Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Connect ke kluster Amazon MSK Provisioned
Secara default, klien dapat mengakses kluster MSK Provisioned hanya jika mereka berada di VPC yang sama dengan cluster. Semua komunikasi antara klien Kafka Anda dan kluster MSK Provisioned Anda bersifat pribadi secara default dan data streaming Anda tidak pernah melintasi internet. Untuk terhubung ke klaster MSK Provisioned Anda dari klien yang berada di VPC yang sama dengan cluster, pastikan grup keamanan klaster memiliki aturan masuk yang menerima lalu lintas dari grup keamanan klien. Untuk informasi tentang mengatur aturan ini, lihat [Aturan Grup Keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules). Untuk contoh cara mengakses cluster dari instans Amazon EC2 yang berada di VPC yang sama dengan cluster, lihat. [Mulai menggunakan Amazon MSK](getting-started.md)
**catatan**
KRaft mode metadata dan broker MSK Express tidak dapat mengaktifkan pemantauan terbuka dan akses publik.
Untuk terhubung ke kluster MSK Provisioned Anda dari klien yang berada di luar VPC cluster, lihat [Akses dari dalam tetapi AWS di luar](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access.html) VPC cluster.
**Topics**
+ [Aktifkan akses publik ke kluster MSK Provisioned](public-access.md)
+ [Akses dari dalam AWS tetapi di luar VPC cluster](aws-access.md)
# Aktifkan akses publik ke kluster MSK Provisioned
Amazon MSK memberi Anda opsi untuk mengaktifkan akses publik ke broker klaster MSK Provisioned yang menjalankan Apache Kafka 2.6.0 atau versi yang lebih baru. Karena alasan keamanan, Anda tidak dapat mengaktifkan akses publik saat membuat klaster MSK. Namun, Anda dapat memperbarui cluster yang ada agar dapat diakses publik. Anda juga dapat membuat cluster baru dan kemudian memperbaruinya agar dapat diakses publik.
Anda dapat mengaktifkan akses publik ke kluster MSK tanpa biaya tambahan, tetapi biaya transfer AWS data standar berlaku untuk transfer data masuk dan keluar dari cluster. Untuk informasi tentang harga, lihat Harga Sesuai [Permintaan Amazon EC2](https://aws.amazon.com/ec2/pricing/on-demand/).
Amazon MSK Provisioned cluster dengan dukungan tipe jaringan dual-stack keduanya IPv4 dan konektivitas untuk akses publik. IPv6 Ketika akses publik diaktifkan di cluster Anda, string IPv6 bootstrap yang sama akan secara otomatis bekerja untuk konektivitas akses default dan publik. String IPv4 bootstrap Anda yang ada akan terus bekerja untuk IPv4 konektivitas. Perhatikan bahwa jika akses publik tidak diaktifkan di cluster Anda, string IPv6 bootstrap tidak akan memiliki kemampuan akses publik. Untuk informasi selengkapnya, lihat Mengonfigurasi tipe jaringan dual-stack untuk klaster MSK Amazon.
**catatan**
Jika Anda menggunakan SASL/SCRAM, atau metode kontrol akses mTLS, Anda harus terlebih dahulu mengatur Apache Kafka untuk cluster Anda. ACLs Kemudian, perbarui konfigurasi cluster untuk mengatur `allow.everyone.if.no.acl.found` properti ke false. Untuk informasi tentang cara memperbarui konfigurasi klaster, lihat[Operasi konfigurasi broker](msk-configuration-operations.md).
Untuk mengaktifkan akses publik ke klaster MSK Provisioned, pastikan klaster memenuhi semua kondisi berikut:
+ Subnet yang terkait dengan cluster harus bersifat publik. Setiap subnet publik memiliki IPv4 alamat publik yang terkait dengannya dan IPv4 alamat publik diberi harga seperti yang ditunjukkan di halaman harga Amazon [VPC](https://aws.amazon.com/vpc/pricing/). Ini berarti bahwa subnet harus memiliki tabel rute terkait dengan gateway internet terpasang. Untuk informasi tentang cara membuat dan melampirkan gateway internet, lihat [Mengaktifkan akses internet VPC menggunakan gateway internet di](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) Panduan Pengguna Amazon *VPC*.
+ Kontrol akses yang tidak diautentikasi harus dimatikan dan setidaknya satu dari metode kontrol akses berikut harus aktif:, mTLS. SASL/IAM, SASL/SCRAM Untuk informasi tentang cara memperbarui metode kontrol akses klaster, lihat. [Perbarui pengaturan keamanan kluster MSK Amazon](msk-update-security.md)
+ Enkripsi dalam cluster harus dihidupkan. Pengaturan on adalah default saat membuat cluster. Tidak mungkin mengaktifkan enkripsi di dalam cluster untuk cluster yang dibuat dengan dimatikan. Oleh karena itu tidak mungkin untuk mengaktifkan akses publik untuk cluster yang dibuat dengan enkripsi dalam cluster dimatikan.
+ Lalu lintas teks biasa antara broker dan klien harus dimatikan. Untuk informasi tentang cara mematikannya jika aktif, lihat[Perbarui pengaturan keamanan kluster MSK Amazon](msk-update-security.md).
+ Jika Anda menggunakan kontrol akses IAM dan ingin menerapkan kebijakan otorisasi atau memperbarui kebijakan otorisasi Anda, lihat. [Kontrol akses IAM](iam-access-control.md) Untuk informasi tentang Apache Kafka ACLs, lihat. [Apache Kafka ACLs](msk-acls.md)
Setelah Anda memastikan bahwa klaster MSK memenuhi ketentuan yang tercantum di atas, Anda dapat menggunakan Konsol Manajemen AWS, API MSK Amazon AWS CLI, atau Amazon untuk mengaktifkan akses publik. Setelah Anda mengaktifkan akses publik ke cluster, Anda bisa mendapatkan string bootstrap-broker publik untuk itu. Untuk informasi tentang mendapatkan broker bootstrap untuk sebuah cluster, lihat[Dapatkan broker bootstrap untuk cluster MSK Amazon](msk-get-bootstrap-brokers.md).
