Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Accesso dall'interno AWS ma dall'esterno del VPC del cluster
Per connettersi a un cluster MSK dall'interno AWS ma dall'esterno dell'Amazon VPC del cluster, esistono le seguenti opzioni.
## Peering Amazon VPC
Per connetterti al tuo cluster MSK da un VPC diverso dal VPC del cluster, puoi creare una connessione peering tra i due. VPCs Per informazioni sul peering VPC, consulta la [Guida al peering di VPC di Amazon](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html).
## Direct Connect
Direct Connect collega la rete locale a un cavo in fibra ottica AWS Ethernet standard da 1 o 10 gigabit. Un'estremità del cavo è collegata al router, l'altra a un router. Direct Connect Con questa connessione, puoi creare interfacce virtuali direttamente sul AWS cloud e Amazon VPC, aggirando i provider di servizi Internet nel tuo percorso di rete. Per ulteriori informazioni, consulta [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html).
## AWS Transit Gateway
AWS Transit Gateway è un servizio che ti consente di connettere le tue reti VPCs e quelle locali a un unico gateway. Per informazioni su come utilizzare AWS Transit Gateway, consulta [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html).
## Connessioni VPN
Puoi connettere il VPC del cluster MSK a reti e utenti remoti utilizzando le opzioni di connettività VPN descritte nel seguente argomento: [VPN Connections](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html).
## Proxy REST
Puoi installare un proxy REST in un'istanza in esecuzione all'interno dell'Amazon VPC del cluster. I proxy REST consentono ai produttori e ai consumatori di comunicare con il cluster attraverso richieste API HTTP.
## Connettività multi-VPC per regioni multiple
Il documento seguente descrive le opzioni di connettività per più regioni VPCs che risiedono in regioni diverse: Connettività [multi-VPC a più regioni](https://aws.amazon.com/answers/networking/aws-multiple-region-multi-vpc-connectivity/).
## Connettività privata multi-VPC a regione singola
La connettività privata multi-VPC (con tecnologia [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)) per i cluster Amazon Managed Streaming for Apache Kafka (Amazon MSK) è una funzionalità che consente di connettere più rapidamente i client Kafka ospitati in diversi Virtual VPCs Private Cloud () e account a un cluster Amazon MSK. AWS
Consulta la sezione [Single Region multi-VPC connectivity for cross-account clients](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access-mult-vpc.html).
## La rete EC2-Classic è stata ritirata
Amazon MSK non supporta più le istanze Amazon EC2 in esecuzione con reti Amazon EC2-Classic.
Vedi [EC2-Classic Networking is Retiring](https://aws.amazon.com/blogs/aws/ec2-classic-is-retiring-heres-how-to-prepare/): ecco come prepararsi.
# Connettività privata multi-VPC di Amazon MSK in un'unica regione
La connettività privata multi-VPC (con tecnologia [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)) per i cluster Amazon Managed Streaming for Apache Kafka (Amazon MSK) è una funzionalità che consente di connettere più rapidamente i client Kafka ospitati in diversi Virtual VPCs Private Cloud () e account a un cluster Amazon MSK. AWS
La connettività privata multi-VPC è una soluzione gestita che semplifica l’infrastruttura di rete per la connettività multi-VPC e multi-account. I client possono connettersi al cluster Amazon MSK PrivateLink mantenendo tutto il traffico all'interno della AWS rete. La connettività privata multi-VPC per i cluster Amazon MSK è disponibile in tutte le regioni in AWS cui è disponibile Amazon MSK.
**Topics**
+ [Cos'è la connettività privata multi-VPC?](#mvpc-what-is)
+ [Vantaggi della connettività privata multi-VPC](#mvpc-benefits)
+ [Requisiti e limitazioni per la connettività privata multi-VPC](#mvpc-requirements)
+ [Inizia a usare la connettività privata multi-VPC](mvpc-getting-started.md)
+ [Aggiornamento degli schemi di autorizzazione su un cluster](mvpc-cross-account-update-authschemes.md)
+ [Rifiuto di una connessione VPC gestita a un cluster Amazon MSK](mvpc-cross-account-reject-connection.md)
+ [Eliminazione di una connessione VPC gestita a un cluster Amazon MSK](mvpc-cross-account-delete-connection.md)
+ [Autorizzazioni per la connettività privata multi-VPC](mvpc-cross-account-permissions.md)
## Cos'è la connettività privata multi-VPC?
La connettività privata multi-VPC per Amazon MSK è un'opzione di connettività che consente di connettere client Apache Kafka ospitati in diversi account e AWS cloud privati virtuali (VPCs) a un cluster MSK.
