Attiva l'accesso pubblico a un cluster MSK Provisioned - Amazon Managed Streaming per Apache Kafka

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Attiva l'accesso pubblico a un cluster MSK Provisioned

Amazon MSK ti offre la possibilità di attivare l'accesso pubblico ai broker dei cluster MSK Provisioned che eseguono Apache Kafka 2.6.0 o versioni successive. Per motivi di sicurezza, non è possibile attivare l'accesso pubblico durante la creazione di un cluster MSK. Tuttavia, è possibile aggiornare un cluster esistente per renderlo accessibile al pubblico. È inoltre possibile creare un nuovo cluster e aggiornarlo in modo da renderlo accessibile al pubblico.

Puoi attivare l'accesso pubblico a un cluster MSK senza costi aggiuntivi, ma per il trasferimento dei dati da e verso il cluster si applicano i costi standard di trasferimento AWS dei dati. Per informazioni sui prezzi, consulta la pagina dei prezzi di Amazon EC2 On-Demand.

Per attivare l'accesso pubblico a un cluster MSK Provisioned, assicurati innanzitutto che il cluster soddisfi tutte le seguenti condizioni:

  • Le sottoreti associate al cluster devono essere pubbliche. A ogni sottorete pubblica è associato un IPv4 indirizzo pubblico e il prezzo IPv4 degli indirizzi pubblici è indicato nella pagina dei prezzi di Amazon VPC. Ciò significa che le sottoreti devono avere una tabella di routing associata a un gateway Internet. Per informazioni su come creare e collegare un gateway Internet, consulta Abilita l'accesso a Internet VPC utilizzando i gateway Internet nella Amazon VPC User Guide.

  • Il controllo degli accessi non autenticati deve essere disattivato e almeno uno dei seguenti metodi di controllo degli accessi deve essere attivo:, MTL. SASL/IAM, SASL/SCRAM Per informazioni su come aggiornare il metodo di controllo degli accessi di un cluster, consulta la pagina Aggiornamento delle impostazioni di sicurezza di un cluster Amazon MSK.

  • La crittografia all'interno del cluster deve essere attiva. Per impostazione predefinita durante la creazione di un cluster, la crittografia è attiva. Non è possibile attivare la crittografia all'interno del cluster se esso è stato creato con questa opzione disattivata. Pertanto, non è possibile attivare l'accesso pubblico per il cluster se esso è stato creato con la crittografia all'interno del cluster disattivata.

  • Il traffico non crittografato tra broker e client deve essere disattivato. Per informazioni su come disattivarlo se è attivato, consulta la pagina Aggiornamento delle impostazioni di sicurezza di un cluster Amazon MSK.

  • Se si utilizzano i metodi di controllo degli accessi SASL/SCRAM o mTLS, è necessario impostare Apache Kafka per il cluster. ACLs Dopo aver impostato Apache Kafka ACLs per il cluster, aggiorna la configurazione del cluster in modo che la proprietà per il cluster sia impostata su false. allow.everyone.if.no.acl.found Per informazioni su come aggiornare la configurazione di un cluster, consulta la pagina Operazioni di configurazione del broker. Se utilizzi il Controllo degli accessi IAM e desideri applicare policy di autorizzazione o aggiornare le tue policy esistenti, consulta la sezione Controllo degli accessi IAM. Per informazioni su Apache Kafka, consulta. ACLs Apache Kafka ACLs

Dopo esserti assicurato che un cluster MSK soddisfi le condizioni sopra elencate AWS Management Console, puoi utilizzare l' AWS CLI API Amazon MSK per attivare l'accesso pubblico. Dopo aver attivato l'accesso pubblico a un cluster, puoi recuperare una stringa bootstrap-brokers pubblica relativa al cluster. Per informazioni su come recuperare i broker di bootstrap per un cluster, consulta la pagina Ottieni i broker bootstrap per un cluster Amazon MSK.

Importante

Oltre ad attivare l'accesso pubblico, assicurati che i gruppi di sicurezza del cluster dispongano di regole TCP in entrata che consentano l'accesso pubblico dal tuo indirizzo IP. Ti consigliamo di impostare tali regole di modo che siano il più restrittive possibile. Per ulteriori informazioni sui gruppi di sicurezza e le regole in entrata, consulta la pagina Security groups for your VPC nella Guida per l'utente di Amazon VPC. Per i numeri di porta, consulta la pagina Informazioni sulle porte. Per istruzioni su come modificare il gruppo di sicurezza di un cluster, consulta la pagina Modifica del gruppo di sicurezza di un cluster Amazon MSK.

Nota

Se dopo avere seguito le istruzioni seguenti per attivare l'accesso pubblico non riesci comunque ad accedere al cluster, consulta la pagina Impossibile accedere al cluster con accesso pubblico attivato.

Attivazione dell'accesso pubblico tramite la console

  1. Accedere a e aprire la console Amazon MSK da https://console.aws.amazon.com/msk/casa? AWS Management Console region=us-east-1#/home/.

  2. Nell'elenco dei cluster, scegli quello per il quale attivare l'accesso pubblico.

  3. Scegli la scheda Proprietà, quindi trova la sezione Impostazioni di rete.

  4. Scegli Modifica accesso pubblico.

Attivazione dell'accesso pubblico tramite AWS CLI

  1. Esegui il AWS CLI comando seguente, sostituendo ClusterArn e Current-Cluster-Version con l'ARN e la versione corrente del cluster. Per trovare la versione corrente del cluster, usa l'DescribeClusteroperazione o il comando AWS CLI describe-cluster. Una versione di esempio è KTVPDKIKX0DER.

    aws kafka update-connectivity --cluster-arn ClusterArn --current-version Current-Cluster-Version --connectivity-info '{"PublicAccess": {"Type": "SERVICE_PROVIDED_EIPS"}}'

    L'output di questo comando update-connectivity è simile all'esempio JSON seguente.

    {
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}
    Nota

    Per disattivare l'accesso pubblico, usa un AWS CLI comando simile, ma con le seguenti informazioni di connettività:

    '{"PublicAccess": {"Type": "DISABLED"}}'

  2. Per ottenere il risultato dell'update-connectivityoperazione, esegui il comando seguente, sostituendolo ClusterOperationArn con l'ARN ottenuto nell'output del update-connectivity comando.

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    L'output di questo comando describe-cluster-operation è simile all'esempio JSON seguente.

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "982168a3-939f-11e9-8a62-538df00285db",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2019-06-20T21:08:57.735Z",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "UPDATE_COMPLETE",
        "OperationType": "UPDATE_CONNECTIVITY",
        "SourceClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "DISABLED"
                }
            }
        },
        "TargetClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "SERVICE_PROVIDED_EIPS"
                }
            }
        }
    }
}

    Se il valore di OperationState è UPDATE_IN_PROGRESS, attendi qualche minuto, quindi esegui nuovamente il comando describe-cluster-operation.

Attivazione dell'accesso pubblico tramite l'API di Amazon MSK

  • Per utilizzare l'API per attivare o disattivare l'accesso pubblico a un cluster, consulta UpdateConnectivity.

Nota

Per motivi di sicurezza, Amazon MSK non consente l'accesso pubblico ad Apache ZooKeeper o ai nodi KRaft del controller.