Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configura i prerequisiti per MSK Replicator con cluster Apache Kafka autogestiti
Crea un ruolo di esecuzione IAM
Crea un ruolo IAM con una politica di fiducia perkafka.amazonaws.com. Allega la policy AWSMSKReplicatorExecutionRole gestita. La policy gestita concede le autorizzazioni Kafka a livello di cluster, argomento e gruppo di consumatori di cui il Replicator ha bisogno, ma non include le autorizzazioni AWS Secrets Manager o AWS KMS , che sono necessarie per l'autenticazione e le credenziali. SASL/SCRAM CMK-encrypted Per gli snippet di policy in linea da aggiungere, consulta. Autorizzazioni SER aggiuntive per SASL/SCRAM MTL e chiavi gestite dal cliente
Esempio di politica di fiducia:
{ "Statement": [{ "Effect": "Allow", "Principal": {"Service": "kafka.amazonaws.com"}, "Action": "sts:AssumeRole" }] }
Configurare le SASL/SCRAM autorizzazioni utente e ACL
Crea un utente SCRAM dedicato sul tuo cluster Kafka autogestito. Sono richieste le seguenti autorizzazioni ACL:
Leggi, descrivi su tutti gli argomenti
Leggi, descrivi su tutti i gruppi di consumatori
Descrivi sulla risorsa del cluster
Esempi di comandi kafka-acls.sh:
# Grant Read and Describe on all topics kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Read --operation Describe \ --topic '*' # Grant Read and Describe on all consumer groups kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Read --operation Describe \ --group '*' # Grant Describe on cluster kafka-acls.sh --bootstrap-server <broker>:9092 \ --add --allow-principal User:msk-replicator \ --operation Describe --cluster
Configura MTL su cluster autogestiti
Configura un listener SSL sui tuoi broker Kafka autogestiti con. ssl.client.auth=required Il truststore del broker deve contenere il certificato CA che ha firmato il certificato client che utilizzerai per MSK Replicator.
Concedi le autorizzazioni ACL al principale Kafka derivate dal Distinguished Name (DN) del certificato client. Le autorizzazioni richieste sono: Leggi e descrivi su tutti gli argomenti, Leggi e descrivi su tutti i gruppi di consumatori e Descrivi sulla risorsa del cluster.
Configura SSL su un cluster autogestito
Configura i listener SSL sui tuoi broker. Per i certificati pubblicamente attendibili, non è richiesta alcuna configurazione aggiuntiva. Per i certificati privati o autofirmati, includi l'intera catena di certificati CA nel segreto archiviato in AWS Secrets Manager.
Memorizza le credenziali in AWS Secrets Manager
Crea un segreto di tipo Altro (non RDS/Redshift) in AWS Secrets Manager con le coppie chiave-valore appropriate per il tuo tipo di autenticazione.
Per: SASL/SCRAM
username— nome utente SCRAM per il cluster autogestitopassword— Password SCRAM per il cluster autogestitocertificate— Catena di certificati CA (formato PEM; richiesta per private/self i certificati firmati)
Per MTL:
certificate— catena di certificati PEM-encoded clientprivateKey— chiave PEM-encoded privataprivateKeyPassword— (Facoltativo) Passphrase per la chiave privata, richiesta solo per le chiavi PKCS8 crittografate
Configurare la connettività di rete
MSK Replicator richiede la connettività di rete al cluster Kafka autogestito. Opzioni supportate:
AWS Site-to-Site VPN: collega le reti locali al tuo VPC tramite Internet.
AWS Direct Connect: stabilisci una connessione di rete privata dedicata dalla tua sede a AWS.
Configurazione dei gruppi di sicurezza
Assicuratevi che i gruppi di sicurezza consentano il traffico tra MSK Replicator e il cluster autogestito sulla porta utilizzata dal listener di autenticazione. Aggiorna sia le regole in entrata sui gruppi di sicurezza VPC che le regole in uscita sul firewall del cluster autogestito.