Siapkan cluster MSK sumber Amazon - Amazon Managed Streaming untuk Apache Kafka

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Siapkan cluster MSK sumber Amazon

Jika Anda sudah memiliki cluster MSK sumber yang dibuat untuk MSK Replicator, pastikan bahwa itu memenuhi persyaratan yang dijelaskan di bagian ini. Jika tidak, ikuti langkah-langkah ini untuk membuat MSK kluster sumber yang disediakan atau tanpa server.

Proses untuk membuat cluster sumber MSK Replikator lintas wilayah dan wilayah yang sama serupa. Perbedaan disebut dalam prosedur berikut.

  1. Buat klaster MSK yang disediakan atau tanpa server dengan kontrol IAM akses diaktifkan di wilayah sumber. Cluster sumber Anda harus memiliki minimal tiga broker.

  2. Untuk MSK Replikator lintas wilayah, jika sumbernya adalah kluster yang disediakan, konfigurasikan dengan konektivitas VPC multi-pribadi yang diaktifkan untuk IAM skema kontrol akses. Perhatikan bahwa jenis autentikasi yang tidak diautentikasi tidak didukung saat multi- VPC dihidupkan. Anda tidak perlu mengaktifkan konektivitas VPC multi-pribadi untuk skema otentikasi lainnya (skema m TLS atau SASL/SCRAM). You can simultaneously use mTLS or SASL/SCRAM autentikasi untuk klien Anda yang lain yang terhubung ke cluster AndaMSK. Anda dapat mengonfigurasi konektivitas VPC multi-pribadi di detail cluster konsol Pengaturan jaringan atau dengan file UpdateConnectivityAPI. Lihat Pemilik cluster mengaktifkan multi- VPC. Jika cluster sumber Anda adalah kluster MSK Tanpa Server, Anda tidak perlu mengaktifkan konektivitas VPC multi-pribadi.

    Untuk MSK Replicator wilayah yang sama, cluster MSK sumber tidak memerlukan konektivitas VPC multi-pribadi dan cluster masih dapat diakses oleh klien lain menggunakan jenis autentikasi yang tidak diautentikasi.

  3. Untuk MSK Replikator lintas wilayah, Anda harus melampirkan kebijakan izin berbasis sumber daya ke kluster sumber. Hal ini memungkinkan MSK untuk terhubung ke cluster ini untuk mereplikasi data. Anda dapat melakukan ini menggunakan prosedur CLI atau AWS Konsol di bawah ini. Lihat juga, kebijakan berbasis MSK sumber daya Amazon. Anda tidak perlu melakukan langkah ini untuk Replikator wilayah yang samaMSK.

Console: create resource policy

Perbarui kebijakan cluster sumber dengan yang berikut iniJSON. Ganti placeholder dengan cluster ARN sumber Anda.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
            "Service": [
                "kafka.amazonaws.com"
            ]
        },
        "Action": [
            "kafka:CreateVpcConnection",
            "kafka:GetBootstrapBrokers",
            "kafka:DescribeClusterV2"
        ],
        "Resource": "<sourceClusterARN>"
    }
  ]
}

Gunakan opsi Edit kebijakan klaster di bawah menu Tindakan pada halaman detail klaster.

Edit kebijakan klaster di konsol
CLI: create resource policy

Catatan: Jika Anda menggunakan AWS konsol untuk membuat kluster sumber dan memilih opsi untuk membuat IAM peran baru, AWS lampirkan kebijakan kepercayaan yang diperlukan ke peran tersebut. Jika Anda MSK ingin menggunakan IAM peran yang ada atau jika Anda membuat peran sendiri, lampirkan kebijakan kepercayaan berikut ke peran tersebut sehingga MSK Replicator dapat menerimanya. Untuk informasi tentang cara mengubah hubungan kepercayaan suatu peran, lihat Mengubah Peran.

  1. Dapatkan versi kebijakan MSK klaster saat ini menggunakan perintah ini. Ganti placeholder dengan cluster yang sebenarnya. ARN

    aws kafka get-cluster-policy —cluster-arn <Cluster ARN>
{
"CurrentVersion": "K1PA6795UKM GR7",
"Policy": "..."
}

  2. Buat kebijakan berbasis sumber daya untuk memungkinkan MSK Replicator mengakses kluster sumber Anda. Gunakan sintaks berikut sebagai template, menggantikan placeholder dengan cluster sumber yang sebenarnya. ARN

    aws kafka put-cluster-policy --cluster-arn "<sourceClusterARN>" --policy '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"kafka.amazonaws.com"
]
},
"Action": [
"kafka:CreateVpcConnection",
"kafka:GetBootstrapBrokers",
"kafka:DescribeClusterV2"
],
"Resource": "<sourceClusterARN>"
}
]