Activa el acceso público a un clúster aprovisionado de MSK - Amazon Managed Streaming para Apache Kafka

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Activa el acceso público a un clúster aprovisionado de MSK

Amazon MSK le ofrece la opción de activar el acceso público a los intermediarios de los clústeres aprovisionados de MSK que ejecutan Apache Kafka 2.6.0 o versiones posteriores. Por motivos de seguridad, no puede activar el acceso público al crear un clúster de MSK. Sin embargo, puede actualizar un clúster existente para que sea de acceso público. También puede crear un clúster nuevo y, a continuación, actualizarlo para que sea accesible públicamente.

Puede activar el acceso público a un clúster de MSK sin costo adicional, pero se aplican los costos de transferencia de AWS datos estándar para la transferencia de datos dentro y fuera del clúster. Para obtener información sobre los precios, consulta los precios de Amazon EC2 On-Demand.

Para activar el acceso público a un clúster aprovisionado de MSK, primero asegúrese de que el clúster cumpla todas las condiciones siguientes:

  • Las subredes asociadas al clúster deben ser públicas. Cada subred pública tiene una IPv4 dirección pública asociada y el precio de IPv4 las direcciones públicas se indica en la página de precios de Amazon VPC. Esto significa que las subredes deben tener una tabla de enrutamiento asociada con una puerta de enlace de Internet adjunta. Para obtener información sobre cómo crear y conectar una puerta de enlace de Internet, consulte Habilitar el acceso a Internet de la VPC mediante puertas de enlace de Internet en la Guía del usuario de Amazon VPC.

  • El control de acceso no autenticado debe estar desactivado y al menos uno de los siguientes métodos de control de acceso debe estar activado:, mTLS. SASL/IAM, SASL/SCRAM Para obtener más información acerca de cómo actualizar el método de control de acceso de un clúster, consulte Actualización de la configuración de seguridad de un clúster de Amazon MSK.

  • El cifrado dentro del clúster debe estar activado. Esta configuración es la predeterminada al crear un clúster. No es posible activar el cifrado dentro del clúster para un clúster que se creó con el cifrado desactivado. Por lo tanto, no es posible activar el acceso público a un clúster que se creó con el cifrado dentro del clúster desactivado.

  • El tráfico de texto sin formato entre los agentes y los clientes debe estar desactivado. Para obtener información sobre cómo desactivarlo si está activado, consulte Actualización de la configuración de seguridad de un clúster de Amazon MSK.

  • Si utiliza los métodos de control de acceso SASL/SCRAM o mTLS, debe configurar Apache Kafka para su clúster. ACLs Después de configurar Apache Kafka ACLs para el clúster, actualice la configuración del clúster para que la propiedad del clúster sea false. allow.everyone.if.no.acl.found Para obtener información acerca de cómo actualizar la configuración de un clúster, consulte Operaciones de configuración del bróker. Si utiliza el control de acceso de IAM y desea aplicar políticas de autorización o actualizarlas, consulte Control de acceso de IAM. Para obtener información sobre Apache Kafka ACLs, consulte. Apache Kafka ACLs

Una vez que se asegure de que un clúster de MSK cumple las condiciones enumeradas anteriormente, puede usar la AWS Management Console AWS CLI, la o la API de Amazon MSK para activar el acceso público. Después de activar el acceso público a un clúster, puede obtener una cadena pública de bootstrap-brokers para este. Para obtener más información acerca de cómo obtener los agentes de arranque de un clúster, consulte Obtención de agentes de arranque para un clúster de Amazon MSK.

importante

Además de activar el acceso público, asegúrese de que los grupos de seguridad del clúster tengan reglas de TCP de entrada que permitan el acceso público desde su dirección IP. Le recomendamos que estas reglas sean lo más restrictivas posible. Para obtener más información acerca de los grupos de seguridad y las reglas de entrada, consulte Grupos de seguridad de la VPC en la Guía del usuario de Amazon VPC. Para ver los números de los puertos, consulte Información del puerto. Para obtener instrucciones acerca de cómo cambiar el grupo de seguridad de un clúster, consulte Modificación del grupo de seguridad de un clúster de Amazon MSK.

nota

Si sigue estas instrucciones para activar el acceso público y, a pesar de ello, sigue sin poder acceder al clúster, consulte No se puede acceder al clúster que tiene activado el acceso público.

Activación del acceso público mediante la consola

  1. ¿Iniciar sesión en la AWS Management Console consola Amazon MSK y abrirla desde https://console.aws.amazon.com/msk/casa? region=us-east-1#/home/.

  2. En la lista de clústeres, elija el clúster en el que desea activar el acceso público.

  3. Seleccione la pestaña Propiedades y, a continuación, busque la sección Configuración de redes.

  4. Elija Editar el acceso público.

Activar el acceso público mediante el AWS CLI

  1. Ejecute el siguiente AWS CLI comando, sustituyendo ClusterArn y Current-Cluster-Version por el ARN y la versión actual del clúster. Para buscar la versión actual del clúster, utilice la DescribeClusteroperación o el comando AWS CLI describe-cluster. Un ejemplo de ID de versión es KTVPDKIKX0DER.

    aws kafka update-connectivity --cluster-arn ClusterArn --current-version Current-Cluster-Version --connectivity-info '{"PublicAccess": {"Type": "SERVICE_PROVIDED_EIPS"}}'

    El resultado de este comando update-connectivity tendrá un aspecto similar al siguiente.

    {
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}
    nota

    Para desactivar el acceso público, usa un AWS CLI comando similar, pero con la siguiente información de conectividad en su lugar:

    '{"PublicAccess": {"Type": "DISABLED"}}'

  2. Para obtener el resultado de la update-connectivity operación, ejecute el siguiente comando y ClusterOperationArn reemplácelo por el ARN que obtuvo en el resultado del update-connectivity comando.

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    El resultado de este comando describe-cluster-operation tendrá un aspecto similar al siguiente.

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "982168a3-939f-11e9-8a62-538df00285db",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2019-06-20T21:08:57.735Z",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "UPDATE_COMPLETE",
        "OperationType": "UPDATE_CONNECTIVITY",
        "SourceClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "DISABLED"
                }
            }
        },
        "TargetClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "SERVICE_PROVIDED_EIPS"
                }
            }
        }
    }
}

    Si OperationState tiene el valor UPDATE_IN_PROGRESS, espere un rato y vuelva a ejecutar el comando describe-cluster-operation.

Activación del acceso público mediante la API de Amazon MSK

  • Para usar la API para activar o desactivar el acceso público a un clúster, consulte UpdateConnectivity.

nota

Por motivos de seguridad, Amazon MSK no permite el acceso público a Apache ZooKeeper ni a los nodos KRaft del controlador.