Ativar o acesso público a um cluster provisionado pelo MSK - Amazon Managed Streaming for Apache Kafka

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ativar o acesso público a um cluster provisionado pelo MSK

O Amazon MSK oferece a opção de ativar o acesso público aos corretores de clusters provisionados pelo MSK que executam o Apache Kafka 2.6.0 ou versões posteriores. Por motivos de segurança, você não pode ativar o acesso público ao criar um cluster do MSK. No entanto, você pode atualizar um cluster existente para torná-lo acessível ao público. Você pode criar um novo cluster e atualizá-lo para torná-lo acessível publicamente.

Você pode ativar o acesso público a um cluster MSK sem custo adicional, mas os custos padrão de transferência de AWS dados se aplicam à transferência de dados para dentro e para fora do cluster. Para obter informações sobre preços, consulte Amazon EC2 On-Demand Pricing.

Para ativar o acesso público a um cluster provisionado pelo MSK, primeiro certifique-se de que o cluster atenda a todas as seguintes condições:

  • As sub-redes associadas ao cluster devem ser públicas. Cada sub-rede pública tem um IPv4 endereço público associado a ela, e os preços dos IPv4 endereços públicos são mostrados na página de preços da Amazon VPC. Isso significa que as sub-redes devem ter uma tabela de rotas associada a um gateway da Internet conectado. Para obter informações sobre como criar e conectar um gateway de internet, consulte Habilitar o acesso VPC à internet usando gateways de internet no Guia do usuário da Amazon VPC.

  • O controle de acesso não autenticado deve estar desativado e pelo menos um dos seguintes métodos de controle de acesso deve estar ativado:, mTLS. SASL/IAM, SASL/SCRAM Para obter informações sobre como atualizar o método de controle de acesso de um cluster, consulte Atualizar as configurações de segurança de um cluster do Amazon MSK.

  • A criptografia dentro do cluster deve estar ativada. A configuração ativada é o padrão ao criar um cluster. Não é possível ativar a criptografia dentro do cluster para um cluster que tenha sido criado com ela desativada. Portanto, não é possível ativar o acesso público para um cluster que tenha sido criado com a criptografia no cluster desativada.

  • O tráfego de texto simples entre agentes e clientes deve estar desativado. Para obter informações sobre como desativá-lo se estiver ativado, consulte Atualizar as configurações de segurança de um cluster do Amazon MSK.

  • Se você estiver usando os métodos de controle de acesso SASL/SCRAM ou mTLS, deverá configurar o Apache Kafka para seu cluster. ACLs Depois de definir o Apache Kafka ACLs para seu cluster, atualize a configuração do cluster para que a propriedade seja false allow.everyone.if.no.acl.found para o cluster. Para obter informações sobre como atualizar a configuração de um cluster, consulte Operações de configuração do broker. Se você estiver usando o controle de acesso do IAM e quiser aplicar políticas de autorização ou atualizar suas políticas de autorização, consulte Controle de acesso do IAM. Para obter informações sobre o Apache Kafka ACLs, consulte. Apache Kafka ACLs

Depois de garantir que um cluster MSK atenda às condições listadas acima, você pode usar a API AWS Management Console AWS CLI, a ou a Amazon MSK para ativar o acesso público. Depois de ativar o acesso público a um cluster, você pode obter uma string pública de agentes de bootstrap para ele. Para obter informações sobre a obtenção de agentes de bootstrap para um cluster, consulte Obter os agentes de bootstrap para um cluster do Amazon MSK.

Importante

Além de ativar o acesso público, certifique-se de que os grupos de segurança do cluster tenham regras de TCP de entrada que permitam acesso público do seu endereço IP. Recomendamos tornar essas regras o mais restritivas possível. Para obter mais informações sobre grupos de segurança e regras de entrada, consulte Grupos de segurança para sua VPC no Guia do usuário da Amazon VPC. Para obter os números das portas, consulte Informações de porta. Para obter instruções sobre como alterar o grupo de segurança de um cluster, consulte Alterar o grupo de segurança do cluster no Amazon MSK.

nota

Se você usar as instruções a seguir para ativar o acesso público e ainda não conseguir acessar o cluster, consulte Não é possível acessar o cluster que está com o acesso público ativado.

Ativar o acesso público usando o console

  1. Faça login no AWS Management Console e abra o console do Amazon MSK em https://console.aws.amazon.com/msk/casa? region=us-east-1#/home/.

  2. Na lista de clusters, selecione o cluster ao qual deseja ativar o acesso público.

  3. Escolha a guia Propriedades e, em seguida, encontre a seção Configurações de rede.

  4. Escolha Editar acesso público.

Ativando o acesso público usando o AWS CLI

  1. Execute o AWS CLI comando a seguir, substituindo ClusterArn e Current-Cluster-Version pelo ARN e pela versão atual do cluster. Para encontrar a versão atual do cluster, use a DescribeClusteroperação ou o comando AWS CLI describe-cluster. Uma versão de exemplo é KTVPDKIKX0DER.

    aws kafka update-connectivity --cluster-arn ClusterArn --current-version Current-Cluster-Version --connectivity-info '{"PublicAccess": {"Type": "SERVICE_PROVIDED_EIPS"}}'

    A saída desse comando update-connectivity é semelhante ao seguinte JSON de exemplo.

    {
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}
    nota

    Para desativar o acesso público, use um AWS CLI comando semelhante, mas com as seguintes informações de conectividade:

    '{"PublicAccess": {"Type": "DISABLED"}}'

  2. Para obter o resultado da update-connectivity operação, execute o comando a seguir, ClusterOperationArn substituindo-o pelo ARN obtido na saída do update-connectivity comando.

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    A saída desse comando describe-cluster-operation é semelhante ao seguinte JSON de exemplo.

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "982168a3-939f-11e9-8a62-538df00285db",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2019-06-20T21:08:57.735Z",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "UPDATE_COMPLETE",
        "OperationType": "UPDATE_CONNECTIVITY",
        "SourceClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "DISABLED"
                }
            }
        },
        "TargetClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "SERVICE_PROVIDED_EIPS"
                }
            }
        }
    }
}

    Se OperationState tiver o valor UPDATE_IN_PROGRESS, aguarde um pouco e execute o comando describe-cluster-operation novamente.

Ativar o acesso público usando a API do Amazon MSK

  • Para usar a API para ativar ou desativar o acesso público a um cluster, consulte UpdateConnectivity.

nota

Por motivos de segurança, o Amazon MSK não permite acesso público aos nós do Apache ZooKeeper ou do KRaft controlador.