Aktifkan akses publik ke MSK klaster - Amazon Managed Streaming untuk Apache Kafka

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aktifkan akses publik ke MSK klaster

Amazon MSK memberi Anda opsi untuk mengaktifkan akses publik ke broker MSK cluster yang menjalankan Apache Kafka 2.6.0 atau versi yang lebih baru. Untuk alasan keamanan, Anda tidak dapat mengaktifkan akses publik saat membuat MSK klaster. Namun, Anda dapat memperbarui cluster yang ada agar dapat diakses publik. Anda juga dapat membuat cluster baru dan kemudian memperbaruinya agar dapat diakses publik.

Anda dapat mengaktifkan akses publik ke MSK klaster tanpa biaya tambahan, tetapi biaya transfer AWS data standar berlaku untuk transfer data masuk dan keluar dari cluster. Untuk informasi tentang harga, lihat Harga EC2 Sesuai Permintaan Amazon.

Untuk mengaktifkan akses publik ke klaster, pertama-tama pastikan bahwa klaster memenuhi semua kondisi berikut:

  • Subnet yang terkait dengan cluster harus bersifat publik. Ini berarti bahwa subnet harus memiliki tabel rute terkait dengan gateway internet terpasang. Untuk informasi tentang cara membuat dan melampirkan gateway internet, lihat gateway Internet di panduan VPC pengguna Amazon.

  • Kontrol akses yang tidak diautentikasi harus dimatikan dan setidaknya satu dari metode kontrol akses berikut harus aktif:, m. SASL/IAM, SASL/SCRAM TLS Untuk informasi tentang cara memperbarui metode kontrol akses klaster, lihat. Perbarui pengaturan keamanan MSK klaster Amazon

  • Enkripsi dalam cluster harus dihidupkan. Pengaturan on adalah default saat membuat cluster. Tidak mungkin mengaktifkan enkripsi di dalam cluster untuk cluster yang dibuat dengan dimatikan. Oleh karena itu tidak mungkin untuk mengaktifkan akses publik untuk cluster yang dibuat dengan enkripsi dalam cluster dimatikan.

  • Lalu lintas teks biasa antara broker dan klien harus dimatikan. Untuk informasi tentang cara mematikannya jika aktif, lihatPerbarui pengaturan keamanan MSK klaster Amazon.

  • Jika Anda menggunakan metode TLS kontrol aksesSASL/SCRAMatau m, Anda harus mengatur Apache Kafka ACLs untuk cluster Anda. Setelah Anda mengatur Apache Kafka ACLs untuk cluster Anda, perbarui konfigurasi cluster agar properti allow.everyone.if.no.acl.found menjadi false untuk cluster. Untuk informasi tentang cara memperbarui konfigurasi klaster, lihatOperasi MSK konfigurasi Amazon. Jika Anda menggunakan kontrol IAM akses dan ingin menerapkan kebijakan otorisasi atau memperbarui kebijakan otorisasi Anda, lihat. IAMkontrol akses Untuk informasi tentang Apache KafkaACLs, lihat. Apache Kafka ACLs

Setelah memastikan bahwa MSK klaster memenuhi ketentuan yang tercantum di atas, Anda dapat menggunakan AWS Management Console AWS CLI, the, atau Amazon MSK API untuk mengaktifkan akses publik. Setelah Anda mengaktifkan akses publik ke cluster, Anda bisa mendapatkan string bootstrap-broker publik untuk itu. Untuk informasi tentang mendapatkan broker bootstrap untuk sebuah cluster, lihatDapatkan broker bootstrap untuk MSK cluster Amazon.

penting

Selain mengaktifkan akses publik, pastikan bahwa grup keamanan klaster memiliki TCP aturan masuk yang memungkinkan akses publik dari alamat IP Anda. Kami menyarankan Anda membuat aturan ini seketat mungkin. Untuk informasi tentang grup keamanan dan aturan masuk, lihat Grup keamanan untuk Anda VPC di Panduan VPC Pengguna Amazon. Untuk nomor port, lihatInformasi pelabuhan. Untuk petunjuk tentang cara mengubah grup keamanan klaster, lihatMengubah grup keamanan MSK klaster Amazon.

catatan

Jika Anda menggunakan petunjuk berikut untuk mengaktifkan akses publik dan kemudian masih tidak dapat mengakses cluster, lihatTidak dapat mengakses klaster yang mengaktifkan akses publik.

Mengaktifkan akses publik menggunakan konsol

  1. Masuk ke AWS Management Console, dan buka MSK konsol Amazon di https://console.aws.amazon.com/msk/rumah? region=us-east-1#/home/.

  2. Dalam daftar cluster, pilih cluster yang ingin Anda aktifkan akses publik.

  3. Pilih tab Properties, lalu temukan bagian Pengaturan jaringan.

  4. Pilih Edit akses publik.

Mengaktifkan akses publik menggunakan AWS CLI

  1. Jalankan AWS CLI perintah berikut, ganti ClusterArn and Current-Cluster-Version dengan versi cluster ARN dan saat ini. Untuk menemukan versi cluster saat ini, gunakan DescribeClusteroperasi atau perintah AWS CLI deskripsi-cluster. Contoh versi adalahKTVPDKIKX0DER.

    aws kafka update-connectivity --cluster-arn ClusterArn --current-version Current-Cluster-Version --connectivity-info '{"PublicAccess": {"Type": "SERVICE_PROVIDED_EIPS"}}'

    Output dari update-connectivity perintah ini terlihat seperti JSON contoh berikut.

    {
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}
    catatan

    Untuk mematikan akses publik, gunakan AWS CLI perintah serupa, tetapi dengan info konektivitas berikut sebagai gantinya:

    '{"PublicAccess": {"Type": "DISABLED"}}'

  2. Untuk mendapatkan hasil update-connectivity operasi, jalankan perintah berikut, ganti ClusterOperationArn dengan ARN yang Anda peroleh di output update-connectivity perintah.

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    Output dari describe-cluster-operation perintah ini terlihat seperti JSON contoh berikut.

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "982168a3-939f-11e9-8a62-538df00285db",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2019-06-20T21:08:57.735Z",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "UPDATE_COMPLETE",
        "OperationType": "UPDATE_CONNECTIVITY",
        "SourceClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "DISABLED"
                }
            }
        },
        "TargetClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "SERVICE_PROVIDED_EIPS"
                }
            }
        }
    }
}

    Jika OperationState memiliki nilaiUPDATE_IN_PROGRESS, tunggu sebentar, lalu jalankan describe-cluster-operation perintah lagi.

Mengaktifkan akses publik menggunakan Amazon MSK API

  • Untuk menggunakan API untuk mengaktifkan atau menonaktifkan akses publik ke klaster, lihat UpdateConnectivity.

catatan

Untuk alasan keamanan, Amazon MSK tidak mengizinkan akses publik ke Apache ZooKeeper atau node KRaft pengontrol.