As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Conceitos básicos sobre como usar a conectividade privada de várias VPCs
**Topics**
+ [Etapa 1: no cluster do MSK na conta A, ativar a conectividade multi-VPC para o esquema de autenticação do IAM no cluster](mvpc-cluster-owner-action-turn-on.md)
+ [Etapa 2: anexar uma política de cluster ao cluster do MSK](mvpc-cluster-owner-action-policy.md)
+ [Etapa 3: ações de usuários entre contas para configurar conexões de VPC gerenciadas pelo cliente](mvpc-cross-account-user-action.md)
Este tutorial usa um caso de uso comum como exemplo de como você pode usar a conectividade de várias VPCs para conectar de forma privada um cliente Apache Kafka a um cluster MSK de dentro, AWS mas fora da VPC do cluster. Esse processo exige que o usuário entre contas crie uma conexão e uma configuração de VPC gerenciada pelo MSK para cada cliente, incluindo as permissões de cliente necessárias. O processo também exige que o proprietário do cluster MSK habilite a PrivateLink conectividade no cluster MSK e selecione esquemas de autenticação para controlar o acesso ao cluster.
Em diferentes partes deste tutorial, escolhemos as opções aplicáveis a esse exemplo. Isso não significa que estas são as únicas opções disponíveis para configurar um cluster do MSK ou instâncias de cliente.
A configuração de rede para esse caso de uso é a seguinte:
+ Um usuário com várias contas (cliente Kafka) e um cluster do MSK estão na mesma rede/região da AWS , mas em contas diferentes:
+ Cluster do MSK na conta A
+ Cliente Kafka na conta B
+ O usuário entre contas se conectará de modo privado ao cluster do MSK usando o esquema de autenticação do IAM.
Este tutorial pressupõe que há um cluster do MSK provisionado criado com o Apache Kafka versão 2.7.1 ou superior. O cluster do MSK deve estar em um estado ACTIVE antes de iniciar o processo de configuração. Para evitar possíveis perdas de dados ou tempo de inatividade, os clientes que usarão uma conexão privada multi-VPC para se conectar ao cluster devem usar versões do Apache Kafka compatíveis com o cluster.
O diagrama a seguir ilustra a arquitetura da conectividade multi-VPC do Amazon MSK conectada a um cliente em uma conta diferente. AWS
![\[Diagrama de rede multi-VPC em uma única região\]](http://docs.aws.amazon.com/pt_br/msk/latest/developerguide/images/mvpc-network.png)
# Etapa 1: no cluster do MSK na conta A, ativar a conectividade multi-VPC para o esquema de autenticação do IAM no cluster
O proprietário do cluster do MSK precisa fazer as configurações no cluster do MSK após a criação do cluster e em um estado ACTIVE.
O proprietário do cluster ativa a conectividade privada multi-VPC no cluster ACTIVE para qualquer esquema de autenticação que estará ativo no cluster. Isso pode ser feito usando a [UpdateSecurity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-security.html) ou o console MSK. Os esquemas de autenticação do IAM, SASL/SCRAM e TLS são compatíveis com conectividade privada multi-VPC. A conectividade privada multi-VPC não pode ser habilitada para clusters não autenticados.
Para esse caso de uso, você configurará o cluster para usar o esquema de autenticação do IAM.
**nota**
Se você estiver configurando seu cluster MSK para usar o esquema de SASL/SCRAM autenticação, a propriedade "" do Apache Kafka ACLs é obrigatória. `allow.everyone.if.no.acl.found=false` Veja [Apache ACLs Kafka](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html).
Quando você atualiza as configurações de conectividade privada multi-VPC, o Amazon MSK inicia uma reinicialização contínua dos nós do agente que atualiza as configurações do agente. A conclusão dessa operação pode levar até 30 minutos ou mais. Você não pode fazer outras atualizações no cluster enquanto a conectividade estiver sendo atualizada.
**Ativar o recurso multi-VPC para esquemas de autenticação selecionados no cluster na conta A usando o console**
1. Abra o console do Amazon MSK em [https://console.aws.amazon.com/msk/](https://docs.aws.amazon.com/msk/latest/developerguide/msk-acls.html)para a conta em que o cluster está localizado.