**penting**
Selain mengaktifkan akses publik, pastikan bahwa grup keamanan klaster memiliki aturan TCP masuk yang memungkinkan akses publik dari alamat IP Anda. Kami menyarankan Anda membuat aturan ini seketat mungkin. Untuk informasi tentang grup keamanan dan aturan masuk, lihat [Grup keamanan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) di Panduan Pengguna Amazon VPC. Untuk nomor port, lihat[Informasi pelabuhan](port-info.md). Untuk petunjuk tentang cara mengubah grup keamanan klaster, lihat[Mengubah grup keamanan klaster MSK Amazon](change-security-group.md).
**catatan**
Jika Anda menggunakan petunjuk berikut untuk mengaktifkan akses publik dan kemudian masih tidak dapat mengakses cluster, lihat[Tidak dapat mengakses klaster yang mengaktifkan akses publik](troubleshooting.md#public-access-issues).
**Mengaktifkan akses publik menggunakan konsol**
1. Masuk ke Konsol Manajemen AWS, dan buka konsol MSK Amazon di [https://console.aws.amazon.com/msk/rumah? region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/).
1. Dalam daftar cluster, pilih cluster yang ingin Anda aktifkan akses publik.
1. Pilih tab **Properties**, lalu temukan bagian **Pengaturan jaringan**.
1. Pilih **Edit akses publik**.
**Mengaktifkan akses publik menggunakan AWS CLI**
1. Jalankan AWS CLI perintah berikut, ganti *ClusterArn* dan *Current-Cluster-Version* dengan ARN dan versi cluster saat ini. Untuk menemukan versi cluster saat ini, gunakan [DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)operasi atau [perintah AWS CLI deskripsi-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html). Contoh versi adalah`KTVPDKIKX0DER`.
```
aws kafka update-connectivity --cluster-arn ClusterArn --current-version Current-Cluster-Version --connectivity-info '{"PublicAccess": {"Type": "SERVICE_PROVIDED_EIPS"}}'
```
Output dari `update-connectivity` perintah ini terlihat seperti contoh JSON berikut.
```
{
"ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
"ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}
```
**catatan**
Untuk mematikan akses publik, gunakan AWS CLI perintah serupa, tetapi dengan info konektivitas berikut sebagai gantinya:
```
'{"PublicAccess": {"Type": "DISABLED"}}'
```
1. Untuk mendapatkan hasil `update-connectivity` operasi, jalankan perintah berikut, ganti *ClusterOperationArn* dengan ARN yang Anda peroleh dalam output perintah. `update-connectivity`
```
aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn
```
Output dari `describe-cluster-operation` perintah ini terlihat seperti contoh JSON berikut.
```
{
"ClusterOperationInfo": {
"ClientRequestId": "982168a3-939f-11e9-8a62-538df00285db",
"ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
"CreationTime": "2019-06-20T21:08:57.735Z",
"OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
"OperationState": "UPDATE_COMPLETE",
"OperationType": "UPDATE_CONNECTIVITY",
"SourceClusterInfo": {
"ConnectivityInfo": {
"PublicAccess": {
"Type": "DISABLED"
}
}
},
"TargetClusterInfo": {
"ConnectivityInfo": {
"PublicAccess": {
"Type": "SERVICE_PROVIDED_EIPS"
}
}
}
}
}
```
Jika `OperationState` memiliki nilai`UPDATE_IN_PROGRESS`, tunggu sebentar, lalu jalankan `describe-cluster-operation` perintah lagi.
**Mengaktifkan akses publik menggunakan Amazon MSK API**
+ Untuk menggunakan API untuk mengaktifkan atau menonaktifkan akses publik ke klaster, lihat [UpdateConnectivity](https://docs.aws.amazon.com//msk/1.0/apireference/clusters-clusterarn-connectivity.html#UpdateConnectivity).
**catatan**
Untuk alasan keamanan, Amazon MSK tidak mengizinkan akses publik ke Apache ZooKeeper atau node KRaft pengontrol.
# Akses dari dalam AWS tetapi di luar VPC cluster
Untuk terhubung ke cluster MSK dari dalam AWS tetapi di luar VPC Amazon cluster, ada opsi berikut.
## Pengintip VPC Amazon
Untuk terhubung ke cluster MSK Anda dari VPC yang berbeda dari VPC cluster, Anda dapat membuat koneksi peering di antara keduanya. VPCs Untuk informasi tentang peering VPC, lihat Panduan Peering [VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) Amazon.
## Direct Connect
Direct Connect menghubungkan jaringan on-premise Anda ke AWS lebih dari kabel serat optik Ethernet 1 gigabit atau 10 gigabit standar. Salah satu ujung kabel terhubung ke router Anda, yang lain ke Direct Connect router. Dengan koneksi ini, Anda dapat membuat antarmuka virtual langsung ke AWS cloud dan Amazon VPC, melewati penyedia layanan Internet di jalur jaringan Anda. Untuk informasi selengkapnya, lihat [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html).
## AWS Transit Gateway
AWS Transit Gateway adalah layanan yang memungkinkan Anda menghubungkan jaringan lokal Anda VPCs dan jaringan lokal Anda ke satu gateway. Untuk informasi tentang cara menggunakan AWS Transit Gateway, lihat [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html).
