Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erste Schritte mit privater Multi-VPC-Konnektivität
<a name="mvpc-getting-started"></a>

**Topics**
+ [Schritt 1: Auf dem MSK-Cluster in Konto A die Multi-VPC-Konnektivität für das IAM-Authentifizierungsschema auf dem Cluster aktivieren](mvpc-cluster-owner-action-turn-on.md)
+ [Schritt 2: Eine Cluster-Richtlinie an den MSK-Cluster anhängen](mvpc-cluster-owner-action-policy.md)
+ [Schritt 3: Kontoübergreifende Benutzeraktionen zur Konfiguration von clientverwalteten VPC-Verbindungen](mvpc-cross-account-user-action.md)

In diesem Tutorial wird ein gängiger Anwendungsfall als Beispiel dafür verwendet, wie Sie Multi-VPC-Konnektivität verwenden können, um einen Apache Kafka-Client privat mit einem MSK-Cluster von innerhalb AWS, aber außerhalb der VPC des Clusters zu verbinden. Für diesen Prozess muss der kontoübergreifende Benutzer eine MSK-verwaltete VPC-Verbindung und -Konfiguration für jeden Client erstellen, einschließlich der erforderlichen Client-Berechtigungen. Der Prozess erfordert außerdem, dass der Eigentümer des MSK-Clusters die PrivateLink Konnektivität auf dem MSK-Cluster aktiviert und Authentifizierungsschemata zur Steuerung des Zugriffs auf den Cluster auswählt.

In verschiedenen Teilen dieses Tutorials wählen wir Optionen aus, die für dieses Beispiel gelten. Dies bedeutet nicht, dass dies die einzigen Optionen sind, um einen MSK-Cluster oder Client-Instances einzurichten.

Die Netzwerkkonfiguration für diesen Anwendungsfall lautet wie folgt:
+ Ein kontoübergreifender Benutzer (Kafka-Client) und ein MSK-Cluster befinden sich in demselben/derselben AWS -Netzwerk/-Region, aber in unterschiedlichen Konten:
  + MSK-Cluster in Konto A
  + Kafka-Client in Konto B
+ Der kontoübergreifende Benutzer stellt mithilfe des IAM-Authentifizierungsschemas eine private Verbindung zum MSK-Cluster her.

In diesem Tutorial wird davon ausgegangen, dass es einen bereitgestellten MSK-Cluster gibt, der mit Apache Kafka Version 2.7.1 oder höher erstellt wurde. Der MSK-Cluster muss sich im ACTIVE-Status befinden, bevor Sie mit dem Konfigurationsprozess beginnen können. Um potenziellen Datenverlust oder Ausfallzeiten zu vermeiden, sollten Clients, die eine private Multi-VPC-Verbindung nutzen, um eine Verbindung zum Cluster herzustellen, Apache-Kafka-Versionen verwenden, die mit dem Cluster kompatibel sind.

Das folgende Diagramm zeigt die Architektur der Amazon MSK Multi-VPC-Konnektivität, die mit einem Client in einem anderen Konto verbunden ist. AWS 

![\[Multi-VPC-Netzwerkdiagramm in einer einzelnen Region\]](http://docs.aws.amazon.com/de_de/msk/latest/developerguide/images/mvpc-network.png)


# Schritt 1: Auf dem MSK-Cluster in Konto A die Multi-VPC-Konnektivität für das IAM-Authentifizierungsschema auf dem Cluster aktivieren
<a name="mvpc-cluster-owner-action-turn-on"></a>

Der MSK-Cluster-Besitzer muss die Konfigurationseinstellungen für den MSK-Cluster vornehmen, nachdem der Cluster erstellt wurde und sich im Status ACTIVE befindet.

Der Cluster-Besitzer aktiviert private Multi-VPC-Konnektivität auf dem ACTIVE-Cluster für alle Authentifizierungsschemas, die auf dem Cluster aktiv sein werden. Dies kann mithilfe der [UpdateSecurity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-security.html) - oder MSK-Konsole erfolgen. Die Authentifizierungsschema IAM, SASL/SCRAM und TLS unterstützen private Multi-VPC-Konnektivität. Private Multi-VPC-Konnektivität kann für nicht authentifizierte Cluster nicht aktiviert werden.

Für diesen Anwendungsfall konfigurieren Sie den Cluster für die Verwendung des IAM-Authentifizierungsschemas.

