Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mulai menggunakan konektivitas pribadi multi-VPC
<a name="mvpc-getting-started"></a>

**Topics**
+ [Langkah 1: Pada kluster MSK di Akun A, aktifkan konektivitas multi-VPC untuk skema autentikasi IAM di cluster](mvpc-cluster-owner-action-turn-on.md)
+ [Langkah 2: Lampirkan kebijakan klaster ke klaster MSK](mvpc-cluster-owner-action-policy.md)
+ [Langkah 3: Tindakan pengguna lintas akun untuk mengonfigurasi koneksi VPC yang dikelola klien](mvpc-cross-account-user-action.md)

Tutorial ini menggunakan kasus penggunaan umum sebagai contoh bagaimana Anda dapat menggunakan konektivitas multi-VPC untuk menghubungkan klien Apache Kafka secara pribadi ke cluster MSK dari dalam, AWS tetapi di luar VPC cluster. Proses ini mengharuskan pengguna lintas akun untuk membuat koneksi dan konfigurasi VPC yang dikelola MSK untuk setiap klien, termasuk izin klien yang diperlukan. Proses ini juga mengharuskan pemilik klaster MSK untuk mengaktifkan PrivateLink konektivitas pada cluster MSK dan memilih skema otentikasi untuk mengontrol akses ke cluster.

Di berbagai bagian tutorial ini, kami memilih opsi yang berlaku untuk contoh ini. Ini tidak berarti bahwa mereka adalah satu-satunya opsi yang berfungsi untuk menyiapkan cluster MSK atau instance klien.

Konfigurasi jaringan untuk kasus penggunaan ini adalah sebagai berikut:
+ Pengguna lintas akun (klien Kafka) dan cluster MSK berada di AWS jaringan/wilayah yang sama, tetapi di akun yang berbeda:
  + Kluster MSK di Akun A
  + Klien Kafka di Akun B
+ Pengguna lintas akun akan terhubung secara pribadi ke kluster MSK menggunakan skema autentikasi IAM.

Tutorial ini mengasumsikan bahwa ada cluster MSK yang disediakan dibuat dengan Apache Kafka versi 2.7.1 atau lebih tinggi. Cluster MSK harus dalam keadaan AKTIF sebelum memulai proses konfigurasi. Untuk menghindari potensi kehilangan data atau downtime, klien yang akan menggunakan koneksi pribadi multi-VPC untuk terhubung ke cluster harus menggunakan versi Apache Kafka yang kompatibel dengan cluster.

Diagram berikut menggambarkan arsitektur konektivitas Amazon MSK multi-VPC yang terhubung ke klien di akun yang berbeda. AWS 

![\[Diagram jaringan multi-VPC dalam satu Wilayah\]](http://docs.aws.amazon.com/id_id/msk/latest/developerguide/images/mvpc-network.png)


# Langkah 1: Pada kluster MSK di Akun A, aktifkan konektivitas multi-VPC untuk skema autentikasi IAM di cluster
<a name="mvpc-cluster-owner-action-turn-on"></a>

Pemilik cluster MSK perlu membuat pengaturan konfigurasi pada cluster MSK setelah cluster dibuat dan dalam keadaan AKTIF.

Pemilik cluster mengaktifkan konektivitas pribadi multi-VPC di cluster ACTIVE untuk skema autentikasi apa pun yang akan aktif di cluster. Ini dapat dilakukan dengan menggunakan konsol [UpdateSecurity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-security.html) atau MSK. Skema autentikasi IAM, SASL/SCRAM, dan TLS mendukung konektivitas pribadi multi-VPC. Konektivitas pribadi multi-VPC tidak dapat diaktifkan untuk cluster yang tidak diautentikasi.

Untuk kasus penggunaan ini, Anda akan mengonfigurasi cluster untuk menggunakan skema autentikasi IAM.

**catatan**  
Jika Anda mengonfigurasi cluster MSK Anda untuk menggunakan skema SASL/SCRAM autentikasi, ACLs properti Apache Kafka "" adalah wajib. `allow.everyone.if.no.acl.found=false` Lihat [Apache Kafka ACLs](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html).

Saat Anda memperbarui pengaturan konektivitas pribadi multi-VPC, Amazon MSK memulai reboot bergulir node broker yang memperbarui konfigurasi broker. Ini bisa memakan waktu hingga 30 menit atau lebih untuk menyelesaikannya. Anda tidak dapat membuat pembaruan lain ke cluster saat konektivitas sedang diperbarui.

**Aktifkan multi-VPC untuk skema autentikasi yang dipilih pada cluster di Akun A menggunakan konsol**

1. Buka konsol MSK Amazon di [https://console.aws.amazon.com/msk/](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html)untuk akun tempat cluster berada.