## Koneksi VPN
Anda dapat menghubungkan VPC klaster MSK Anda ke jaringan jarak jauh dan pengguna menggunakan opsi konektivitas VPN yang dijelaskan dalam topik berikut[:](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) Koneksi VPN.
## Proksi REST
Anda dapat menginstal proxy REST pada instance yang berjalan di dalam Amazon VPC klaster Anda. Proxy REST memungkinkan produsen dan konsumen Anda untuk berkomunikasi dengan cluster melalui permintaan HTTP API.
## Konektivitas Multi-VPC Beberapa Wilayah
Dokumen berikut menjelaskan opsi konektivitas untuk beberapa VPCs yang berada di Wilayah berbeda: Konektivitas [Multi-VPC Wilayah Multiple](https://aws.amazon.com/answers/networking/aws-multiple-region-multi-vpc-connectivity/).
## Konektivitas pribadi multi-VPC Wilayah Tunggal
Konektivitas pribadi multi-VPC (didukung oleh [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)) untuk Amazon Managed Streaming for Apache Kafka (Amazon MSK) cluster adalah fitur yang memungkinkan Anda untuk lebih cepat menghubungkan klien Kafka yang dihosting di berbagai Virtual Private VPCs Clouds ( AWS ) dan akun ke kluster MSK Amazon.
Lihat [konektivitas multi-VPC Wilayah Tunggal untuk klien lintas akun](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access-mult-vpc.html).
## Jaringan EC2-Classic sudah pensiun
Amazon MSK tidak lagi mendukung instans Amazon EC2 yang berjalan dengan jaringan Amazon EC2-Classic.
Lihat [EC2-Classic Networking Pensiun — Inilah Cara Mempersiapkan](https://aws.amazon.com/blogs/aws/ec2-classic-is-retiring-heres-how-to-prepare/).
# Konektivitas privat multi-vpc Amazon MSK di satu wilayah
Konektivitas pribadi multi-VPC (didukung oleh [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)) untuk Amazon Managed Streaming for Apache Kafka (Amazon MSK) cluster adalah fitur yang memungkinkan Anda untuk lebih cepat menghubungkan klien Kafka yang dihosting di berbagai Virtual Private VPCs Clouds ( AWS ) dan akun ke kluster MSK Amazon.
Konektivitas privat multi-VPC adalah solusi terkelola yang menyederhanakan infrastruktur jaringan untuk konektivitas multi-VPC dan lintas akun. Klien dapat terhubung ke cluster MSK Amazon PrivateLink sambil menjaga semua lalu lintas dalam AWS jaringan. Konektivitas pribadi multi-VPC untuk kluster MSK Amazon tersedia di semua Wilayah di AWS mana Amazon MSK tersedia.
**Topics**
+ [Apa itu konektivitas pribadi multi-VPC?](#mvpc-what-is)
+ [Manfaat konektivitas pribadi multi-VPC](#mvpc-benefits)
+ [Persyaratan dan batasan untuk konektivitas pribadi multi-VPC](#mvpc-requirements)
+ [Mulai menggunakan konektivitas pribadi multi-VPC](mvpc-getting-started.md)
+ [Perbarui skema otorisasi pada cluster](mvpc-cross-account-update-authschemes.md)
+ [Tolak koneksi VPC terkelola ke kluster MSK Amazon](mvpc-cross-account-reject-connection.md)
+ [Hapus koneksi VPC terkelola ke kluster MSK Amazon](mvpc-cross-account-delete-connection.md)
+ [Izin untuk konektivitas pribadi multi-VPC](mvpc-cross-account-permissions.md)
## Apa itu konektivitas pribadi multi-VPC?
Konektivitas pribadi multi-VPC untuk Amazon MSK adalah opsi konektivitas yang memungkinkan Anda menghubungkan klien Apache Kafka yang di-host di berbagai Virtual Private Clouds (VPCs) dan AWS akun ke cluster MSK.
[Amazon MSK menyederhanakan akses lintas akun dengan kebijakan klaster.](mvpc-cluster-owner-action-policy.md) Kebijakan ini memungkinkan pemilik klaster untuk memberikan izin bagi AWS akun lain untuk membangun konektivitas pribadi ke klaster MSK.
## Manfaat konektivitas pribadi multi-VPC
Konektivitas pribadi multi-VPC memiliki beberapa keunggulan dibandingkan solusi [konektivitas lainnya](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access.html):
+ Ini mengotomatiskan manajemen operasional solusi AWS PrivateLink konektivitas.
+ Ini memungkinkan tumpang tindih IPs di seluruh koneksi VPCs, menghilangkan kebutuhan untuk mempertahankan tabel pengintip yang tidak tumpang tindih IPs, kompleks, dan perutean yang terkait dengan solusi konektivitas VPC lainnya.
Anda menggunakan kebijakan klaster untuk klaster MSK Anda untuk menentukan AWS akun mana yang memiliki izin untuk menyiapkan konektivitas pribadi lintas akun ke kluster MSK Anda. Admin lintas akun dapat mendelegasikan izin ke peran atau pengguna yang sesuai. Saat digunakan dengan otentikasi klien IAM, Anda juga dapat menggunakan kebijakan klaster untuk menentukan izin bidang data Kafka secara terperinci untuk klien yang menghubungkan.
## Persyaratan dan batasan untuk konektivitas pribadi multi-VPC
Perhatikan persyaratan klaster MSK ini untuk menjalankan konektivitas pribadi multi-VPC:
+ Konektivitas pribadi multi-VPC hanya didukung pada Apache Kafka 2.7.1 atau lebih tinggi. Pastikan bahwa setiap klien yang Anda gunakan dengan cluster MSK menjalankan versi Apache Kafka yang kompatibel dengan cluster.