**Anmerkung**  
Wenn Sie Ihren MSK-Cluster für die Verwendung SASL/SCRAM des Authentifizierungsschemas konfigurieren, ist die Apache ACLs Kafka-Eigenschaft "" `allow.everyone.if.no.acl.found=false` obligatorisch. [Siehe Apache Kafka. ACLs](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html)

Wenn Sie die privaten Multi-VPC-Konnektivitätseinstellungen aktualisieren, startet Amazon MSK einen fortlaufenden Neustart der Broker-Knoten, um die Broker-Konfigurationen zu aktualisieren. Dieser Vorgang kann bis zu 30 Minuten dauern. Sie können keine weiteren Aktualisierungen am Cluster vornehmen, während die Konnektivität aktualisiert wird.

**Aktivieren der Multi-VPC für ausgewählte Authentifizierungsschemas auf dem Cluster in Konto A mithilfe der Konsole**

1. Öffnen Sie die Amazon MSK-Konsole unter [https://console.aws.amazon.com/msk/](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html)für das Konto, in dem sich der Cluster befindet.

1. Wählen Sie im Navigationsbereich unter **MSK-Cluster** die Option **Cluster** aus, um die Liste der Cluster im Konto anzuzeigen.

1. Wählen Sie den Cluster aus, der für private Multi-VPC-Konnektivität konfiguriert werden soll. Der Cluster muss sich im ACTIVE-Status befinden.

1. Wählen Sie die **Eigenschaften**-Registerkarte des Clusters und wechseln Sie dann zu den **Netzwerk**-Einstellungen.

1. Wählen Sie das Dropdown-Menü **Bearbeiten** und dann **Multi-VPC-Konnektivität aktivieren**.

1. Wählen Sie einen oder mehrere Authentifizierungstypen aus, die Sie für diesen Cluster aktivieren möchten. Wählen Sie für diesen Anwendungsfall die **IAM-rollenbasierte Authentifizierung**.

1. Wählen Sie **Änderungen speichern** aus.

**Example - UpdateConnectivity API, die Authentifizierungsschemata für private Verbindungen mit mehreren VPC auf einem Cluster aktiviert**  
Als Alternative zur MSK-Konsole können Sie die [UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html) verwenden, um private Multi-VPC-Konnektivität zu aktivieren und Authentifizierungsschemata auf einem ACTIVE-Cluster zu konfigurieren. Das folgende Beispiel zeigt, dass das IAM-Authentifizierungsschema für den Cluster aktiviert ist.  

```
{
  "currentVersion": "K3T4TT2Z381HKD",
  "connectivityInfo": {
    "vpcConnectivity": {
      "clientAuthentication": {
        "sasl": {
          "iam": {
            "enabled": TRUE
            }
        }
      }
    }
  }
}
```

Amazon MSK erstellt die Netzwerkinfrastruktur, die für private Konnektivität erforderlich ist. Amazon MSK erstellt außerdem einen neuen Satz von Bootstrap-Broker-Endpunkten für jeden Authentifizierungstyp, der private Konnektivität erfordert. Beachten Sie, dass das Klartext-Authentifizierungsschema keine private Multi-VPC-Konnektivität unterstützt.

# Schritt 2: Eine Cluster-Richtlinie an den MSK-Cluster anhängen
<a name="mvpc-cluster-owner-action-policy"></a>

Der Cluster-Besitzer kann eine Cluster-Richtlinie (auch als [ressourcenbasierte Richtlinie](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies) bezeichnet) an den MSK-Cluster anhängen, in dem Sie die private Multi-VPC-Konnektivität aktivieren. Die Cluster-Richtlinie erteilt den Clients die Berechtigung, von einem anderen Konto aus auf den Cluster zuzugreifen. Bevor Sie die Cluster-Richtlinie bearbeiten können, benötigen Sie die Konto-ID(s) für die Konten, die berechtigt sein sollen, auf den MSK-Cluster zuzugreifen. Siehe [Funktionsweise von Amazon MKS mit IAM](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html).

