzhalter durch den ARN Ihres Quell-Clusters.

{
    "Version":"2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
            "Service": [
                "kafka.amazonaws.com"
            ]
        },
        "Action": [
            "kafka:CreateVpcConnection",
            "kafka:GetBootstrapBrokers",
            "kafka:DescribeClusterV2"
        ],
        "Resource": "arn:aws:kafka:us-east-1:123456789012:cluster/myCluster/abcd1234-5678-90ab-cdef-1234567890ab-1"
    }
  ]
}

Verwenden Sie die Option Cluster-Richtlinie bearbeiten im Menü Aktionen auf der Cluster-Detailseite.

Bearbeiten Sie die Cluster-Richtlinie in der Konsole
CLI: create resource policy

Hinweis: Wenn Sie die AWS Konsole verwenden, um einen Quellcluster zu erstellen, und die Option zum Erstellen einer neuen IAM-Rolle wählen, wird die erforderliche Vertrauensrichtlinie an die Rolle AWS angehängt. Wenn MSK hingegen eine vorhandene IAM-Rolle verwenden soll oder wenn Sie selbst eine Rolle erstellen, fügen Sie dieser Rolle die folgende Vertrauensrichtlinie an, damit MSK-Replikator sie annehmen kann. Weitere Informationen zum Ändern der Vertrauensstellung einer Rolle finden Sie unter Ändern einer Rolle.

  1. Rufen Sie mit diesem Befehl die aktuelle Version der MSK-Cluster-Richtlinie ab. Ersetzen Sie Platzhalter durch den tatsächlichen Cluster-ARN.

    aws kafka get-cluster-policy —cluster-arn <Cluster ARN>
{
"CurrentVersion": "K1PA6795UKM GR7",
"Policy": "..."
}

  2. Erstellen Sie eine ressourcenbasierte Richtlinie, um MSK-Replikator den Zugriff auf den Quell-Cluster zu ermöglichen. Ersetzen Sie den Platzhalter durch den tatsächlichen Quellcluster-ARN.

    aws kafka put-cluster-policy --cluster-arn "<sourceClusterARN>" --policy '{
"Version": "2012-10-17", 
"Statement": [
{
  "Effect": "Allow",
  "Principal": {
    "Service": [
      "kafka.amazonaws.com"
    ]
  },
  "Action": [
    "kafka:CreateVpcConnection",
    "kafka:GetBootstrapBrokers",
    "kafka:DescribeClusterV2"
  ],
  "Resource": "<sourceClusterARN>"
}
]
}'

Bereiten Sie den Zielcluster vor

Erstellen Sie einen MSK-Zielcluster (bereitgestellt oder serverlos) mit aktivierter IAM-Zugriffskontrolle. Der Zielcluster benötigt keine private Multi-VPC-Konnektivität. Der Zielcluster kann sich in derselben AWS Region oder einer anderen Region wie der Quellcluster befinden. Sowohl der Quell- als auch der Zielcluster müssen sich im selben AWS Konto befinden. Der Quell-Cluster muss über mindestens drei Broker verfügen.