Etapa 1: Preparar o cluster de MSK origem da Amazon - Amazon Managed Streaming for Apache Kafka

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 1: Preparar o cluster de MSK origem da Amazon

Se você já tiver um cluster de MSK origem criado para o MSK Replicator, certifique-se de que ele atenda aos requisitos descritos nesta seção. Caso contrário, siga estas etapas para criar um cluster de MSK origem provisionado ou sem servidor.

O processo de criação de um cluster de origem do MSK Replicator entre regiões e na mesma região é semelhante. As diferenças estão nas chamadas nos procedimentos a seguir.

  1. Crie um cluster MSK provisionado ou sem servidor com o controle de IAM acesso ativado na região de origem. Seu cluster de origem deve ter, no mínimo, três agentes.

  2. Para um MSK replicador entre regiões, se a origem for um cluster provisionado, configure-o com conectividade VPC multiprivada ativada para esquemas de controle de acesso. IAM Observe que o tipo de autenticação não autenticado não é suportado quando o multi- VPC está ativado. Você não precisa ativar a conectividade VPC multiprivada para outros esquemas de autenticação (m TLS ouSASL/SCRAM). Você pode usar simultaneamente os esquemas m TLS ouSASL/SCRAMauth para seus outros clientes que se conectam ao seu MSK cluster. Você pode configurar a conectividade VPC multiprivada nos detalhes do cluster do console, nas configurações de rede ou com o. UpdateConnectivity API Consulte O proprietário do cluster ativa o multi-. VPC Se seu cluster de origem for um cluster MSK sem servidor, você não precisará ativar a conectividade multiprivada. VPC

    Para um MSK replicador da mesma região, o cluster de MSK origem não exige conectividade VPC multiprivada e o cluster ainda pode ser acessado por outros clientes usando o tipo de autenticação não autenticado.

  3. Para MSK replicadores entre regiões, você deve anexar uma política de permissões baseada em recursos ao cluster de origem. Isso permite MSK conectar-se a esse cluster para replicar dados. Você pode fazer isso usando o CLI ou AWS Procedimentos do console abaixo. Veja também as políticas MSKbaseadas em recursos da Amazon. Você não precisa executar essa etapa para replicadores da mesma região. MSK

Console: create resource policy

Atualize a política de cluster de origem com o seguinteJSON. Substitua o espaço reservado pelo ARN do seu cluster de origem.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
            "Service": [
                "kafka.amazonaws.com"
            ]
        },
        "Action": [
            "kafka:CreateVpcConnection",
            "kafka:GetBootstrapBrokers",
            "kafka:DescribeClusterV2"
        ],
        "Resource": "<sourceClusterARN>"
    }
  ]
}

Use a opção Editar política de cluster no menu Ações na página de detalhes do cluster.

Editar política de cluster no console
CLI: create resource policy

Nota: Se você usar o AWS console para criar um cluster de origem e escolher a opção de criar uma nova IAM função, AWS anexa a política de confiança necessária à função. Se você quiser MSK usar uma IAM função existente ou criar uma função por conta própria, anexe as seguintes políticas de confiança a essa função para que o MSK Replicator possa assumi-la. Para obter informações sobre como modificar a relação de confiança de uma função, consulte Modificar uma função.

  1. Obtenha a versão atual da política de MSK cluster usando esse comando. Substitua os espaços reservados pelo cluster ARN real.

    aws kafka get-cluster-policy —cluster-arn <Cluster ARN>
{
"CurrentVersion": "K1PA6795UKM GR7",
"Policy": "..."
}

  2. Crie uma política baseada em recursos para permitir que o MSK Replicator acesse seu cluster de origem. Use a sintaxe a seguir como modelo, substituindo o espaço reservado pelo cluster de origem real. ARN

    aws kafka put-cluster-policy --cluster-arn "<sourceClusterARN>" --policy '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"kafka.amazonaws.com"
]
},
"Action": [
"kafka:CreateVpcConnection",
"kafka:GetBootstrapBrokers",
"kafka:DescribeClusterV2"
],
"Resource": "<sourceClusterARN>"
}
]