Der Cluster-Besitzer muss dem MSK-Cluster eine Cluster-Richtlinie hinzufügen, die den kontoübergreifenden Benutzer in Konto B autorisiert, Bootstrap-Broker für den Cluster abzurufen und die folgenden Aktionen auf dem MSK-Cluster in Konto A zu autorisieren:
+ CreateVpcConnection
+ GetBootstrapBrokers
+ DescribeCluster
+ DescribeClusterV2

**Example**  
Als Referenz finden Sie im Folgenden ein JSON-Beispiel für eine grundlegende Cluster-Richtlinie, ähnlich der Standardrichtlinie, die im IAM-Richtlinien-Editor der MSK-Konsole angezeigt wird. Die folgende Richtlinie gewährt Berechtigungen für den Zugriff auf Cluster-, Themen- und Gruppenebene.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": [
        "kafka:CreateVpcConnection",
        "kafka:GetBootstrapBrokers",
        "kafka:DescribeCluster",
        "kafka:DescribeClusterV2",
        "kafka-cluster:*"
      ],
      "Resource": "arn:aws:kafka:us-east-1:111122223333:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": "kafka-cluster:*",
      "Resource": "arn:aws:kafka:us-east-1:111122223333:topic/testing/*"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": "kafka-cluster:*",
      "Resource": "arn:aws:kafka:us-east-1:111122223333:group/testing/*"
    }
  ]
}
```

**Eine Cluster-Richtlinie an den MSK-Cluster anhängen**

1. Wählen Sie in der Amazon-MSK-Konsole unter **MSK-Cluster** die Option **Cluster** aus.

1. Scrollen Sie nach unten zu **Sicherheitseinstellungen** und wählen Sie **Cluster-Richtlinie bearbeiten**.

1. Wählen Sie in der Konsole auf dem Bildschirm **Cluster-Richtlinie bearbeiten** die Option **Basisrichtlinie für Multi-VPC-Konnektivität**.

1. Geben Sie im Feld **Konto-ID** die Konto-ID für jedes Konto ein, das berechtigt sein soll, auf diesen Cluster zuzugreifen. Wenn Sie die ID eingeben, wird sie automatisch in die angezeigte JSON-Syntax der Richtlinie kopiert. In unserem Beispiel für eine Cluster-Richtlinie lautet die Konto-ID *111122223333*.

1. Wählen Sie **Änderungen speichern** aus.

Informationen zur Clusterrichtlinie finden Sie APIs unter [Ressourcenbasierte Amazon MSK-Richtlinien](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies).

# Schritt 3: Kontoübergreifende Benutzeraktionen zur Konfiguration von clientverwalteten VPC-Verbindungen
<a name="mvpc-cross-account-user-action"></a>

Um private Multi-VPC-Konnektivität zwischen einem Client in einem anderen Konto als dem MSK-Cluster einzurichten, erstellt der kontoübergreifende Benutzer eine verwaltete VPC-Verbindung für den Client. Durch Wiederholen dieses Verfahrens können mehrere Clients mit dem MSK-Cluster verbunden werden. Für diesen Anwendungsfall konfigurieren Sie nur einen Client.

Clients können die unterstützten Authentifizierungsschema IAM, SASL/SCRAM oder TLS verwenden. Jeder verwalteten VPC-Verbindung kann nur ein Authentifizierungsschema zugeordnet sein. Das Client-Authentifizierungsschema muss auf dem MSK-Cluster konfiguriert werden, zu dem der Client eine Verbindung herstellt.

 Für diesen Anwendungsfall konfigurieren Sie das Client-Authentifizierungsschema so, dass der Client in Konto B das IAM-Authentifizierungsschema verwendet.

**Voraussetzungen**

Dieser Vorgang erfordert die folgenden Elemente:
+ Die zuvor erstellte Clusterrichtlinie, die dem Client in Konto B die Berechtigung erteilt, Aktionen auf dem MSK-Cluster in Konto A durchzuführen.
+ Eine dem Client in Konto B zugeordnete Identitätsrichtlinie, die Berechtigungen für `kafka:CreateVpcConnection``ec2:CreateTags`, `ec2:CreateVPCEndpoint` und Aktionen gewährt. `ec2:DescribeVpcAttribute`

**Example**  
Zum Nachschlagen finden Sie nachstehend ein JSON-Beispiel für eine grundlegende Client-Identitätsrichtlinie.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kafka:CreateVpcConnection",
        "ec2:CreateTags",
        "ec2:CreateVPCEndpoint",
        "ec2:DescribeVpcAttribute"
      ],
      "Resource": "*"
    }
  ]
}
```

**So erstellen Sie eine verwaltete VPC-Verbindung für einen Client in Konto B**

1. Rufen Sie vom Cluster-Administrator den **Cluster-ARN** des MSK-Clusters in Konto A ab, zu dem der Client in Konto B eine Verbindung herstellen soll. Notieren Sie sich den Cluster-ARN, um ihn später zu verwenden.