Amazon MSK semplifica l'accesso multi-account con le [policy del cluster](mvpc-cluster-owner-action-policy.md). Queste politiche consentono al proprietario del cluster di concedere autorizzazioni ad altri AWS account per stabilire una connettività privata al cluster MSK.
## Vantaggi della connettività privata multi-VPC
La connettività privata multi-VPC presenta diversi vantaggi rispetto ad [altre soluzioni di connettività](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access.html):
+ Automatizza la gestione operativa della soluzione di connettività. AWS PrivateLink
+ Consente la sovrapposizione IPs tra le connessioni VPCs, eliminando la necessità di mantenere tabelle di peering e routing complesse e non sovrapposte IPs associate ad altre soluzioni di connettività VPC.
Si utilizza una politica di cluster per il cluster MSK per definire quali AWS account dispongono delle autorizzazioni per configurare la connettività privata tra account verso il cluster MSK. L'amministratore multi-account può delegare le autorizzazioni ai ruoli o agli utenti appropriati. In combinazione con l'autenticazione del client IAM, puoi utilizzare la policy del cluster anche per definire in modo granulare le autorizzazioni del piano dati Kafka per i client che si connettono.
## Requisiti e limitazioni per la connettività privata multi-VPC
Tieni conto di questi requisiti del cluster MSK per l'esecuzione della connettività privata multi-VPC:
+ La connettività privata multi-VPC è supportata solo su Apache Kafka 2.7.1 o versioni successive. Assicurati che tutti i client utilizzati con il cluster MSK eseguano versioni di Apache Kafka compatibili con il cluster.
+ La connettività privata multi-VPC supporta i tipi di autenticazione IAM, TLS e SASL/SCRAM. I cluster non autenticati non possono utilizzare la connettività privata multi-VPC.
+ Se si utilizzano i metodi di controllo degli accessi SASL/SCRAM o MTLS, è necessario impostare Apache Kafka per il cluster. ACLs Innanzitutto, imposta Apache Kafka per il tuo cluster. ACLs Quindi, aggiorna la configurazione del cluster in modo che la proprietà `allow.everyone.if.no.acl.found` sia impostata su false per il cluster. Per informazioni su come aggiornare la configurazione di un cluster, consulta la pagina [Operazioni di configurazione del broker](msk-configuration-operations.md). Se utilizzi il Controllo degli accessi IAM e desideri applicare policy di autorizzazione o aggiornare le tue policy esistenti, consulta la sezione [Controllo degli accessi IAM](iam-access-control.md). Per informazioni su Apache Kafka, consulta. ACLs [Apache Kafka ACLs](msk-acls.md)
+ La connettività privata multi-VPC non supporta il tipo di istanza t3.small.
+ La connettività privata multi-VPC non è supportata in tutte AWS le regioni, ma solo negli AWS account all'interno della stessa regione.
+ Per configurare la connettività privata multi-VPC, è necessario disporre dello stesso numero di sottoreti client delle sottoreti del cluster. È inoltre necessario assicurarsi che [la zona IDs di disponibilità](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) sia la stessa per la sottorete client e la sottorete del cluster.
+ Amazon MSK non supporta la connettività privata multi-VPC ai nodi ZooKeeper.