+ Konektivitas pribadi multi-VPC mendukung jenis autentikasi IAM, TLS dan SASL/SCRAM. Cluster yang tidak diautentikasi tidak dapat menggunakan konektivitas pribadi multi-VPC.
+ Jika Anda menggunakan metode kontrol akses SASL/SCRAM atau mTLS, Anda harus mengatur Apache ACLs Kafka untuk cluster Anda. Pertama, atur Apache Kafka ACLs untuk cluster Anda. Kemudian, perbarui konfigurasi cluster agar properti `allow.everyone.if.no.acl.found` disetel ke false untuk cluster. Untuk informasi tentang cara memperbarui konfigurasi klaster, lihat[Operasi konfigurasi broker](msk-configuration-operations.md). Jika Anda menggunakan kontrol akses IAM dan ingin menerapkan kebijakan otorisasi atau memperbarui kebijakan otorisasi Anda, lihat. [Kontrol akses IAM](iam-access-control.md) Untuk informasi tentang Apache Kafka ACLs, lihat. [Apache Kafka ACLs](msk-acls.md)
+ Konektivitas pribadi multi-vPC tidak mendukung tipe instans t3.small.
+ Konektivitas pribadi multi-VPC tidak didukung di seluruh AWS Wilayah, hanya pada AWS akun dalam Wilayah yang sama.
+ Untuk mengatur konektivitas pribadi multi-VPC, Anda harus memiliki jumlah subnet klien yang sama dengan subnet cluster. Anda juga harus memastikan bahwa [Availability Zone IDs](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) sama untuk subnet klien dan subnet cluster.
+ Amazon MSK tidak mendukung konektivitas pribadi multi-VPC ke node Zookeeper.
# Mulai menggunakan konektivitas pribadi multi-VPC
**Topics**
+ [Langkah 1: Pada kluster MSK di Akun A, aktifkan konektivitas multi-VPC untuk skema autentikasi IAM di cluster](mvpc-cluster-owner-action-turn-on.md)
+ [Langkah 2: Lampirkan kebijakan klaster ke klaster MSK](mvpc-cluster-owner-action-policy.md)
+ [Langkah 3: Tindakan pengguna lintas akun untuk mengonfigurasi koneksi VPC yang dikelola klien](mvpc-cross-account-user-action.md)
Tutorial ini menggunakan kasus penggunaan umum sebagai contoh bagaimana Anda dapat menggunakan konektivitas multi-VPC untuk menghubungkan klien Apache Kafka secara pribadi ke cluster MSK dari dalam, AWS tetapi di luar VPC cluster. Proses ini mengharuskan pengguna lintas akun untuk membuat koneksi dan konfigurasi VPC yang dikelola MSK untuk setiap klien, termasuk izin klien yang diperlukan. Proses ini juga mengharuskan pemilik klaster MSK untuk mengaktifkan PrivateLink konektivitas pada cluster MSK dan memilih skema otentikasi untuk mengontrol akses ke cluster.
Di berbagai bagian tutorial ini, kami memilih opsi yang berlaku untuk contoh ini. Ini tidak berarti bahwa mereka adalah satu-satunya opsi yang berfungsi untuk menyiapkan cluster MSK atau instance klien.
Konfigurasi jaringan untuk kasus penggunaan ini adalah sebagai berikut:
+ Pengguna lintas akun (klien Kafka) dan cluster MSK berada di AWS jaringan/wilayah yang sama, tetapi di akun yang berbeda:
+ Kluster MSK di Akun A
+ Klien Kafka di Akun B
+ Pengguna lintas akun akan terhubung secara pribadi ke kluster MSK menggunakan skema autentikasi IAM.
Tutorial ini mengasumsikan bahwa ada cluster MSK yang disediakan dibuat dengan Apache Kafka versi 2.7.1 atau lebih tinggi. Cluster MSK harus dalam keadaan AKTIF sebelum memulai proses konfigurasi. Untuk menghindari potensi kehilangan data atau downtime, klien yang akan menggunakan koneksi pribadi multi-VPC untuk terhubung ke cluster harus menggunakan versi Apache Kafka yang kompatibel dengan cluster.
Diagram berikut menggambarkan arsitektur konektivitas Amazon MSK multi-VPC yang terhubung ke klien di akun yang berbeda. AWS
![\[Diagram jaringan multi-VPC dalam satu Wilayah\]](http://docs.aws.amazon.com/id_id/msk/latest/developerguide/images/mvpc-network.png)
# Langkah 1: Pada kluster MSK di Akun A, aktifkan konektivitas multi-VPC untuk skema autentikasi IAM di cluster
Pemilik cluster MSK perlu membuat pengaturan konfigurasi pada cluster MSK setelah cluster dibuat dan dalam keadaan AKTIF.
Pemilik cluster mengaktifkan konektivitas pribadi multi-VPC di cluster ACTIVE untuk skema autentikasi apa pun yang akan aktif di cluster. Ini dapat dilakukan dengan menggunakan konsol [UpdateSecurity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-security.html) atau MSK. Skema autentikasi IAM, SASL/SCRAM, dan TLS mendukung konektivitas pribadi multi-VPC. Konektivitas pribadi multi-VPC tidak dapat diaktifkan untuk cluster yang tidak diautentikasi.
Untuk kasus penggunaan ini, Anda akan mengonfigurasi cluster untuk menggunakan skema autentikasi IAM.
**catatan**
Jika Anda mengonfigurasi cluster MSK Anda untuk menggunakan skema SASL/SCRAM autentikasi, ACLs properti Apache Kafka "" adalah wajib. `allow.everyone.if.no.acl.found=false` Lihat [Apache Kafka ACLs](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html).
