Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Inizia a usare la connettività privata multi-VPC
<a name="mvpc-getting-started"></a>

**Topics**
+ [Passaggio 1: sul cluster MSK nell'account A, attiva la connettività multi-VPC per lo schema di autenticazione IAM sul cluster](mvpc-cluster-owner-action-turn-on.md)
+ [Passaggio 2: collegamento di una policy del cluster al cluster MSK](mvpc-cluster-owner-action-policy.md)
+ [Passaggio 3: operazioni dell'utente multi-account per configurare connessioni VPC gestite dal client](mvpc-cross-account-user-action.md)

Questo tutorial utilizza un caso d'uso comune come esempio di come utilizzare la connettività multi-VPC per connettere privatamente un client Apache Kafka a un cluster MSK dall'interno AWS ma dall'esterno del VPC del cluster. Questo processo richiede che l'utente multi-account crei una connessione e una configurazione VPC gestite da MSK per ogni client, comprese le autorizzazioni client richieste. Il processo richiede inoltre che il proprietario del cluster MSK abiliti la PrivateLink connettività sul cluster MSK e selezioni gli schemi di autenticazione per controllare l'accesso al cluster.

In diverse parti di questo tutorial, scegliamo le opzioni che si applicano a questo esempio. Ciò non significa che siano le uniche opzioni che funzionano per la configurazione di un cluster MSK o delle istanze client.

La configurazione di rete per questo caso d'uso è la seguente:
+ Un utente multi-account (client Kafka) e un cluster MSK si trovano nella stessa rete/regione AWS , ma in account diversi:
  + Cluster MSK nell'account A
  + Cliente Kafka nell'account B
+ L'utente multi-account si connetterà privatamente al cluster MSK utilizzando lo schema di autenticazione IAM.

Questo tutorial presuppone che esista un cluster MSK assegnato creato con Apache Kafka versione 2.7.1 o successiva. Il cluster MSK deve essere in uno stato ACTIVE prima di iniziare il processo di configurazione. Per evitare potenziali perdite di dati o tempi di inattività, i client che utilizzeranno una connessione privata multi-VPC per connettersi al cluster devono utilizzare versioni di Apache Kafka compatibili con il cluster.

Il diagramma seguente illustra l'architettura della connettività multi-VPC di Amazon MSK connessa a un client in un account diverso. AWS 

![\[Diagramma di rete multi-VPC in una singola regione\]](http://docs.aws.amazon.com/it_it/msk/latest/developerguide/images/mvpc-network.png)


# Passaggio 1: sul cluster MSK nell'account A, attiva la connettività multi-VPC per lo schema di autenticazione IAM sul cluster
<a name="mvpc-cluster-owner-action-turn-on"></a>

Il proprietario del cluster MSK deve configurare le impostazioni di configurazione sul cluster MSK dopo la creazione del cluster e in uno stato ACTIVE.

Il proprietario del cluster attiva la connettività privata multi-VPC sul cluster ACTIVE per tutti gli schemi di autenticazione che saranno attivi sul cluster. Questa operazione può essere eseguita utilizzando l'[UpdateSecurity API o la console](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-security.html) MSK. La connettività privata multi-VPC supporta gli schemi di autenticazione IAM, TLS e SASL/SCRAM. La connettività privata multi-VPC non può essere abilitata per i cluster non autenticati.

In questo caso d'uso, configurerai il cluster per utilizzare lo schema di autenticazione IAM.

**Nota**  
Se state configurando il cluster MSK per utilizzare lo schema di SASL/SCRAM autenticazione, la proprietà Apache Kafka ACLs "" è obbligatoria. `allow.everyone.if.no.acl.found=false` [Vedi ACLs](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html) Apache Kafka.

Quando aggiorni le impostazioni di connettività privata multi-VPC, Amazon MSK intraprende un riavvio progressivo dei nodi del broker che aggiorna le configurazioni del broker. Il completamento del processo può richiedere fino a 30 minuti o più. Non è possibile apportare altri aggiornamenti al cluster durante l'aggiornamento della connettività.

**Attivazione del multi-VPC per gli schemi di autenticazione selezionati sul cluster nell'account A tramite la console**

1. Apri la console Amazon MSK all'indirizzo [https://console.aws.amazon.com/msk/](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html)per l'account in cui si trova il cluster.

1. Nel riquadro di navigazione, in **Cluster MSK**, scegli **Cluster** per visualizzare l'elenco dei cluster presenti nell'account.

1. Seleziona il cluster da configurare per la connettività privata multi-VPC. Il cluster deve essere in uno stato ACTIVE.