# Inizia a usare la connettività privata multi-VPC
**Topics**
+ [Passaggio 1: sul cluster MSK nell'account A, attiva la connettività multi-VPC per lo schema di autenticazione IAM sul cluster](mvpc-cluster-owner-action-turn-on.md)
+ [Passaggio 2: collegamento di una policy del cluster al cluster MSK](mvpc-cluster-owner-action-policy.md)
+ [Passaggio 3: operazioni dell'utente multi-account per configurare connessioni VPC gestite dal client](mvpc-cross-account-user-action.md)
Questo tutorial utilizza un caso d'uso comune come esempio di come utilizzare la connettività multi-VPC per connettere privatamente un client Apache Kafka a un cluster MSK dall'interno AWS ma dall'esterno del VPC del cluster. Questo processo richiede che l'utente multi-account crei una connessione e una configurazione VPC gestite da MSK per ogni client, comprese le autorizzazioni client richieste. Il processo richiede inoltre che il proprietario del cluster MSK abiliti la PrivateLink connettività sul cluster MSK e selezioni gli schemi di autenticazione per controllare l'accesso al cluster.
In diverse parti di questo tutorial, scegliamo le opzioni che si applicano a questo esempio. Ciò non significa che siano le uniche opzioni che funzionano per la configurazione di un cluster MSK o delle istanze client.
La configurazione di rete per questo caso d'uso è la seguente:
+ Un utente multi-account (client Kafka) e un cluster MSK si trovano nella stessa rete/regione AWS , ma in account diversi:
+ Cluster MSK nell'account A
+ Cliente Kafka nell'account B
+ L'utente multi-account si connetterà privatamente al cluster MSK utilizzando lo schema di autenticazione IAM.
Questo tutorial presuppone che esista un cluster MSK assegnato creato con Apache Kafka versione 2.7.1 o successiva. Il cluster MSK deve essere in uno stato ACTIVE prima di iniziare il processo di configurazione. Per evitare potenziali perdite di dati o tempi di inattività, i client che utilizzeranno una connessione privata multi-VPC per connettersi al cluster devono utilizzare versioni di Apache Kafka compatibili con il cluster.
Il diagramma seguente illustra l'architettura della connettività multi-VPC di Amazon MSK connessa a un client in un account diverso. AWS
![\[Diagramma di rete multi-VPC in una singola regione\]](http://docs.aws.amazon.com/it_it/msk/latest/developerguide/images/mvpc-network.png)
# Passaggio 1: sul cluster MSK nell'account A, attiva la connettività multi-VPC per lo schema di autenticazione IAM sul cluster
Il proprietario del cluster MSK deve configurare le impostazioni di configurazione sul cluster MSK dopo la creazione del cluster e in uno stato ACTIVE.
Il proprietario del cluster attiva la connettività privata multi-VPC sul cluster ACTIVE per tutti gli schemi di autenticazione che saranno attivi sul cluster. Questa operazione può essere eseguita utilizzando l'[UpdateSecurity API o la console](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-security.html) MSK. La connettività privata multi-VPC supporta gli schemi di autenticazione IAM, TLS e SASL/SCRAM. La connettività privata multi-VPC non può essere abilitata per i cluster non autenticati.
In questo caso d'uso, configurerai il cluster per utilizzare lo schema di autenticazione IAM.
**Nota**
Se state configurando il cluster MSK per utilizzare lo schema di SASL/SCRAM autenticazione, la proprietà Apache Kafka ACLs "" è obbligatoria. `allow.everyone.if.no.acl.found=false` [Vedi ACLs](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html) Apache Kafka.
Quando aggiorni le impostazioni di connettività privata multi-VPC, Amazon MSK intraprende un riavvio progressivo dei nodi del broker che aggiorna le configurazioni del broker. Il completamento del processo può richiedere fino a 30 minuti o più. Non è possibile apportare altri aggiornamenti al cluster durante l'aggiornamento della connettività.
**Attivazione del multi-VPC per gli schemi di autenticazione selezionati sul cluster nell'account A tramite la console**
1. Apri la console Amazon MSK all'indirizzo [https://console.aws.amazon.com/msk/](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html)per l'account in cui si trova il cluster.
1. Nel riquadro di navigazione, in **Cluster MSK**, scegli **Cluster** per visualizzare l'elenco dei cluster presenti nell'account.
1. Seleziona il cluster da configurare per la connettività privata multi-VPC. Il cluster deve essere in uno stato ACTIVE.
