View a markdown version of this page

Preparate i cluster di origine e di destinazione - Amazon Managed Streaming per Apache Kafka
Preparare il cluster di originePreparare il cluster di destinazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Preparate i cluster di origine e di destinazione

Prima di creare un replicatore MSK, è necessario preparare sia un cluster di origine che un cluster di destinazione. Questa sezione descrive i requisiti per configurare la replica tra cluster Amazon MSK (Provisioned o Serverless).

Nota

MSK Replicator supporta anche la replica tra cluster Apache Kafka autogestiti e cluster Amazon MSK Provisioned con broker Express. Se stai migrando da una distribuzione Kafka autogestita, consulta e per i prerequisiti specifici per i cluster autogestiti. Esegui la migrazione da cluster Apache Kafka non MSK a broker Amazon MSK Express Configura i prerequisiti per MSK Replicator con cluster Apache Kafka autogestiti

Preparare il cluster di origine

Se disponi già di un cluster di origine MSK, assicurati che soddisfi i requisiti descritti in questa sezione. Altrimenti, segui questi passaggi per creare un cluster di origine MSK Provisioned o Serverless.

  1. Crea un cluster MSK Provisioned o Serverless con il controllo degli accessi IAM attivato nella regione di origine. Il cluster di origine deve avere un minimo di tre broker.

  2. Per un replicatore MSK interregionale, se l'origine è un cluster Provisioned, configuralo con la connettività privata multi-VPC attivata per gli schemi di controllo degli accessi IAM. Tieni presente che il tipo di autenticazione non autenticato non è supportato quando è attivato il multi-VPC. Non è necessario attivare la connettività privata multi-VPC per altri schemi di autenticazione (mTLS o SASL/SCRAM). È possibile configurare la connettività privata multi-VPC tramite le Impostazioni di rete nei dettagli del cluster della console oppure tramite l'API UpdateConnectivity. Consulta la sezione Il proprietario del cluster attiva il multi-VPC. Se il cluster di origine è un cluster MSK Serverless, non è necessario attivare la connettività privata multi-VPC.

    Per un replicatore MSK nella stessa regione, il cluster di origine MSK non richiede una connettività privata multi-VPC e altri client possono comunque accedere al cluster utilizzando il tipo di autenticazione non autenticato.

  3. Per i replicatori MSK tra regioni, è necessario collegare una policy di autorizzazione basata sulle risorse al cluster di origine. Ciò consente a MSK di connettersi a questo cluster per replicare i dati. È possibile eseguire questa operazione utilizzando le procedure CLI o AWS Console riportate di seguito. Consulta anche la sezione Policy basate sulle risorse di Amazon MSK. Non è necessario eseguire questa operazione per i replicatori MSK nella stessa regione.

Console: create resource policy

Aggiorna la policy del cluster di origine con il seguente codice JSON. Sostituisci il segnaposto con l'ARN del tuo cluster di origine.

{
    "Version":"2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
            "Service": [
                "kafka.amazonaws.com"
            ]
        },
        "Action": [
            "kafka:CreateVpcConnection",
            "kafka:GetBootstrapBrokers",
            "kafka:DescribeClusterV2"
        ],
        "Resource": "arn:aws:kafka:us-east-1:123456789012:cluster/myCluster/abcd1234-5678-90ab-cdef-1234567890ab-1"
    }
  ]
}

Utilizza l'opzione Modifica policy del cluster nel menu Operazioni nella pagina dei dettagli del cluster.

Modifica della policy del cluster nella console
CLI: create resource policy

Nota: se utilizzi la AWS console per creare un cluster di origine e scegli l'opzione per creare un nuovo ruolo IAM, AWS allega la policy di fiducia richiesta al ruolo. Se invece desideri che MSK utilizzi un ruolo IAM esistente o se crei un ruolo autonomamente, collega la seguente policy di attendibilità a tale ruolo in modo che il replicatore MSK possa assumerlo. Per informazioni su come modificare la relazione di trust di un ruolo, consulta Modifica di un ruolo.

  1. Recupera la versione corrente della policy del cluster MSK utilizzando questo comando. Sostituisci i segnaposto con l'ARN effettivo del cluster.

    aws kafka get-cluster-policy —cluster-arn <Cluster ARN>
{
"CurrentVersion": "K1PA6795UKM GR7",
"Policy": "..."
}

  2. Crea una policy basata sulle risorse per consentire al replicatore MSK di accedere al cluster di origine. Sostituisci il segnaposto con l'ARN effettivo del cluster di origine.

    aws kafka put-cluster-policy --cluster-arn "<sourceClusterARN>" --policy '{
"Version": "2012-10-17", 
"Statement": [
{
  "Effect": "Allow",
  "Principal": {
    "Service": [
      "kafka.amazonaws.com"
    ]
  },
  "Action": [
    "kafka:CreateVpcConnection",
    "kafka:GetBootstrapBrokers",
    "kafka:DescribeClusterV2"
  ],
  "Resource": "<sourceClusterARN>"
}
]
}'

Preparare il cluster di destinazione

Crea un cluster di destinazione MSK (Provisioned o Serverless) con il controllo degli accessi IAM attivato. Il cluster di destinazione non richiede una connettività privata multi-VPC. Il cluster di destinazione può trovarsi nella stessa AWS regione o in una regione diversa del cluster di origine. Sia il cluster di origine che quello di destinazione devono trovarsi nello stesso AWS account. Il cluster di destinazione deve avere un minimo di tre broker.