本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 建立 MSK 佈建叢集 AWS 管理主控台
<a name="create-cluster-console"></a>

本主題中的程序說明使用 中的**自訂建立**選項建立 MSK 佈建叢集的常見任務 AWS 管理主控台。使用 中提供的其他選項 AWS 管理主控台，您也可以建立下列項目：
+ [無伺服器叢集](create-serverless-cluster.md)
+ 使用**快速建立**選項[的 MSK 佈建叢集](create-cluster.md) 

****本主題中的程序
+ [步驟 1：初始叢集設定和組態](#cluster-initial-setup)
+ [步驟 2：設定儲存體和叢集設定](#cluster-storage-config)
+ [步驟 3：設定網路設定](#cluster-network-config)
+ [步驟 4：設定安全設定](#cluster-security-settings-config)
+ [步驟 5：設定監控選項](#cluster-monitoring-config)
+ [步驟 6：檢閱叢集組態](#review-cluster-custom-create)

## 步驟 1：初始叢集設定和組態
<a name="cluster-initial-setup"></a>

1. 開啟位於 [https://console.aws.amazon.com/msk/](https://console.aws.amazon.com/msk/) 的 Amazon MSK 主控台。

1. 選擇 **Create Cluster** (建立叢集)。

1. 針對**叢集建立方法**，選擇**自訂建立**。

1. 針對**叢集名稱**，指定唯一且不超過 64 個字元的名稱。

1. 針對**叢集類型**，選擇**佈建**。

1. 針對 **Apache Kafka 版本**，選擇要在代理程式上執行的版本。若要查看每個 Apache Kafka 版本支援的 Amazon MSK 功能比較，請選擇**檢視版本相容性**。

1. 在**中介**裝置區段中，執行下列動作：

   1. 針對**中介裝置類型**，選擇下列其中一個選項：
      + **快速代理**程式：具有全受管虛擬儲存的高效能、可擴展代理程式。針對高輸送量的嚴苛應用程式選擇此代理程式類型。
      + **標準代理**程式：具有完整組態控制的傳統 Kafka 代理程式。針對具有中等輸送量需求的一般用途工作負載，選擇此中介裝置類型。

      如需這些代理程式類型的詳細資訊，請參閱 [Amazon MSK 代理程式類型](broker-instance-types.md)。

   1. 針對**中介裝置大小**，根據叢集的運算、記憶體和儲存需求，選擇要用於叢集的大小。

   1. 針對**區域數量**，選擇代理程式分佈[AWS 可用區域](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-availability-zones.html)於其中的 數量。

      快速代理程式需要三個可用區域才能提高可用性。

   1. 對於**每個區域的代理**程式，指定您希望 Amazon MSK 在每個可用區域中建立的代理程式數量。每個可用區域最少一個代理程式，ZooKeeper 型叢集每個叢集最多 30 個代理程式，[KRaft 型叢集](metadata-management.md#kraft-intro)每個叢集最多 60 個代理程式。

## 步驟 2：設定儲存體和叢集設定
<a name="cluster-storage-config"></a>

此程序說明如何設定所有代理程式的資料儲存需求，並指定儲存模式。這可協助您根據工作負載需求定義資料儲存需求。此外，此程序說明控制代理程式運作方式的叢集組態設定。這些設定包括代理程式組態、預設主題設定和分層儲存政策。

1. 如果您將代理程式類型選取為**標準**，請在**儲存**區段中執行下列動作：

   1. 針對**儲存**，選擇您希望叢集擁有的初始儲存量。您無法在建立叢集後減少儲存容量。

   1. （選用） 根據您選擇的代理程式大小 （執行個體大小），您也可以指定**每個代理程式的佈建儲存輸送量**。此選項可讓您為每個代理程式的 Amazon EBS 磁碟區配置專用輸入和輸出 (I/O) 效能。

      若要啟用此選項，請選擇 x86 的代理程式大小 （執行個體大小） kafka.m5.4xlarge 或更大，以及 Graviton 型執行個體的 kafka.m7g.2xlarge 或更大。然後，選擇**啟用佈建儲存輸送量**核取方塊。透過選取此核取方塊，您可以手動設定每秒至少 250 MiB 的輸送量。這有助於需要高速、可預測儲存效能的 I/O 密集型工作負載或應用程式。如需詳細資訊，請參閱[為 Amazon MSK 叢集中的標準代理程式佈建儲存輸送量](msk-provision-throughput.md)。