1. Seleziona la scheda **Proprietà** del cluster, quindi vai a **Impostazioni di rete**.
1. Seleziona il menu a discesa **Modifica** e seleziona **Attiva la connettività multi-VPC**.
1. Seleziona uno o più tipi di autenticazione che desideri attivare per questo cluster. Per questo caso d'uso, seleziona l'**autenticazione basata sui ruoli IAM**.
1. Seleziona **Salva modifiche**.
**Example - UpdateConnectivity API che attiva schemi di autenticazione della connettività privata multi-VPC su un cluster**
In alternativa alla console MSK, è possibile utilizzare l'[UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html) per attivare la connettività privata multi-VPC e configurare gli schemi di autenticazione su un cluster ACTIVE. L'esempio seguente mostra lo schema di autenticazione IAM attivato per il cluster.
```
{
"currentVersion": "K3T4TT2Z381HKD",
"connectivityInfo": {
"vpcConnectivity": {
"clientAuthentication": {
"sasl": {
"iam": {
"enabled": TRUE
}
}
}
}
}
}
```
Amazon MSK crea l'infrastruttura di rete necessaria per la connettività privata. Amazon MSK crea anche un nuovo set di endpoint broker di bootstrap per ogni tipo di autenticazione che richiede la connettività privata. Tieni presente che lo schema di autenticazione non crittografata non supporta la connettività privata multi-VPC.
# Passaggio 2: collegamento di una policy del cluster al cluster MSK
Il proprietario del cluster può collegare una policy del cluster (nota anche come [policy basata sulle risorse](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies)) al cluster MSK in cui verrà attivata la connettività privata multi-VPC. La policy del cluster fornisce ai client l'autorizzazione ad accedere al cluster da un altro account. Prima di poter modificare la policy del cluster, sono necessari gli ID degli account che devono disporre dell'autorizzazione ad accedere al cluster MSK. Consulta la sezione [Funzionamento di Amazon MSK con IAM](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html).
Il proprietario del cluster deve collegare al cluster MSK una policy del cluster che autorizzi l'utente multi-account nell'account B a recuperare i broker di bootstrap per il cluster e ad autorizzare le seguenti operazioni sul cluster MSK nell'account A:
+ CreateVpcConnection
+ GetBootstrapBrokers
+ DescribeCluster
+ DescribeClusterV2
**Example**
A titolo di riferimento, di seguito è riportato un esempio di JSON per una policy di cluster di base, simile alla policy predefinita mostrata nell'editor di policy IAM della console MSK. La seguente politica concede le autorizzazioni per l'accesso a livello di cluster, argomento e gruppo.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": [
"kafka:CreateVpcConnection",
"kafka:GetBootstrapBrokers",
"kafka:DescribeCluster",
"kafka:DescribeClusterV2",
"kafka-cluster:*"
],
"Resource": "arn:aws:kafka:us-east-1:111122223333:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": "kafka-cluster:*",
"Resource": "arn:aws:kafka:us-east-1:111122223333:topic/testing/*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": "kafka-cluster:*",
"Resource": "arn:aws:kafka:us-east-1:111122223333:group/testing/*"
}
]
}
```
**Collegamento di una policy del cluster al cluster MSK**
1. Nella console Amazon MSK, in **Cluster MSK**, scegli **Cluster**.
1. Scorri verso il basso fino a **Impostazioni di sicurezza** e seleziona **Modifica policy del cluster**.
1. Nella console, nella schermata **Modifica policy del cluster**, seleziona **Policy di base per la connettività multi-VPC**.
1. Nel campo **ID account**, inserisci l'ID account per ogni account che dovrebbe disporre dell'autorizzazione per accedere a questo cluster. Durante la digitazione, l'ID viene automaticamente copiato nella sintassi JSON della policy visualizzata. Nel nostro esempio di policy del cluster, l'ID account è *111122223333*.
1. Seleziona **Salva modifiche**.
Per informazioni sulla politica dei cluster APIs, consulta le politiche basate sulle [risorse di Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies).
# Passaggio 3: operazioni dell'utente multi-account per configurare connessioni VPC gestite dal client
Per configurare la connettività privata multi-VPC tra un client in un account diverso dal cluster MSK, l'utente multi-account crea una connessione VPC gestita per il client. È possibile connettere più client al cluster MSK ripetendo questa procedura. Ai fini di questo caso d'uso, configurerai un solo client.