1. Seleziona la scheda **Proprietà** del cluster, quindi vai a **Impostazioni di rete**.

1. Seleziona il menu a discesa **Modifica** e seleziona **Attiva la connettività multi-VPC**.

1. Seleziona uno o più tipi di autenticazione che desideri attivare per questo cluster. Per questo caso d'uso, seleziona l'**autenticazione basata sui ruoli IAM**.

1. Seleziona **Salva modifiche**.

**Example - UpdateConnectivity API che attiva schemi di autenticazione della connettività privata multi-VPC su un cluster**  
In alternativa alla console MSK, è possibile utilizzare l'[UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html) per attivare la connettività privata multi-VPC e configurare gli schemi di autenticazione su un cluster ACTIVE. L'esempio seguente mostra lo schema di autenticazione IAM attivato per il cluster.  

```
{
  "currentVersion": "K3T4TT2Z381HKD",
  "connectivityInfo": {
    "vpcConnectivity": {
      "clientAuthentication": {
        "sasl": {
          "iam": {
            "enabled": TRUE
            }
        }
      }
    }
  }
}
```

Amazon MSK crea l'infrastruttura di rete necessaria per la connettività privata. Amazon MSK crea anche un nuovo set di endpoint broker di bootstrap per ogni tipo di autenticazione che richiede la connettività privata. Tieni presente che lo schema di autenticazione non crittografata non supporta la connettività privata multi-VPC.

# Passaggio 2: collegamento di una policy del cluster al cluster MSK
<a name="mvpc-cluster-owner-action-policy"></a>

Il proprietario del cluster può collegare una policy del cluster (nota anche come [policy basata sulle risorse](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies)) al cluster MSK in cui verrà attivata la connettività privata multi-VPC. La policy del cluster fornisce ai client l'autorizzazione ad accedere al cluster da un altro account. Prima di poter modificare la policy del cluster, sono necessari gli ID degli account che devono disporre dell'autorizzazione ad accedere al cluster MSK. Consulta la sezione [Funzionamento di Amazon MSK con IAM](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html).

Il proprietario del cluster deve collegare al cluster MSK una policy del cluster che autorizzi l'utente multi-account nell'account B a recuperare i broker di bootstrap per il cluster e ad autorizzare le seguenti operazioni sul cluster MSK nell'account A:
+ CreateVpcConnection
+ GetBootstrapBrokers
+ DescribeCluster
+ DescribeClusterV2

**Example**  
A titolo di riferimento, di seguito è riportato un esempio di JSON per una policy di cluster di base, simile alla policy predefinita mostrata nell'editor di policy IAM della console MSK. La seguente politica concede le autorizzazioni per l'accesso a livello di cluster, argomento e gruppo.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": [
        "kafka:CreateVpcConnection",
        "kafka:GetBootstrapBrokers",
        "kafka:DescribeCluster",
        "kafka:DescribeClusterV2",
        "kafka-cluster:*"
      ],
      "Resource": "arn:aws:kafka:us-east-1:111122223333:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": "kafka-cluster:*",
      "Resource": "arn:aws:kafka:us-east-1:111122223333:topic/testing/*"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "123456789012"
      },
      "Action": "kafka-cluster:*",
      "Resource": "arn:aws:kafka:us-east-1:111122223333:group/testing/*"
    }
  ]
}
```

**Collegamento di una policy del cluster al cluster MSK**

1. Nella console Amazon MSK, in **Cluster MSK**, scegli **Cluster**.

1. Scorri verso il basso fino a **Impostazioni di sicurezza** e seleziona **Modifica policy del cluster**.

1. Nella console, nella schermata **Modifica policy del cluster**, seleziona **Policy di base per la connettività multi-VPC**.

1. Nel campo **ID account**, inserisci l'ID account per ogni account che dovrebbe disporre dell'autorizzazione per accedere a questo cluster. Durante la digitazione, l'ID viene automaticamente copiato nella sintassi JSON della policy visualizzata. Nel nostro esempio di policy del cluster, l'ID account è *111122223333*.

1. Seleziona **Salva modifiche**.

Per informazioni sulla politica dei cluster APIs, consulta le politiche basate sulle [risorse di Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies).

# Passaggio 3: operazioni dell'utente multi-account per configurare connessioni VPC gestite dal client
<a name="mvpc-cross-account-user-action"></a>

Per configurare la connettività privata multi-VPC tra un client in un account diverso dal cluster MSK, l'utente multi-account crea una connessione VPC gestita per il client. È possibile connettere più client al cluster MSK ripetendo questa procedura. Ai fini di questo caso d'uso, configurerai un solo client.

I client possono utilizzare gli schemi di autenticazione supportati IAM, SASL/SCRAM o TLS. A ogni connessione VPC gestita può essere associato un solo schema di autenticazione. Lo schema di autenticazione del client deve essere configurato nel cluster MSK a cui il client si connetterà.

 In questo caso d'uso, configura lo schema di autenticazione del client in modo che il client nell'account B utilizzi lo schema di autenticazione IAM.

**Prerequisiti**

Questo processo richiede i seguenti elementi:
+ La policy del cluster creata in precedenza che concede al client dell'account B l'autorizzazione a eseguire operazioni sul cluster MSK nell'account A.
+ Una politica di identità allegata al client nell'Account B che concede autorizzazioni e azioni`kafka:CreateVpcConnection`. `ec2:CreateTags` `ec2:CreateVPCEndpoint` `ec2:DescribeVpcAttribute`

**Example**  
A titolo di riferimento, di seguito è riportato un esempio di JSON per una policy di identità del client di base.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kafka:CreateVpcConnection",
        "ec2:CreateTags",
        "ec2:CreateVPCEndpoint",
        "ec2:DescribeVpcAttribute"
      ],
      "Resource": "*"
    }
  ]
}
```