Saat Anda memperbarui pengaturan konektivitas pribadi multi-VPC, Amazon MSK memulai reboot bergulir node broker yang memperbarui konfigurasi broker. Ini bisa memakan waktu hingga 30 menit atau lebih untuk menyelesaikannya. Anda tidak dapat membuat pembaruan lain ke cluster saat konektivitas sedang diperbarui.
**Aktifkan multi-VPC untuk skema autentikasi yang dipilih pada cluster di Akun A menggunakan konsol**
1. Buka konsol MSK Amazon di [https://console.aws.amazon.com/msk/](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html)untuk akun tempat cluster berada.
1. Di panel navigasi, di bawah **MSK Clusters**, pilih **Cluster** untuk menampilkan daftar cluster di akun.
1. Pilih cluster yang akan dikonfigurasi untuk konektivitas pribadi multi-VPC. Cluster harus dalam keadaan AKTIF.
1. Pilih tab **Properti** cluster, dan kemudian pergi ke Pengaturan **jaringan**.
1. Pilih menu **tarik-turun Edit** dan pilih **Aktifkan konektivitas multi-VPC**.
1. Pilih satu atau beberapa jenis otentikasi yang ingin Anda aktifkan untuk klaster ini. Untuk kasus penggunaan ini, pilih autentikasi berbasis **peran IAM**.
1. Pilih **Simpan perubahan**.
**Example - UpdateConnectivity API yang mengaktifkan skema autentikasi konektivitas pribadi multi-VPC pada cluster**
Sebagai alternatif dari konsol MSK, Anda dapat menggunakan [UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html) untuk mengaktifkan konektivitas pribadi multi-VPC dan mengonfigurasi skema autentikasi pada cluster AKTIF. Contoh berikut menunjukkan skema autentikasi IAM diaktifkan untuk cluster.
```
{
"currentVersion": "K3T4TT2Z381HKD",
"connectivityInfo": {
"vpcConnectivity": {
"clientAuthentication": {
"sasl": {
"iam": {
"enabled": TRUE
}
}
}
}
}
}
```
Amazon MSK menciptakan infrastruktur jaringan yang diperlukan untuk konektivitas pribadi. Amazon MSK juga membuat satu set titik akhir broker bootstrap baru untuk setiap jenis autentikasi yang memerlukan konektivitas pribadi. Perhatikan bahwa skema autentikasi plaintext tidak mendukung konektivitas pribadi multi-VPC.
# Langkah 2: Lampirkan kebijakan klaster ke klaster MSK
Pemilik klaster dapat melampirkan kebijakan klaster (juga dikenal sebagai [kebijakan berbasis sumber daya](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies)) ke klaster MSK di mana Anda akan mengaktifkan konektivitas pribadi multi-VPC. Kebijakan klaster memberikan izin kepada klien untuk mengakses klaster dari akun lain. Sebelum Anda dapat mengedit kebijakan klaster, Anda memerlukan ID akun untuk akun yang harus memiliki izin untuk mengakses kluster MSK. Lihat [Bagaimana Amazon MSK bekerja dengan IAM](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html).
Pemilik klaster harus melampirkan kebijakan klaster ke klaster MSK yang memberi wewenang kepada pengguna lintas akun di Akun B untuk mendapatkan broker bootstrap untuk klaster dan untuk mengotorisasi tindakan berikut pada klaster MSK di Akun A:
+ CreateVpcConnection
+ GetBootstrapBrokers
+ DescribeCluster
+ DescribeClusterV2
**Example**
Sebagai referensi, berikut ini adalah contoh JSON untuk kebijakan klaster dasar, mirip dengan kebijakan default yang ditampilkan di editor kebijakan IAM konsol MSK. Kebijakan berikut memberikan izin untuk akses tingkat klaster, topik, dan grup.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": [
"kafka:CreateVpcConnection",
"kafka:GetBootstrapBrokers",
"kafka:DescribeCluster",
"kafka:DescribeClusterV2",
"kafka-cluster:*"
],
"Resource": "arn:aws:kafka:us-east-1:111122223333:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": "kafka-cluster:*",
"Resource": "arn:aws:kafka:us-east-1:111122223333:topic/testing/*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": "kafka-cluster:*",
"Resource": "arn:aws:kafka:us-east-1:111122223333:group/testing/*"
}
]
}
```
**Lampirkan kebijakan klaster ke klaster MSK**
1. **Di konsol MSK Amazon, di bawah **MSK Clusters, pilih Cluster**.**
1. Gulir ke bawah ke **Pengaturan keamanan** dan pilih **Edit kebijakan klaster**.
1. Di konsol, di layar **Edit Kebijakan Cluster**, pilih **Kebijakan dasar untuk konektivitas multi-VPC**.
1. Di bidang **ID Akun**, masukkan ID akun untuk setiap akun yang seharusnya memiliki izin untuk mengakses klaster ini. Saat Anda mengetik ID, ID secara otomatis disalin ke dalam sintaks JSON kebijakan yang ditampilkan. Dalam contoh kebijakan klaster kami, ID Akun adalah*111122223333*.
1. Pilih **Simpan perubahan**.
Untuk informasi tentang kebijakan klaster APIs, lihat kebijakan berbasis [sumber daya MSK Amazon](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies).
# Langkah 3: Tindakan pengguna lintas akun untuk mengonfigurasi koneksi VPC yang dikelola klien
Untuk mengatur konektivitas pribadi multi-VPC antara klien di akun yang berbeda dari kluster MSK, pengguna lintas akun membuat koneksi VPC terkelola untuk klien. Beberapa klien dapat dihubungkan ke cluster MSK dengan mengulangi prosedur ini. Untuk keperluan kasus penggunaan ini, Anda akan mengkonfigurasi hanya satu klien.