I client possono utilizzare gli schemi di autenticazione supportati IAM, SASL/SCRAM o TLS. A ogni connessione VPC gestita può essere associato un solo schema di autenticazione. Lo schema di autenticazione del client deve essere configurato nel cluster MSK a cui il client si connetterà.
In questo caso d'uso, configura lo schema di autenticazione del client in modo che il client nell'account B utilizzi lo schema di autenticazione IAM.
**Prerequisiti**
Questo processo richiede i seguenti elementi:
+ La policy del cluster creata in precedenza che concede al client dell'account B l'autorizzazione a eseguire operazioni sul cluster MSK nell'account A.
+ Una politica di identità allegata al client nell'Account B che concede autorizzazioni e azioni`kafka:CreateVpcConnection`. `ec2:CreateTags` `ec2:CreateVPCEndpoint` `ec2:DescribeVpcAttribute`
**Example**
A titolo di riferimento, di seguito è riportato un esempio di JSON per una policy di identità del client di base.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafka:CreateVpcConnection",
"ec2:CreateTags",
"ec2:CreateVPCEndpoint",
"ec2:DescribeVpcAttribute"
],
"Resource": "*"
}
]
}
```
**Creazione di una connessione VPC gestita per un client nell'account B**
1. Dall'amministratore del cluster, ottieni l'**ARN del cluster** MSK nell'account A al quale desideri che il client nell'account B si connetta. Prendi nota dell'ARN del cluster da utilizzare in seguito.
1. Nella console MSK per l'account client B, scegli **Connessioni VPC gestite**, quindi scegli **Crea connessione**.
1. Nel riquadro **Impostazioni di connessione**, incolla l'ARN del cluster nel campo di testo ARN del cluster, quindi scegli **Verifica**.
1. Seleziona **Tipo di autenticazione** per il client nell'account B. Per questo caso d'uso, scegli IAM quando crei la connessione VPC del client.
1. Scegli il **VPC** per il client.
1. Scegli almeno due **zone** di disponibilità e **sottoreti** associate. È possibile ottenere la zona di disponibilità IDs dai dettagli del cluster della Console di AWS gestione o utilizzando l'[DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)API o il comando AWS CLI [describe-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html). La zona specificata per la sottorete client deve corrispondere a IDs quella della sottorete del cluster. Se mancano i valori per una sottorete, crea innanzitutto una sottorete con lo stesso ID di zona del cluster MSK.
1. Scegli un **Gruppo di sicurezza** per questa connessione VPC. È possibile accettare il gruppo di sicurezza predefinito. Per ulteriori informazioni sulla configurazione di un gruppo di sicurezza, consulta la pagina [Control traffic to resources using security groups](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html).
1. Seleziona **Crea connessione**.
1. Per ottenere l'elenco delle nuove stringhe del broker di bootstrap dalla console MSK dell'utente multi-account (Dettagli del **cluster** > **Connessione VPC gestita**), consulta le stringhe del broker di bootstrap mostrate in "**Stringa di connessione al cluster**". Dall'account B del cliente, è possibile visualizzare l'elenco dei broker bootstrap richiamando l'[GetBootstrapBrokers](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-bootstrap-brokers.html#GetBootstrapBrokers)API o visualizzando l'elenco dei broker bootstrap nei dettagli del cluster della console.
1. Aggiorna i gruppi di sicurezza associati alle connessioni VPC come segue:
1. Imposta **le regole in entrata** per il PrivateLink VPC per consentire tutto il traffico per l'intervallo IP dalla rete dell'Account B.
1. [Facoltativo] Imposta la connettività delle **Regole in uscita** al cluster MSK. Scegli il **Gruppo di sicurezza** nella console VPC, **Modifica le regole in uscita** e aggiungi una regola per il **Traffico TCP personalizzato** per gli intervalli di porte 14001-14100. Il Network Load Balancer multi-VPC è in ascolto sugli intervalli di porte 14001-14100. Consulta la pagina [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html).