1. Wählen Sie in der MSK-Konsole für das Client-Konto B **Verwaltete VPC-Verbindungen** und dann **Verbindung erstellen**.

1. Fügen Sie im Bereich **Verbindungseinstellungen** den Cluster-ARN in das Cluster-ARN-Textfeld ein, und wählen Sie dann **Überprüfen**.

1. Wählen Sie den **Authentifizierungstyp** für den Client in Konto B. Wählen Sie für diesen Anwendungsfall IAM, wenn Sie die Client-VPC-Verbindung erstellen.

1. Wählen Sie die **VPC** für den Client aus.

1. Wählen Sie mindestens zwei Availability **Zones** und zugehörige **Subnetze**. Sie können die Availability Zone in IDs den Clusterdetails der AWS Management Console oder mithilfe der [DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)API oder des AWS CLI-Befehls [describe-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html) abrufen. Die Zone IDs , die Sie für das Client-Subnetz angeben, muss mit denen des Cluster-Subnetzes übereinstimmen. Wenn die Werte für ein Subnetz fehlen, erstellen Sie zunächst ein Subnetz mit derselben Zonen-ID wie Ihr MSK-Cluster.

1. Wählen Sie eine **Sicherheitsgruppe** für diese VPC-Verbindung aus. Sie können die Standardsicherheitsgruppe verwenden. Weitere Informationen zum Konfigurieren einer Sicherheitsgruppe finden Sie unter [Steuern des Datenverkehrs zu Ressourcen mithilfe von Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html).

1. Wählen Sie **Verbindung erstellen**.

1. Informationen, um die Liste der neuen Bootstrap-Broker-Zeichenfolgen von der MSK-Konsole des kontoübergreifenden Benutzers abzurufen (**Cluster**-Details > **Verwaltete VPC-Verbindung**), finden Sie in den Bootstrap-Broker-Zeichenfolgen unter „**Cluster-Verbindungszeichenfolge**.“ Vom Client-Konto B aus kann die Liste der Bootstrap-Broker angezeigt werden, indem Sie die [GetBootstrapBrokers](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-bootstrap-brokers.html#GetBootstrapBrokers)API aufrufen oder indem Sie sich die Liste der Bootstrap-Broker in den Details des Konsolenclusters ansehen.

1. Aktualisieren Sie die mit den VPC-Verbindungen verknüpften Sicherheitsgruppen wie folgt:

   1. Legen Sie **Regeln für eingehenden** Datenverkehr für die PrivateLink VPC fest, um den gesamten Datenverkehr für den IP-Bereich aus dem Konto B-Netzwerk zuzulassen.

   1. [Optional] Legen Sie die Konnektivität für **Regeln für ausgehenden Datenverkehr** zum MSK-Cluster fest. Wählen Sie die **Sicherheitsgruppe** in der VPC-Konsole, **Regeln für ausgehenden Datenverkehr bearbeiten** und fügen Sie eine Regel für **benutzerdefinierten TCP-Datenverkehr** für die Portbereiche 14001–14100 hinzu. Der Multi-VPC-Network-Load-Balancer überwacht die Portbereiche 14001–14100. Siehe [Network Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html).

1. Konfigurieren Sie den Client in Konto B so, dass er die neuen Bootstrap-Broker für private Multi-VPC-Konnektivität verwendet, um eine Verbindung zum MSK-Cluster in Konto A herzustellen. Siehe [Daten produzieren und verbrauchen](https://docs.aws.amazon.com/msk/latest/developerguide/produce-consume.html).

Nach Abschluss der Autorisierung erstellt Amazon MSK eine verwaltete VPC-Verbindung für jede angegebene VPC und jedes Authentifizierungsschema. Die gewählte Sicherheitsgruppe ist der jeweiligen Verbindung zugeordnet. Diese verwaltete VPC-Verbindung wird von Amazon MSK so konfiguriert, dass sie sich privat mit den Brokern verbindet. Sie können die neuen Bootstrap-Broker verwenden, um eine private Verbindung zum Amazon-MSK-Cluster herzustellen.