Klien dapat menggunakan skema autentikasi yang didukung IAM, SASL/SCRAM, atau TLS. Setiap koneksi VPC yang dikelola hanya dapat memiliki satu skema autentikasi yang terkait dengannya. Skema autentikasi klien harus dikonfigurasi pada cluster MSK tempat klien akan terhubung.
Untuk kasus penggunaan ini, konfigurasikan skema autentikasi klien sehingga klien di Akun B menggunakan skema autentikasi IAM.
**Prasyarat**
Proses ini membutuhkan item berikut:
+ Kebijakan klaster yang dibuat sebelumnya yang memberikan klien di Akun B izin untuk melakukan tindakan pada klaster MSK di Akun A.
+ Kebijakan identitas yang dilampirkan pada klien di Akun B yang memberikan izin untuk`kafka:CreateVpcConnection`,`ec2:CreateTags`, `ec2:CreateVPCEndpoint` dan `ec2:DescribeVpcAttribute` tindakan.
**Example**
Sebagai referensi, berikut ini adalah contoh JSON untuk kebijakan identitas klien dasar.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafka:CreateVpcConnection",
"ec2:CreateTags",
"ec2:CreateVPCEndpoint",
"ec2:DescribeVpcAttribute"
],
"Resource": "*"
}
]
}
```
**Untuk membuat koneksi VPC terkelola untuk klien di Akun B**
1. Dari administrator cluster, dapatkan **ARN Cluster** dari klaster MSK di Akun A yang Anda inginkan klien di Akun B untuk terhubung. Catat ARN cluster yang akan digunakan nanti.
1. Di konsol MSK untuk klien Akun B, pilih Koneksi **VPC Terkelola**, lalu **pilih** Buat koneksi.
1. **Di panel **Pengaturan koneksi**, tempel ARN cluster ke bidang teks ARN cluster, lalu pilih Verifikasi.**
1. Pilih **jenis otentikasi** untuk klien di Akun B. Untuk kasus penggunaan ini, pilih IAM saat membuat koneksi VPC klien.
1. Pilih **VPC** untuk klien.
1. Pilih setidaknya dua **Zona** ketersediaan dan **Subnet** terkait. Anda bisa mendapatkan zona ketersediaan IDs dari detail klaster AWS Management Console atau dengan menggunakan [DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)API atau [perintah AWS CLI klaster deskripsikan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html). Zona IDs yang Anda tentukan untuk subnet klien harus cocok dengan subnet cluster. Jika nilai untuk subnet hilang, pertama-tama buat subnet dengan ID zona yang sama dengan cluster MSK Anda.
1. Pilih **grup Keamanan** untuk koneksi VPC ini. Anda dapat menggunakan grup keamanan default. Untuk informasi selengkapnya tentang mengonfigurasi grup keamanan, lihat [Mengontrol lalu lintas ke sumber daya menggunakan grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html).
1. Pilih **Buat koneksi**.
1. **Untuk mendapatkan daftar string broker bootstrap baru dari konsol MSK pengguna lintas akun (Detail **klaster > Koneksi **VPC Terkelola), lihat string broker bootstrap yang ditampilkan di bawah “String koneksi** cluster**.”** Dari Akun B klien, daftar broker bootstrap dapat dilihat dengan memanggil [GetBootstrapBrokers](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-bootstrap-brokers.html#GetBootstrapBrokers)API atau dengan melihat daftar broker bootstrap di detail cluster konsol.
1. Perbarui grup keamanan yang terkait dengan koneksi VPC sebagai berikut:
1. Tetapkan **aturan masuk** untuk PrivateLink VPC untuk mengizinkan semua lalu lintas untuk rentang IP dari jaringan Akun B.
1. [Opsional] Tetapkan konektivitas **aturan Outbound** ke klaster MSK. Pilih **Grup Keamanan** di konsol VPC, **Edit Aturan Keluar, dan tambahkan aturan** untuk **Lalu Lintas TCP Kustom untuk rentang port 14001-14100**. Penyeimbang beban jaringan multi-VPC mendengarkan pada rentang port 14001-14100. Lihat [Network Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html).
1. Konfigurasikan klien di Akun B untuk menggunakan broker bootstrap baru untuk konektivitas pribadi multi-VPC untuk terhubung ke cluster MSK di Akun A. Lihat [Menghasilkan dan](https://docs.aws.amazon.com/msk/latest/developerguide/produce-consume.html) mengkonsumsi data.
Setelah otorisasi selesai, Amazon MSK membuat koneksi VPC terkelola untuk setiap skema VPC dan autentikasi yang ditentukan. Grup keamanan yang dipilih dikaitkan dengan setiap koneksi. Koneksi VPC terkelola ini dikonfigurasi oleh Amazon MSK untuk terhubung secara pribadi ke broker. Anda dapat menggunakan kumpulan broker bootstrap baru untuk terhubung secara pribadi ke cluster MSK Amazon.
# Perbarui skema otorisasi pada cluster
Konektivitas pribadi multi-VPC mendukung beberapa skema otorisasi: konektivitas SASL/SCRAM, IAM, and TLS. The cluster owner can turn on/off pribadi untuk satu atau lebih skema autentikasi. Cluster harus dalam keadaan AKTIF untuk melakukan tindakan ini.
**Untuk mengaktifkan skema autentikasi menggunakan konsol MSK Amazon**
1. Buka konsol MSK Amazon di [Konsol Manajemen AWS](https://console.aws.amazon.com/msk)untuk cluster yang ingin Anda edit.
1. Di panel navigasi, di bawah **MSK Clusters**, pilih **Cluster** untuk menampilkan daftar cluster di akun.
1. Pilih cluster yang ingin Anda edit. Cluster harus dalam keadaan AKTIF.
1. Pilih tab **Properti** cluster, dan kemudian pergi ke **Pengaturan jaringan**.
1. Pilih menu tarik-turun **Edit** dan pilih **Aktifkan konektivitas multi-VPC** untuk mengaktifkan skema autentikasi baru.