1. No painel de navegação, em **Clusters do MSK**, escolha **Clusters** para exibir a lista de clusters na conta.
1. Selecione o cluster a ser configurado para conectividade privada multi-VPC. O cluster deve estar em um estado ACTIVE.
1. Selecione a guia **Propriedades** do cluster e acesse as configurações de **Rede**.
1. Selecione o menu suspenso **Editar** e selecione **Ativar conectividade multi-VPC**.
1. Selecione um ou mais tipos de autenticação que você deseja ativar para esse cluster. Para esse caso de uso, selecione a autenticação **baseada em perfil do IAM**.
1. Selecione **Salvar alterações**.
**Example - UpdateConnectivity API que ativa esquemas de autenticação de conectividade privada de várias VPCs em um cluster**
Como alternativa ao console MSK, você pode usar a [UpdateConnectivity API](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-connectivity.html) para ativar a conectividade privada de várias VPCs e configurar esquemas de autenticação em um cluster ATIVO. O exemplo a seguir mostra o esquema de autenticação do IAM ativado para o cluster.
```
{
"currentVersion": "K3T4TT2Z381HKD",
"connectivityInfo": {
"vpcConnectivity": {
"clientAuthentication": {
"sasl": {
"iam": {
"enabled": TRUE
}
}
}
}
}
}
```
O Amazon MSK cria a infraestrutura de rede necessária para conectividade privada. O Amazon MSK também cria um novo conjunto de endpoints do agente de bootstrap para cada tipo de autenticação que requer conectividade privada. Observe que o esquema de autenticação em texto simples não oferece suporte à conectividade privada multi-VPC.
# Etapa 2: anexar uma política de cluster ao cluster do MSK
O proprietário do cluster pode anexar uma política de cluster (também conhecida como [política baseada em recurso](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies)) ao cluster do MSK no qual você ativará a conectividade privada multi-VPC. A política de cluster permite que os clientes acessem o cluster usando outra conta. Antes de editar a política de cluster, você precisa dos IDs de conta para as contas que devem ter permissão para acessar o cluster do MSK. Consulte [Como o Amazon MSK funciona com o IAM](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html).
O proprietário do cluster deve anexar uma política de cluster ao cluster do MSK que autorize o usuário entre contas na conta B a obter agentes de bootstrap para o cluster e a autorizar as seguintes ações no cluster do MSK na conta A:
+ CreateVpcConnection
+ GetBootstrapBrokers
+ DescribeCluster
+ DescribeClusterV2
**Example**
Para referência, veja a seguir um exemplo do JSON para uma política básica de cluster, semelhante à política padrão apresentada no editor de políticas do IAM do console do MSK. A política a seguir concede permissões de acesso a nível de cluster, tópico e grupo.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": [
"kafka:CreateVpcConnection",
"kafka:GetBootstrapBrokers",
"kafka:DescribeCluster",
"kafka:DescribeClusterV2",
"kafka-cluster:*"
],
"Resource": "arn:aws:kafka:us-east-1:111122223333:cluster/testing/de8982fa-8222-4e87-8b20-9bf3cdfa1521-2"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": "kafka-cluster:*",
"Resource": "arn:aws:kafka:us-east-1:111122223333:topic/testing/*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": "kafka-cluster:*",
"Resource": "arn:aws:kafka:us-east-1:111122223333:group/testing/*"
}
]
}
```
**Anexar uma política de cluster ao cluster do MSK**
1. No console do Amazon MSK, em **Clusters do MSK**, escolha **Clusters**.
1. Role para baixo até **Configurações de segurança** e selecione **Editar política de cluster**.
1. No console, na tela **Editar política de cluster**, selecione **Política básica para conectividade multi-VPC**.
1. No campo **ID da conta**, insira o ID da conta para cada conta que deve ter permissão para acessar esse cluster. Conforme você digita o ID, ele é copiado automaticamente para a sintaxe JSON da política exibida. Em nosso exemplo de política de cluster, o ID da conta é *111122223333*.
1. Selecione **Salvar alterações**.
Para obter informações sobre a política de cluster APIs, consulte as políticas baseadas em [recursos do Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/security_iam_service-with-iam.html#security_iam_service-with-iam-resource-based-policies).
# Etapa 3: ações de usuários entre contas para configurar conexões de VPC gerenciadas pelo cliente
Para configurar a conectividade privada multi-VPC entre um cliente em uma conta diferente do cluster do MSK, o usuário entre contas cria uma conexão VPC gerenciada para o cliente. É possível conectar vários clientes ao cluster do MSK repetindo esse procedimento. Para fins desse caso de uso, você configurará apenas um cliente.