1. Di panel navigasi, di bawah **MSK Clusters**, pilih **Cluster** untuk menampilkan daftar cluster di akun.

1. Pilih cluster yang akan dikonfigurasi untuk konektivitas pribadi multi-VPC. Cluster harus dalam keadaan AKTIF.

1. Pilih tab **Properti** cluster, dan kemudian pergi ke Pengaturan **jaringan**.

1. Pilih menu **tarik-turun Edit** dan pilih **Aktifkan konektivitas multi-VPC**.

1. Pilih satu atau beberapa jenis otentikasi yang ingin Anda aktifkan untuk klaster ini. Untuk kasus penggunaan ini, pilih autentikasi berbasis **peran IAM**.

1. Pilih **Simpan perubahan**.

**Example - UpdateConnectivity API yang mengaktifkan skema autentikasi konektivitas pribadi multi-VPC pada cluster**  
Sebagai alternatif dari konsol MSK, Anda dapat menggunakan [UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html) untuk mengaktifkan konektivitas pribadi multi-VPC dan mengonfigurasi skema autentikasi pada cluster AKTIF. Contoh berikut menunjukkan skema autentikasi IAM diaktifkan untuk cluster.  

```
{
  "currentVersion": "K3T4TT2Z381HKD",
  "connectivityInfo": {
    "vpcConnectivity": {
      "clientAuthentication": {
        "sasl": {
          "iam": {
            "enabled": TRUE
            }
        }
      }
    }
  }
}
```

Amazon MSK menciptakan infrastruktur jaringan yang diperlukan untuk konektivitas pribadi. Amazon MSK juga membuat satu set titik akhir broker bootstrap baru untuk setiap jenis autentikasi yang memerlukan konektivitas pribadi. Perhatikan bahwa skema autentikasi plaintext tidak mendukung konektivitas pribadi multi-VPC.

# Langkah 2: Lampirkan kebijakan klaster ke klaster MSK
<a name="mvpc-cluster-owner-action-policy"></a>

Pemilik klaster dapat melampirkan kebijakan klaster (juga dikenal sebagai [kebijakan berbasis sumber daya](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies)) ke klaster MSK di mana Anda akan mengaktifkan konektivitas pribadi multi-VPC. Kebijakan klaster memberikan izin kepada klien untuk mengakses klaster dari akun lain. Sebelum Anda dapat mengedit kebijakan klaster, Anda memerlukan ID akun untuk akun yang harus memiliki izin untuk mengakses kluster MSK. Lihat [Bagaimana Amazon MSK bekerja dengan IAM](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html).

Pemilik klaster harus melampirkan kebijakan klaster ke klaster MSK yang memberi wewenang kepada pengguna lintas akun di Akun B untuk mendapatkan broker bootstrap untuk klaster dan untuk mengotorisasi tindakan berikut pada klaster MSK di Akun A:
+ CreateVpcConnection
+ GetBootstrapBrokers
+ DescribeCluster
+ DescribeClusterV2

**Example**  
Sebagai referensi, berikut ini adalah contoh JSON untuk kebijakan klaster dasar, mirip dengan kebijakan default yang ditampilkan di editor kebijakan IAM konsol MSK. Kebijakan berikut memberikan izin untuk akses tingkat klaster, topik, dan grup.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": [
        "kafka:CreateVpcConnection",
        "kafka:GetBootstrapBrokers",
        "kafka:DescribeCluster",
        "kafka:DescribeClusterV2",
        "kafka-cluster:*"
      ],
      "Resource": "arn:aws:kafka:us-east-1:111122223333:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": "kafka-cluster:*",
      "Resource": "arn:aws:kafka:us-east-1:111122223333:topic/testing/*"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": "kafka-cluster:*",
      "Resource": "arn:aws:kafka:us-east-1:111122223333:group/testing/*"
    }
  ]
}
```

**Lampirkan kebijakan klaster ke klaster MSK**

1. **Di konsol MSK Amazon, di bawah **MSK Clusters, pilih Cluster**.**

1. Gulir ke bawah ke **Pengaturan keamanan** dan pilih **Edit kebijakan klaster**.

1. Di konsol, di layar **Edit Kebijakan Cluster**, pilih **Kebijakan dasar untuk konektivitas multi-VPC**.

1. Di bidang **ID Akun**, masukkan ID akun untuk setiap akun yang seharusnya memiliki izin untuk mengakses klaster ini. Saat Anda mengetik ID, ID secara otomatis disalin ke dalam sintaks JSON kebijakan yang ditampilkan. Dalam contoh kebijakan klaster kami, ID Akun adalah*111122223333*.

1. Pilih **Simpan perubahan**.

Untuk informasi tentang kebijakan klaster APIs, lihat kebijakan berbasis [sumber daya MSK Amazon](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies).

# Langkah 3: Tindakan pengguna lintas akun untuk mengonfigurasi koneksi VPC yang dikelola klien
<a name="mvpc-cross-account-user-action"></a>

Untuk mengatur konektivitas pribadi multi-VPC antara klien di akun yang berbeda dari kluster MSK, pengguna lintas akun membuat koneksi VPC terkelola untuk klien. Beberapa klien dapat dihubungkan ke cluster MSK dengan mengulangi prosedur ini. Untuk keperluan kasus penggunaan ini, Anda akan mengkonfigurasi hanya satu klien.

Klien dapat menggunakan skema autentikasi yang didukung IAM, SASL/SCRAM, atau TLS. Setiap koneksi VPC yang dikelola hanya dapat memiliki satu skema autentikasi yang terkait dengannya. Skema autentikasi klien harus dikonfigurasi pada cluster MSK tempat klien akan terhubung.

 Untuk kasus penggunaan ini, konfigurasikan skema autentikasi klien sehingga klien di Akun B menggunakan skema autentikasi IAM.

**Prasyarat**

Proses ini membutuhkan item berikut:
+ Kebijakan klaster yang dibuat sebelumnya yang memberikan klien di Akun B izin untuk melakukan tindakan pada klaster MSK di Akun A.
+ Kebijakan identitas yang dilampirkan pada klien di Akun B yang memberikan izin untuk`kafka:CreateVpcConnection`,`ec2:CreateTags`, `ec2:CreateVPCEndpoint` dan `ec2:DescribeVpcAttribute` tindakan.

**Example**  
Sebagai referensi, berikut ini adalah contoh JSON untuk kebijakan identitas klien dasar.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kafka:CreateVpcConnection",
        "ec2:CreateTags",
        "ec2:CreateVPCEndpoint",
        "ec2:DescribeVpcAttribute"
      ],
      "Resource": "*"
    }
  ]
}
```