1. Pilih satu atau beberapa jenis otentikasi yang ingin diaktifkan untuk klaster ini.
1. Pilih **Aktifkan pilihan**.
Saat Anda mengaktifkan skema autentikasi baru, Anda juga harus membuat koneksi VPC terkelola baru untuk skema autentikasi baru dan memperbarui klien Anda untuk menggunakan broker bootstrap khusus untuk skema autentikasi baru.
**Untuk mematikan skema autentikasi menggunakan konsol MSK Amazon**
**catatan**
Saat Anda mematikan konektivitas pribadi multi-VPC untuk skema autentikasi, semua infrastruktur terkait konektivitas, termasuk koneksi VPC terkelola, akan dihapus.
Saat Anda mematikan konektivitas pribadi multi-VPC untuk skema autentikasi, koneksi VPC yang ada di sisi klien berubah menjadi INACTIVE, dan infrastruktur Privatelink di sisi cluster, termasuk koneksi VPC terkelola, di sisi cluster dihapus. Pengguna lintas akun hanya dapat menghapus koneksi VPC yang tidak aktif. Jika konektivitas pribadi diaktifkan lagi di cluster, pengguna lintas akun perlu membuat koneksi baru ke cluster.
1. Buka konsol MSK Amazon di [Konsol Manajemen AWS](https://console.aws.amazon.com/msk).
1. Di panel navigasi, di bawah **MSK Clusters**, pilih **Cluster** untuk menampilkan daftar cluster di akun.
1. Pilih cluster yang ingin Anda edit. Cluster harus dalam keadaan AKTIF.
1. Pilih tab Cluster **Properties**, lalu pergi ke **Pengaturan jaringan**.
1. Pilih menu **tarik-turun Edit** dan pilih **Matikan konektivitas multi-VPC** (untuk mematikan skema autentikasi).
1. Pilih satu atau beberapa jenis otentikasi yang ingin dimatikan untuk klaster ini.
1. Pilih **Matikan pilihan**.
**Example Untuk mengubah skema on/off autentikasi dengan API**
Sebagai alternatif dari konsol MSK, Anda dapat menggunakan [UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html) untuk mengaktifkan konektivitas pribadi multi-VPC dan mengonfigurasi skema autentikasi pada cluster AKTIF. Contoh berikut menunjukkan SASL/SCRAM dan skema autentikasi IAM diaktifkan untuk cluster.
Saat Anda mengaktifkan skema autentikasi baru, Anda juga harus membuat koneksi VPC terkelola baru untuk skema autentikasi baru dan memperbarui klien Anda untuk menggunakan broker bootstrap khusus untuk skema autentikasi baru.
Saat Anda mematikan konektivitas pribadi multi-VPC untuk skema autentikasi, koneksi VPC yang ada di sisi klien berubah menjadi INACTIVE, dan infrastruktur Privatelink di sisi cluster, termasuk koneksi VPC terkelola, akan dihapus. Pengguna lintas akun hanya dapat menghapus koneksi VPC yang tidak aktif. Jika konektivitas pribadi diaktifkan lagi di cluster, pengguna lintas akun perlu membuat koneksi baru ke cluster.
```
Request:
{
"currentVersion": "string",
"connnectivityInfo": {
"publicAccess": {
"type": "string"
},
"vpcConnectivity": {
"clientAuthentication": {
"sasl": {
"scram": {
"enabled": TRUE
},
"iam": {
"enabled": TRUE
}
},
"tls": {
"enabled": FALSE
}
}
}
}
}
Response:
{
"clusterArn": "string",
"clusterOperationArn": "string"
}
```
# Tolak koneksi VPC terkelola ke kluster MSK Amazon
Dari konsol MSK Amazon di akun admin cluster, Anda dapat menolak koneksi VPC klien. Koneksi VPC klien harus dalam status TERSEDIA untuk ditolak. Anda mungkin ingin menolak koneksi VPC terkelola dari klien yang tidak lagi diizinkan untuk terhubung ke cluster Anda. Untuk mencegah koneksi VPC terkelola baru dari koneksi ke klien, tolak akses ke klien dalam kebijakan klaster. Koneksi yang ditolak masih menimbulkan biaya hingga dihapus oleh pemilik koneksi. Lihat [Menghapus koneksi VPC terkelola ke kluster MSK Amazon](https://docs.aws.amazon.com/msk/latest/developerguide/mvpc-cross-account-delete-connection.html).
**Untuk menolak koneksi VPC klien menggunakan konsol MSK**
1. Buka konsol MSK Amazon di [Konsol Manajemen AWS](https://console.aws.amazon.com/msk).
1. Di panel navigasi, pilih **Cluster** dan gulir ke **Pengaturan jaringan > Daftar koneksi VPC klien**.
1. Pilih koneksi yang ingin Anda tolak dan pilih Tolak koneksi **VPC klien**.
1. Konfirmasikan bahwa Anda ingin menolak koneksi VPC klien yang dipilih.
Untuk menolak koneksi VPC terkelola menggunakan API, gunakan `RejectClientVpcConnection` API.
# Hapus koneksi VPC terkelola ke kluster MSK Amazon
Pengguna lintas akun dapat menghapus koneksi VPC terkelola untuk klaster MSK dari konsol akun klien. Karena pengguna pemilik cluster tidak memiliki koneksi VPC terkelola, koneksi tidak dapat dihapus dari akun admin cluster. Setelah koneksi VPC dihapus, itu tidak lagi menimbulkan biaya.