1. Configura il client nell'account B per utilizzare i nuovi broker di bootstrap per la connettività privata multi-VPC per connettersi al cluster MSK nell'account A. Consulta la sezione [Produzione e utilizzo di dati](https://docs.aws.amazon.com/msk/latest/developerguide/produce-consume.html).
Una volta completata l'autorizzazione, Amazon MSK crea una connessione VPC gestita per ogni VPC e schema di autenticazione specificati. Il gruppo di sicurezza scelto è associato a ciascuna connessione. Questa connessione VPC gestita è configurata da Amazon MSK per connettersi privatamente ai broker. Puoi utilizzare il nuovo set di broker di bootstrap per connetterti privatamente al cluster Amazon MSK.
# Aggiornamento degli schemi di autorizzazione su un cluster
La connettività privata multi-VPC supporta diversi schemi di autorizzazione: connettività SASL/SCRAM, IAM, and TLS. The cluster owner can turn on/off privata per uno o più schemi di autenticazione. Il cluster deve essere in stato ACTIVE per eseguire questa operazione.
**Attivazione di uno schema di autenticazione tramite la console Amazon MSK**
1. Apri la console Amazon MSK all'indirizzo [Console di gestione AWS](https://console.aws.amazon.com/msk) per il cluster che desideri modificare.
1. Nel riquadro di navigazione, in **Cluster MSK**, scegli **Cluster** per visualizzare l'elenco dei cluster presenti nell'account.
1. Seleziona il cluster da modificare. Il cluster deve essere in uno stato ACTIVE.
1. Seleziona la scheda **Proprietà** del cluster, quindi vai a **Impostazioni di rete**.
1. Seleziona il menu a discesa **Modifica** e seleziona **Attiva la connettività multi-VPC** per attivare un nuovo schema di autenticazione.
1. Seleziona uno o più tipi di autenticazione che desideri attivare per questo cluster.
1. Seleziona **Attiva la selezione**.
Quando attivi un nuovo schema di autenticazione, dovresti anche creare nuove connessioni VPC gestite per il nuovo schema di autenticazione e aggiornare i client di modo che utilizzino i broker di bootstrap specifici per il nuovo schema di autenticazione.
**Disattivazione di uno schema di autenticazione tramite la console Amazon MSK**
**Nota**
Quando si disattiva la connettività privata multi-VPC per gli schemi di autenticazione, tutte le infrastrutture relative alla connettività, incluse le connessioni VPC gestite, vengono eliminate.
Quando si disattiva la connettività privata multi-VPC per gli schemi di autenticazione, le connessioni VPC esistenti sul lato client diventano INACTIVE e l'infrastruttura PrivateLink sul lato cluster, incluse le connessioni VPC gestite, viene rimossa. L'utente multi-account può eliminare solo la connessione VPC inattiva. Se sul cluster viene riattivata la connettività privata, l'utente multi-account deve creare una nuova connessione al cluster.
1. Apri la console Amazon MSK all'indirizzo [Console di gestione AWS](https://console.aws.amazon.com/msk).
1. Nel riquadro di navigazione, in **Cluster MSK**, scegli **Cluster** per visualizzare l'elenco dei cluster presenti nell'account.
1. Seleziona il cluster da modificare. Il cluster deve essere in uno stato ACTIVE.
1. Seleziona la scheda **Proprietà** del cluster, quindi vai a **Impostazioni di rete**.
1. Seleziona il menu a discesa **Modifica** e seleziona **Disattiva la connettività multi-VPC** per disattivare uno schema di autenticazione.
1. Seleziona uno o più tipi di autenticazione che desideri disattivare per questo cluster.
1. Seleziona **Disattiva la selezione**.
**Example Per attivare on/off uno schema di autenticazione con l'API**
In alternativa alla console MSK, è possibile utilizzare l'[UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html) per attivare la connettività privata multi-VPC e configurare gli schemi di autenticazione su un cluster ACTIVE. L'esempio seguente mostra gli SASL/SCRAM schemi di autenticazione IAM attivati per il cluster.
Quando attivi un nuovo schema di autenticazione, dovresti anche creare nuove connessioni VPC gestite per il nuovo schema di autenticazione e aggiornare i client di modo che utilizzino i broker di bootstrap specifici per il nuovo schema di autenticazione.