**Untuk membuat koneksi VPC terkelola untuk klien di Akun B**

1. Dari administrator cluster, dapatkan **ARN Cluster** dari klaster MSK di Akun A yang Anda inginkan klien di Akun B untuk terhubung. Catat ARN cluster yang akan digunakan nanti.

1. Di konsol MSK untuk klien Akun B, pilih Koneksi **VPC Terkelola**, lalu **pilih** Buat koneksi.

1. **Di panel **Pengaturan koneksi**, tempel ARN cluster ke bidang teks ARN cluster, lalu pilih Verifikasi.**

1. Pilih **jenis otentikasi** untuk klien di Akun B. Untuk kasus penggunaan ini, pilih IAM saat membuat koneksi VPC klien.

1. Pilih **VPC** untuk klien.

1. Pilih setidaknya dua **Zona** ketersediaan dan **Subnet** terkait. Anda bisa mendapatkan zona ketersediaan IDs dari detail klaster AWS Management Console atau dengan menggunakan [DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)API atau [perintah AWS CLI klaster deskripsikan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html). Zona IDs yang Anda tentukan untuk subnet klien harus cocok dengan subnet cluster. Jika nilai untuk subnet hilang, pertama-tama buat subnet dengan ID zona yang sama dengan cluster MSK Anda.

1. Pilih **grup Keamanan** untuk koneksi VPC ini. Anda dapat menggunakan grup keamanan default. Untuk informasi selengkapnya tentang mengonfigurasi grup keamanan, lihat [Mengontrol lalu lintas ke sumber daya menggunakan grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html).

1. Pilih **Buat koneksi**.

1. **Untuk mendapatkan daftar string broker bootstrap baru dari konsol MSK pengguna lintas akun (Detail **klaster > Koneksi **VPC Terkelola), lihat string broker bootstrap yang ditampilkan di bawah “String koneksi** cluster**.”** Dari Akun B klien, daftar broker bootstrap dapat dilihat dengan memanggil [GetBootstrapBrokers](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-bootstrap-brokers.html#GetBootstrapBrokers)API atau dengan melihat daftar broker bootstrap di detail cluster konsol.

1. Perbarui grup keamanan yang terkait dengan koneksi VPC sebagai berikut:

   1. Tetapkan **aturan masuk** untuk PrivateLink VPC untuk mengizinkan semua lalu lintas untuk rentang IP dari jaringan Akun B.

   1. [Opsional] Tetapkan konektivitas **aturan Outbound** ke klaster MSK. Pilih **Grup Keamanan** di konsol VPC, **Edit Aturan Keluar, dan tambahkan aturan** untuk **Lalu Lintas TCP Kustom untuk rentang port 14001-14100**. Penyeimbang beban jaringan multi-VPC mendengarkan pada rentang port 14001-14100. Lihat [Network Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html).

1. Konfigurasikan klien di Akun B untuk menggunakan broker bootstrap baru untuk konektivitas pribadi multi-VPC untuk terhubung ke cluster MSK di Akun A. Lihat [Menghasilkan dan](https://docs.aws.amazon.com/msk/latest/developerguide/produce-consume.html) mengkonsumsi data.

Setelah otorisasi selesai, Amazon MSK membuat koneksi VPC terkelola untuk setiap skema VPC dan autentikasi yang ditentukan. Grup keamanan yang dipilih dikaitkan dengan setiap koneksi. Koneksi VPC terkelola ini dikonfigurasi oleh Amazon MSK untuk terhubung secara pribadi ke broker. Anda dapat menggunakan kumpulan broker bootstrap baru untuk terhubung secara pribadi ke cluster MSK Amazon.