Os clientes podem usar os esquemas de autenticação compatíveis IAM, SASL/SCRAM ou TLS. Cada conexão de VPC gerenciada só pode ter um esquema de autenticação associado a ela. O esquema de autenticação do cliente deve ser configurado no cluster do MSK ao qual o cliente se conectará.
Para esse caso de uso, configure o esquema de autenticação do cliente para que o cliente na conta B use o esquema de autenticação do IAM.
**Pré-requisitos**
Esse processo requer os seguintes itens:
+ A política de cluster criada anteriormente que concede ao cliente na conta B permissão para realizar ações no cluster do MSK na conta A.
+ Uma política de identidade anexada ao cliente na conta B que concede permissões para as ações `kafka:CreateVpcConnection`, `ec2:CreateTags`, `ec2:CreateVPCEndpoint` e `ec2:DescribeVpcAttribute`.
**Example**
Para referência, este é um exemplo do JSON para uma política básica de identidade de cliente.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kafka:CreateVpcConnection",
"ec2:CreateTags",
"ec2:CreateVPCEndpoint",
"ec2:DescribeVpcAttribute"
],
"Resource": "*"
}
]
}
```
**Para criar uma conexão de VPC gerenciada para um cliente na conta B**
1. Do administrador do cluster, obtenha o **ARN do cluster** do MSK na conta A ao qual você deseja que o cliente na conta B se conecte. Anote o ARN do cluster para usar posteriormente.
1. No console do MSK da conta B do cliente, escolha **Conexões VPC gerenciadas** e, em seguida, escolha **Criar conexão**.
1. No painel **Configurações de conexão**, cole o ARN do cluster no campo de texto ARN do cluster e escolha **Verificar**.
1. Selecione o **Tipo de autenticação** para o cliente na conta B. Para esse caso de uso, escolha IAM ao criar a conexão VPC do cliente.
1. Escolha a **VPC** para o cliente.
1. Escolha pelo menos duas **zonas** de disponibilidade e **sub-redes** associadas. Você pode obter a zona IDs de disponibilidade nos detalhes do cluster do AWS Management Console ou usando a [DescribeCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn.html#DescribeCluster)API ou o comando da AWS CLI [describe-cluster](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kafka/describe-cluster.html). A zona IDs que você especifica para a sub-rede do cliente deve corresponder às da sub-rede do cluster. Se os valores de uma sub-rede estiverem ausentes, primeiro crie uma sub-rede com o mesmo ID de zona do seu cluster do MSK.
1. Escolha um **Grupo de segurança** para essa conexão VPC. Você pode usar o grupo de segurança padrão. Para mais informações sobre a configuração de grupos de segurança, consulte [Controlar o tráfego para recursos usando grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html).
1. Selecione **Criar conexão**.
1. Para obter a lista das novas strings de agente de bootstrap no console do MSK do usuário entre contas (**Detalhes do cluster** > **Conexão VPC gerenciada**), consulte as strings de agente de bootstrap exibidas em “**Cadeia de conexão do cluster**”. Na Conta B do cliente, a lista de corretores de bootstrap pode ser visualizada chamando a [GetBootstrapBrokers](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-bootstrap-brokers.html#GetBootstrapBrokers)API ou visualizando a lista de corretores de bootstrap nos detalhes do cluster do console.
1. Atualize os grupos de segurança associados às conexões de VPC da seguinte forma:
1. Defina **regras de entrada** para a PrivateLink VPC para permitir todo o tráfego do intervalo de IP da rede da Conta B.
1. [Opcional] Defina as **regras de conectividade de saída** para o cluster do MSK. Escolha o **grupo de segurança** no console da VPC, **Editar regras de saída** e adicione uma regra para o **Tráfego TCP personalizado** para os intervalos de portas 14001-14100. O Network Load Balancer multi-VPC está escutando nos intervalos de portas 14001-14100. Consulte [Network Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html).
1. Configure o cliente na conta B para usar os novos agentes de bootstrap para conectividade privada multi-VPC para se conectar ao cluster do MSK na conta A. Consulte [Produzir e consumir dados](https://docs.aws.amazon.com/msk/latest/developerguide/produce-consume.html).
Após a conclusão da autorização, o Amazon MSK criará uma conexão VPC gerenciada para cada VPC e esquema de autenticação especificados. O grupo de segurança escolhido será associado a cada conexão. Essa conexão VPC gerenciada é configurada pelo Amazon MSK para se conectar de maneira privada aos agentes. Você pode usar o novo conjunto de agentes de bootstrap para se conectar de maneira privada ao cluster do Amazon MSK.