**Creazione di una connessione VPC gestita per un client nell'account B**

1. Dall'amministratore del cluster, ottieni l'**ARN del cluster** MSK nell'account A al quale desideri che il client nell'account B si connetta. Prendi nota dell'ARN del cluster da utilizzare in seguito.

1. Nella console MSK per l'account client B, scegli **Connessioni VPC gestite**, quindi scegli **Crea connessione**.

1. Nel riquadro **Impostazioni di connessione**, incolla l'ARN del cluster nel campo di testo ARN del cluster, quindi scegli **Verifica**.

1. Seleziona **Tipo di autenticazione** per il client nell'account B. Per questo caso d'uso, scegli IAM quando crei la connessione VPC del client.

1. Scegli il **VPC** per il client.

1. Scegli almeno due **zone** di disponibilità e **sottoreti** associate. È possibile ottenere la zona di disponibilità IDs dai dettagli del cluster della Console di AWS gestione o utilizzando l'[DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)API o il comando AWS CLI [describe-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html). La zona specificata per la sottorete client deve corrispondere a IDs quella della sottorete del cluster. Se mancano i valori per una sottorete, crea innanzitutto una sottorete con lo stesso ID di zona del cluster MSK.

1. Scegli un **Gruppo di sicurezza** per questa connessione VPC. È possibile accettare il gruppo di sicurezza predefinito. Per ulteriori informazioni sulla configurazione di un gruppo di sicurezza, consulta la pagina [Control traffic to resources using security groups](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html).

1. Seleziona **Crea connessione**.

1. Per ottenere l'elenco delle nuove stringhe del broker di bootstrap dalla console MSK dell'utente multi-account (Dettagli del **cluster** > **Connessione VPC gestita**), consulta le stringhe del broker di bootstrap mostrate in "**Stringa di connessione al cluster**". Dall'account B del cliente, è possibile visualizzare l'elenco dei broker bootstrap richiamando l'[GetBootstrapBrokers](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-bootstrap-brokers.html#GetBootstrapBrokers)API o visualizzando l'elenco dei broker bootstrap nei dettagli del cluster della console.

1. Aggiorna i gruppi di sicurezza associati alle connessioni VPC come segue:

   1. Imposta **le regole in entrata** per il PrivateLink VPC per consentire tutto il traffico per l'intervallo IP dalla rete dell'Account B.

   1. [Facoltativo] Imposta la connettività delle **Regole in uscita** al cluster MSK. Scegli il **Gruppo di sicurezza** nella console VPC, **Modifica le regole in uscita** e aggiungi una regola per il **Traffico TCP personalizzato** per gli intervalli di porte 14001-14100. Il Network Load Balancer multi-VPC è in ascolto sugli intervalli di porte 14001-14100. Consulta la pagina [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html).

1. Configura il client nell'account B per utilizzare i nuovi broker di bootstrap per la connettività privata multi-VPC per connettersi al cluster MSK nell'account A. Consulta la sezione [Produzione e utilizzo di dati](https://docs.aws.amazon.com/msk/latest/developerguide/produce-consume.html).

Una volta completata l'autorizzazione, Amazon MSK crea una connessione VPC gestita per ogni VPC e schema di autenticazione specificati. Il gruppo di sicurezza scelto è associato a ciascuna connessione. Questa connessione VPC gestita è configurata da Amazon MSK per connettersi privatamente ai broker. Puoi utilizzare il nuovo set di broker di bootstrap per connetterti privatamente al cluster Amazon MSK.