Quando si disattiva la connettività privata multi-VPC per gli schemi di autenticazione, le connessioni VPC esistenti sul lato client diventano INACTIVE e l'infrastruttura PrivateLink sul lato cluster, incluse le connessioni VPC gestite, viene rimossa. L'utente multi-account può eliminare solo la connessione VPC inattiva. Se sul cluster viene riattivata la connettività privata, l'utente multi-account deve creare una nuova connessione al cluster.
```
Request:
{
"currentVersion": "string",
"connnectivityInfo": {
"publicAccess": {
"type": "string"
},
"vpcConnectivity": {
"clientAuthentication": {
"sasl": {
"scram": {
"enabled": TRUE
},
"iam": {
"enabled": TRUE
}
},
"tls": {
"enabled": FALSE
}
}
}
}
}
Response:
{
"clusterArn": "string",
"clusterOperationArn": "string"
}
```
# Rifiuto di una connessione VPC gestita a un cluster Amazon MSK
Dalla console Amazon MSK sull'account amministratore del cluster, puoi rifiutare una connessione VPC client. La connessione VPC del client deve essere nello stato AVAILABLE per essere rifiutata. Potresti voler rifiutare una connessione VPC gestita da un client che non è più autorizzato a connettersi al tuo cluster. Per evitare che nuove connessioni VPC gestite si connettano a un client, rifiuta l'accesso al client nella policy del cluster. Una connessione rifiutata comporta comunque dei costi fino a quando non viene eliminata dal proprietario della connessione. Consulta la sezione [Eliminazione di una connessione VPC gestita a un cluster Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/mvpc-cross-account-delete-connection.html).
**Rifiuto di una connessione VPC client tramite la console MSK**
1. Apri la console Amazon MSK all'indirizzo [Console di gestione AWS](https://console.aws.amazon.com/msk).
1. Nel riquadro di navigazione, seleziona **Cluster** e scorri fino all'elenco **Impostazioni di rete > Connessioni VPC client**.
1. Seleziona la connessione che desideri rifiutare e seleziona **Rifiuta connessione VPC client**.
1. Conferma il rifiuto della connessione VPC client selezionata.
Per rifiutare una connessione VPC gestita tramite l'API, utilizza l'API `RejectClientVpcConnection`.
# Eliminazione di una connessione VPC gestita a un cluster Amazon MSK
L'utente multi-account può eliminare una connessione VPC gestita per un cluster MSK dalla console dell'account client. Poiché l'utente proprietario del cluster non possiede la connessione VPC gestita, la connessione non può essere eliminata dall'account amministratore del cluster. Una volta eliminata, una connessione VPC non comporta più costi.
**Eliminazione di una connessione VPC tramite la console MSK**
1. Dall'account client, apri la console Amazon MSK all'indirizzo [Console di gestione AWS](https://console.aws.amazon.com/msk).
1. Nel riquadro di navigazione, seleziona **Connessioni VPC gestite**.
1. Dall'elenco delle connessioni, seleziona la connessione VPN da eliminare.
1. Conferma l'eliminazione della connessione VPC.
Per eliminare una connessione VPC gestita tramite l'API, utilizza l'API `DeleteVpcConnection`.
# Autorizzazioni per la connettività privata multi-VPC
Questa sezione riassume le autorizzazioni necessarie per client e cluster che utilizzano la funzionalità di connettività privata multi-VPC. La connettività privata multi-VPC richiede che l'amministratore del client crei le autorizzazioni su ogni client che avrà una connessione VPC gestita al cluster MSK. Richiede inoltre che l'amministratore del cluster MSK abiliti la PrivateLink connettività sul cluster MSK e selezioni gli schemi di autenticazione per controllare l'accesso al cluster.
