Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Schritt 3: Kontoübergreifende Benutzeraktionen zur Konfiguration von clientverwalteten VPC-Verbindungen

PDF
RSS
Fokusmodus
Schritt 3: Kontoübergreifende Benutzeraktionen zur Konfiguration von clientverwalteten VPC-Verbindungen - Amazon Managed Streaming für Apache Kafka

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um private Multi-VPC-Konnektivität zwischen einem Client in einem anderen Konto als dem MSK-Cluster einzurichten, erstellt der kontoübergreifende Benutzer eine verwaltete VPC-Verbindung für den Client. Durch Wiederholen dieses Verfahrens können mehrere Clients mit dem MSK-Cluster verbunden werden. Für diesen Anwendungsfall konfigurieren Sie nur einen Client.

Clients können die unterstützten Authentifizierungsschema IAM, SASL/SCRAM oder TLS verwenden. Jeder verwalteten VPC-Verbindung kann nur ein Authentifizierungsschema zugeordnet sein. Das Client-Authentifizierungsschema muss auf dem MSK-Cluster konfiguriert werden, zu dem der Client eine Verbindung herstellt.

Für diesen Anwendungsfall konfigurieren Sie das Client-Authentifizierungsschema so, dass der Client in Konto B das IAM-Authentifizierungsschema verwendet.

Voraussetzungen

Dieser Vorgang erfordert die folgenden Elemente:

  • Die zuvor erstellte Clusterrichtlinie, die dem Client in Konto B die Berechtigung erteilt, Aktionen auf dem MSK-Cluster in Konto A durchzuführen.

  • Eine dem Client in Konto B zugeordnete Identitätsrichtlinie, die Berechtigungen für kafka:CreateVpcConnectionec2:CreateTags, ec2:CreateVPCEndpoint und Aktionen gewährt. ec2:DescribeVpcAttribute

Zum Nachschlagen finden Sie nachstehend ein JSON-Beispiel für eine grundlegende Client-Identitätsrichtlinie.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kafka:CreateVpcConnection",
        "ec2:CreateTags",
        "ec2:CreateVPCEndpoint",
        "ec2:DescribeVpcAttribute"
      ],
      "Resource": "*"
    }
  ]
}
So erstellen Sie eine verwaltete VPC-Verbindung für einen Client in Konto B

  1. Rufen Sie vom Cluster-Administrator den Cluster-ARN des MSK-Clusters in Konto A ab, zu dem der Client in Konto B eine Verbindung herstellen soll. Notieren Sie sich den Cluster-ARN, um ihn später zu verwenden.

  2. Wählen Sie in der MSK-Konsole für das Client-Konto B Verwaltete VPC-Verbindungen und dann Verbindung erstellen.

  3. Fügen Sie im Bereich Verbindungseinstellungen den Cluster-ARN in das Cluster-ARN-Textfeld ein, und wählen Sie dann Überprüfen.

  4. Wählen Sie den Authentifizierungstyp für den Client in Konto B. Wählen Sie für diesen Anwendungsfall IAM, wenn Sie die Client-VPC-Verbindung erstellen.

  5. Wählen Sie die VPC für den Client aus.

  6. Wählen Sie mindestens zwei Availability Zones und zugehörige Subnetze. Sie können die Availability Zone in IDs den Clusterdetails der AWS Management Console oder mithilfe der DescribeClusterAPI oder des AWS CLI-Befehls describe-cluster abrufen. Die Zone IDs , die Sie für das Client-Subnetz angeben, muss mit denen des Cluster-Subnetzes übereinstimmen. Wenn die Werte für ein Subnetz fehlen, erstellen Sie zunächst ein Subnetz mit derselben Zonen-ID wie Ihr MSK-Cluster.

  7. Wählen Sie eine Sicherheitsgruppe für diese VPC-Verbindung aus. Sie können die Standardsicherheitsgruppe verwenden. Weitere Informationen zum Konfigurieren einer Sicherheitsgruppe finden Sie unter Steuern des Datenverkehrs zu Ressourcen mithilfe von Sicherheitsgruppen.

  8. Wählen Sie Verbindung erstellen.

  9. Informationen, um die Liste der neuen Bootstrap-Broker-Zeichenfolgen von der MSK-Konsole des kontoübergreifenden Benutzers abzurufen (Cluster-Details > Verwaltete VPC-Verbindung), finden Sie in den Bootstrap-Broker-Zeichenfolgen unter „Cluster-Verbindungszeichenfolge.“ Vom Client-Konto B aus kann die Liste der Bootstrap-Broker angezeigt werden, indem Sie die GetBootstrapBrokersAPI aufrufen oder indem Sie sich die Liste der Bootstrap-Broker in den Details des Konsolenclusters ansehen.

  10. Aktualisieren Sie die mit den VPC-Verbindungen verknüpften Sicherheitsgruppen wie folgt:

    1. Legen Sie Regeln für eingehenden Datenverkehr für die PrivateLink VPC fest, um den gesamten Datenverkehr für den IP-Bereich aus dem Konto B-Netzwerk zuzulassen.

    2. [Optional] Legen Sie die Konnektivität für Regeln für ausgehenden Datenverkehr zum MSK-Cluster fest. Wählen Sie die Sicherheitsgruppe in der VPC-Konsole, Regeln für ausgehenden Datenverkehr bearbeiten und fügen Sie eine Regel für benutzerdefinierten TCP-Datenverkehr für die Portbereiche 14001–14100 hinzu. Der Multi-VPC-Network-Load-Balancer überwacht die Portbereiche 14001–14100. Siehe Network Load Balancers.

  11. Konfigurieren Sie den Client in Konto B so, dass er die neuen Bootstrap-Broker für private Multi-VPC-Konnektivität verwendet, um eine Verbindung zum MSK-Cluster in Konto A herzustellen. Siehe Daten produzieren und verbrauchen.

Nach Abschluss der Autorisierung erstellt Amazon MSK eine verwaltete VPC-Verbindung für jede angegebene VPC und jedes Authentifizierungsschema. Die gewählte Sicherheitsgruppe ist der jeweiligen Verbindung zugeordnet. Diese verwaltete VPC-Verbindung wird von Amazon MSK so konfiguriert, dass sie sich privat mit den Brokern verbindet. Sie können die neuen Bootstrap-Broker verwenden, um eine private Verbindung zum Amazon-MSK-Cluster herzustellen.

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.