**Untuk menghapus koneksi VPC terkelola menggunakan konsol MSK**
1. Dari akun klien, buka konsol MSK Amazon di [Konsol Manajemen AWS](https://console.aws.amazon.com/msk).
1. Di panel navigasi, pilih Koneksi **VPC terkelola**.
1. Dari daftar koneksi, pilih koneksi yang ingin Anda hapus.
1. Konfirmasikan bahwa Anda ingin menghapus koneksi VPC.
Untuk menghapus koneksi VPC terkelola menggunakan API, gunakan API. `DeleteVpcConnection`
# Izin untuk konektivitas pribadi multi-VPC
Bagian ini merangkum izin yang diperlukan untuk klien dan cluster menggunakan fitur konektivitas pribadi multi-VPC. Konektivitas pribadi multi-VPC mengharuskan admin klien untuk membuat izin pada setiap klien yang akan memiliki koneksi VPC terkelola ke cluster MSK. Ini juga membutuhkan admin cluster MSK untuk mengaktifkan PrivateLink konektivitas pada cluster MSK dan memilih skema otentikasi untuk mengontrol akses ke cluster.
**Jenis autentikasi cluster dan izin akses topik**
Aktifkan fitur konektivitas pribadi multi-VPC untuk skema autentikasi yang diaktifkan untuk kluster MSK Anda. Lihat [Persyaratan dan batasan untuk konektivitas pribadi multi-VPC](aws-access-mult-vpc.md#mvpc-requirements). Jika Anda mengonfigurasi cluster MSK Anda untuk menggunakan skema SASL/SCRAM autentikasi, properti Apache Kafka ACLs adalah wajib. `allow.everyone.if.no.acl.found=false` Setelah Anda mengatur [Apache Kafka ACLs](msk-acls.md) untuk cluster Anda, perbarui konfigurasi cluster agar properti `allow.everyone.if.no.acl.found` disetel ke false untuk cluster. Untuk informasi tentang cara memperbarui konfigurasi klaster, lihat[Operasi konfigurasi broker](msk-configuration-operations.md).
**Izin kebijakan klaster lintas akun**
Jika klien Kafka berada di AWS akun yang berbeda dari klaster MSK, lampirkan kebijakan berbasis cluster ke kluster MSK yang mengotorisasi pengguna root klien untuk konektivitas lintas akun. Anda dapat mengedit kebijakan klaster multi-VPC menggunakan editor kebijakan IAM di konsol MSK (**Pengaturan keamanan** klaster > **Edit kebijakan klaster**), atau gunakan yang berikut ini APIs untuk mengelola kebijakan klaster:
**PutClusterPolicy**
Melampirkan kebijakan klaster ke cluster. Anda dapat menggunakan API ini untuk membuat atau memperbarui kebijakan klaster MSK yang ditentukan. Jika Anda memperbarui kebijakan, bidang currentVersion diperlukan dalam payload permintaan.
**GetClusterPolicy**
Mengambil teks JSON dari dokumen kebijakan cluster yang dilampirkan ke cluster.
**DeleteClusterPolicy**
Menghapus kebijakan klaster.
Berikut ini adalah contoh JSON untuk kebijakan cluster dasar, mirip dengan yang ditampilkan di editor kebijakan IAM konsol MSK. Kebijakan berikut memberikan izin untuk akses tingkat klaster, topik, dan grup.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": [
"123456789012"
]
},
"Action": [
"kafka-cluster:*",
"kafka:CreateVpcConnection",
"kafka:GetBootstrapBrokers",
"kafka:DescribeCluster",
"kafka:DescribeClusterV2"
],
"Resource": [
"arn:aws:kafka:us-east-1:123456789012:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2",
"arn:aws:kafka:us-east-1:123456789012:topic/testing/*",
"arn:aws:kafka:us-east-1:123456789012:group/testing/*"
]
}]
}
```
------
**Izin klien untuk konektivitas pribadi multi-VPC ke kluster MSK**
Untuk mengatur konektivitas pribadi multi-VPC antara klien Kafka dan kluster MSK, klien memerlukan kebijakan identitas terlampir yang memberikan izin untuk`kafka:CreateVpcConnection`, `ec2:CreateTags` dan tindakan pada klien. `ec2:CreateVPCEndpoint` Sebagai referensi, berikut ini adalah contoh JSON untuk kebijakan identitas klien dasar.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafka:CreateVpcConnection",
"ec2:CreateTags",
"ec2:CreateVPCEndpoint"
],
"Resource": "*"
}
]
}
```
------
# Informasi pelabuhan
Gunakan nomor port berikut sehingga Amazon MSK dapat berkomunikasi dengan mesin klien:
+ Untuk berkomunikasi dengan broker dalam plaintext, gunakan port 9092.
+ Untuk berkomunikasi dengan broker dengan enkripsi TLS, gunakan port 9094 untuk akses dari dalam AWS dan port 9194 untuk akses publik.
+ Untuk berkomunikasi dengan broker dengan SASL/SCRAM, gunakan port 9096 untuk akses dari dalam AWS dan port 9196 untuk akses publik.
+ Untuk berkomunikasi dengan broker dalam cluster yang diatur untuk digunakan[Kontrol akses IAM](iam-access-control.md), gunakan port 9098 untuk akses dari dalam AWS dan port 9198 untuk akses publik.
+ Untuk berkomunikasi dengan broker menggunakan tipe IPv6 jaringan dalam plaintext, gunakan port 20092
+ Untuk berkomunikasi dengan broker dalam cluster yang diatur untuk menggunakan kontrol akses IAM menggunakan IPv6, gunakan port 20098.
+ Untuk berkomunikasi dengan broker dengan SASL/SCRAM menggunakan IPv6, gunakan port 20096.
+ Untuk berkomunikasi dengan broker dengan enkripsi TLS menggunakan IPv6, gunakan port 20094.