**Autenticazione del cluster e autorizzazioni di accesso all'argomento**
Attiva la funzionalità di connettività privata multi-VPC per gli schemi di autenticazione abilitati per il tuo cluster MSK. Per informazioni, consulta [Requisiti e limitazioni per la connettività privata multi-VPC](aws-access-mult-vpc.md#mvpc-requirements). Se si sta configurando il cluster MSK per utilizzare lo schema di SASL/SCRAM autenticazione, la proprietà Apache Kafka è obbligatoria. ACLs `allow.everyone.if.no.acl.found=false` Dopo avere impostato le [Apache Kafka ACLs](msk-acls.md) per il cluster, aggiorna la configurazione del cluster in modo che la proprietà `allow.everyone.if.no.acl.found` del cluster sia impostata su false. Per informazioni su come aggiornare la configurazione di un cluster, consulta la pagina [Operazioni di configurazione del broker](msk-configuration-operations.md).
**Autorizzazioni delle policy del cluster multi-account**
Se un client Kafka si trova in un AWS account diverso dal cluster MSK, allega al cluster MSK una policy basata su cluster che autorizzi l'utente root del client per la connettività tra account. È possibile modificare la policy del cluster multi-VPC utilizzando l'editor di policy IAM nella console MSK (**impostazioni di sicurezza** del cluster > **Modifica policy del cluster**) oppure utilizzare quanto segue APIs per gestire la policy del cluster:
**PutClusterPolicy**
Collega la policy del cluster al cluster. È possibile utilizzare questa API per creare o aggiornare la policy del cluster MSK specificata. Se stai aggiornando la policy, il campo CurrentVersion è obbligatorio nel payload della richiesta.
**GetClusterPolicy**
Recupera il testo JSON del documento di policy del cluster collegato al cluster.
**DeleteClusterPolicy**
Elimina la policy del cluster.
Di seguito è riportato un esempio di JSON per una policy di cluster di base, simile a quella mostrata nell'editor di policy IAM della console MSK. La seguente policy concede le autorizzazioni per l'accesso a livello di cluster, argomento e gruppo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": [
"123456789012"
]
},
"Action": [
"kafka-cluster:*",
"kafka:CreateVpcConnection",
"kafka:GetBootstrapBrokers",
"kafka:DescribeCluster",
"kafka:DescribeClusterV2"
],
"Resource": [
"arn:aws:kafka:us-east-1:123456789012:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2",
"arn:aws:kafka:us-east-1:123456789012:topic/testing/*",
"arn:aws:kafka:us-east-1:123456789012:group/testing/*"
]
}]
}
```
------
**Autorizzazioni client per la connettività privata multi-VPC a un cluster MSK**
Per configurare la connettività privata multi-VPC tra un client Kafka e un cluster MSK, il client richiede una policy di identità collegata che conceda autorizzazioni per le operazioni `kafka:CreateVpcConnection`, `ec2:CreateTags` e `ec2:CreateVPCEndpoint` sul client. A titolo di riferimento, di seguito è riportato un esempio di JSON per una policy di identità del client di base.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafka:CreateVpcConnection",
"ec2:CreateTags",
"ec2:CreateVPCEndpoint"
],
"Resource": "*"
}
]
}
```
------
# Informazioni sulle porte
Utilizza i seguenti numeri di porta in modo che Amazon MSK possa comunicare con i computer client:
+ Per comunicare con i broker con testo non crittografato, utilizza la porta 9092.
+ Per comunicare con i broker con crittografia TLS, utilizza la porta 9094 per l'accesso dall'interno AWS e la porta 9194 per l'accesso pubblico.
+ Per comunicare con i broker con SASL/SCRAM, utilizzate la porta 9096 per l'accesso dall'interno e la porta 9196 per l'accesso pubblico. AWS
+ Per comunicare con i broker in un cluster configurato per l'uso[Controllo degli accessi IAM](iam-access-control.md), utilizzate la porta 9098 per l'accesso dall'interno e la porta 9198 per l'accesso pubblico. AWS
+ Per comunicare con i broker utilizzando il tipo di IPv6 rete in testo semplice, utilizzate la porta 20092
+ Per comunicare con i broker in un cluster configurato per utilizzare il controllo di accesso IAM utilizzando IPv6, utilizza la porta 20098.
+ Per comunicare con i broker SASL/SCRAM utilizzando IPv6, utilizza la porta 20096.
+ Per comunicare con i broker utilizzando la crittografia TLS IPv6, utilizzate la porta 20094.