本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 单区域中的 Amazon MSK 多 VPC 私有连接
<a name="aws-access-mult-vpc"></a>

适用于 Apache Managed Streaming Kafka（Amazon MSK）集群的多 VPC 私有连接（由 [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)）提供支持，该功能使您能够更快地将托管在不同虚拟私有云 () 和账户中的 Kafka 客户端 (VPCs) 和 AWS 账户连接到亚马逊 MSK 集群。

多 VPC 私有连接是一种托管式解决方案，可简化多 VPC 和跨账户连接的网络基础设施。客户端可以通过连接到 Amazon MSK 集群， PrivateLink 同时将所有流量保持在 AWS 网络内。适用于亚马逊 MSK 集群的多 VPC 私有连接适用于所有可用 Amazon MSK 的 AWS 区域。

**Topics**
+ [什么是多 VPC 私有连接？](#mvpc-what-is)
+ [多 VPC 私有连接的优势](#mvpc-benefits)
+ [多 VPC 私有连接的要求和限制](#mvpc-requirements)
+ [开始使用多 VPC 私有连接](mvpc-getting-started.md)
+ [更新集群上的授权方案](mvpc-cross-account-update-authschemes.md)
+ [拒绝与 Amazon MSK 集群建立托管式 VPC 连接](mvpc-cross-account-reject-connection.md)
+ [删除与 Amazon MSK 集群的托管式 VPC 连接](mvpc-cross-account-delete-connection.md)
+ [多 VPC 私有连接的权限](mvpc-cross-account-permissions.md)

## 什么是多 VPC 私有连接？
<a name="mvpc-what-is"></a>

Amazon MSK 的多 VPC 私有连接是一种连接选项，允许您将托管在不同虚拟私有云 (VPCs) 和 AWS 账户中的 Apache Kafka 客户端连接到 MSK 集群。

Amazon MSK 通过[集群策略](mvpc-cluster-owner-action-policy.md)简化跨账户存取。这些策略允许集群所有者向其他 AWS 账户授予与 MSK 集群建立私有连接的权限。

## 多 VPC 私有连接的优势
<a name="mvpc-benefits"></a>

与[其他连接解决方案](https://docs.aws.amazon.com/msk/latest/developerguide/aws-access.html)相比，多 VPC 私有连接具有以下几个优势：
+ 它可以自动执行 AWS PrivateLink 连接解决方案的运营管理。
+ 它允许 IPs 在连接之间进行重叠 VPCs，从而无需维护与其他 VPC 连接解决方案相关的非重叠 IPs、复杂的对等互连和路由表。

您可以使用适用于 MSK 集群的集群策略来定义哪些 AWS 账户有权设置与 MSK 集群的跨账户私有连接。跨账户管理员可以将权限委派给相应的角色或用户。当与 IAM 客户端身份验证一起使用时，您也可以使用集群策略为连接的客户端精细定义 Kafka 数据面板的权限。

## 多 VPC 私有连接的要求和限制
<a name="mvpc-requirements"></a>

请注意运行多 VPC 私有连接的以下 MSK 集群要求：
+ 只有 Apache Kafka 2.7.1 或更高版本支持多 VPC 私有连接。请确保与 MSK 集群搭配使用的任何客户端都运行与集群兼容的 Apache Kafka 版本。
+ 多 VPC 私有连接支持身份验证类型 IAM、TLS 和 SASL/SCRAM。未经身份验证的集群无法使用多 VPC 私有连接。
+ 如果您使用 SASL/SCRAM 或 mTLS 访问控制方法，则必须为集群设置 Apache Kafka ACLs 。首先，为您的集群设置 Apache Ka ACLs fka。然后，更新集群的配置，将集群的属性 `allow.everyone.if.no.acl.found` 设置为 false。有关如何更新集群配置的信息，请参阅[代理配置操作](msk-configuration-operations.md)。如果您使用的是 IAM 访问控制并想要应用授权策略或更新授权策略，请参阅 [IAM 访问控制](iam-access-control.md)。有关 Apache Kafka 的信息 ACLs，请参阅。[阿帕奇 Kafka ACLs](msk-acls.md)
+ 多 VPC 私有连接不支持 t3.small 实例类型。
+ 不支持跨 AWS 区域的多 VPC 私有连接，仅支持同一区域内的 AWS 账户。
+ 要设置多 VPC 私有连接，则客户端子网数量必须与集群子网数量相同。您还必须确保客户端子网和集群子网的[可用区 IDs](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html)相同。
+ Amazon MSK 不支持与 Zookeeper 节点的多 VPC 私有连接。