   1. 對於**叢集儲存模式**，指定如何在叢集中存放和管理資料。此選項會決定代理程式使用的儲存體類型和組態。請選擇下列其中一個選項：
      + 僅限 **EBS 儲存**：將所有主題資料儲存在本機連接至每個代理程式的 Amazon Elastic Block Store (Amazon EBS) 磁碟區上。選擇此模式以獲得一致的效能需求，並快速存取最近的訊息。
      + **分層儲存和 EBS 儲存**：將本機 Amazon EBS 資料與 Amazon S3 中大型資料集的遠端、經濟實惠儲存結合在一起。此模式可降低 Amazon EBS 儲存成本、支援更長的資料保留時間，以及自動擴展儲存體，無需手動介入。當您想要以較低的成本長期保留資料，或預期您的儲存需要大幅成長時，請選擇此模式。
**注意**  
您不需要管理 Express 代理程式的儲存。

1. 針對**叢集組態**，指定下列其中一個選項來定義叢集的行為：
   + **Amazon MSK 預設組態**：包含一組針對一般用途使用案例最佳化的預先定義組態。選擇此選項以快速設定和部署叢集。如需有關 Amazon MSK 組態的資訊，請參閱 [Amazon MSK 佈建組態](msk-configuration.md)。
   + **自訂組態**：可讓您指定自己的代理程式和主題設定。您可以從清單中選擇現有的自訂組態，或建立新的自訂組態。為您的代理程式選擇此選項進行微調控制，例如特定效能調校、安全設定等。

   

1. 選擇**下一步**繼續進行。

## 步驟 3：設定網路設定
<a name="cluster-network-config"></a>

網路組態會定義叢集在 AWS 基礎設施中的部署方式。這包括 VPC、可用區域和子網路，以及控制聯網、可用性和存取的安全群組。

1. 針對**聯網**，請執行下列動作：

   1. 選擇您要用於叢集的 VPC。

   1. 根據您先前選取的可用區域數量，指定代理程式將部署的可用區域和子網路。

      對於美國西部 （加利佛尼亞北部） 區域中的標準代理程式，您需要兩個位於兩個不同可用區域的子網路。在可使用 Amazon MSK 的所有其他區域，您可以指定兩個或三個子網路。您的子網路必須位於不同的可用區域。

      對於快速代理程式，您需要三個不同可用區域中的三個子網路。

      當您建立 MSK 佈建叢集時，MSK 會將代理程式節點平均分配到您指定的子網路。

   1. 針對 **Amazon EC2 中的安全群組**，選擇或建立您要授予叢集存取權的一或多個安全群組。這些 Amazon EC2 安全群組會控制對代理程式的傳入和傳出流量。例如，用戶端機器的安全群組。

      如果您指定與您共用的安全群組，您必須確保您具有使用這些群組的許可。具體而言，您需要 `ec2:DescribeSecurityGroups` 許可。如需詳細資訊，請參閱[連線至 MSK 叢集](https://docs.aws.amazon.com/msk/latest/developerguide/client-access.html#public-access)。

1. 選擇**下一步**繼續進行。

## 步驟 4：設定安全設定
<a name="cluster-security-settings-config"></a>

1. 在**安全設定**區段中，執行下列動作：

   1. 選擇下列一或多個身分驗證和授權方法，以控制用戶端存取您的 Kafka 叢集：
     + **未驗證的存取**：允許用戶端存取叢集，而無需提供任何身分驗證憑證。此方法是一種安全風險，可能不符合安全最佳實務。如需詳細資訊，請參閱 [msk-unrestricted-access-check](https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html)。
     + **IAM 角色型身分驗證**：使用 IAM AWS 使用者/角色啟用用戶端身分驗證和授權。此方法透過 IAM 政策提供對叢集存取的精細控制。對於已在其中執行的應用程式，我們建議使用此方法 AWS。
     + **SASL/SCRAM 身分驗證**：要求用戶端提供存放在 中的使用者名稱和密碼登入資料 AWS Secrets Manager 以進行身分驗證。Amazon MSK 會從 Secrets Manager 擷取這些登入資料，並安全地驗證使用者。

       若要設定有關叢集身分驗證的登入憑證，請先在 Secrets Manager 中建立 Secret 資源。然後，將登入憑證與該秘密建立關聯。如需此存取控制方法的詳細資訊，請參閱 [設定 Amazon MSK 叢集的 SASL/SCRAM 身分驗證使用登入憑證連線至叢集](msk-password-tutorial.md)。
     + **透過 AWS Certificate Manager (ACM) 的 TLS 用戶端身分**驗證：使用數位憑證在用戶端和代理程式之間啟用交互身分驗證。您必須在 AWS 帳戶 與叢集相同或不同的 中設定 AWS 私有憑證授權單位 (AWS 私有 CA)。

       實作 AWS 私有 CA mTLS 時，強烈建議為每個 MSK 叢集使用獨立的 。這可確保由 PCAs 簽署的 TLS 憑證只使用單一 MSK 叢集進行身分驗證，進而維持嚴格的存取控制。

1. 在**加密**中，選擇您要用來加密靜態資料的 KMS 金鑰類型。如需詳細資訊，請參閱[Amazon MSK 靜態加密](msk-encryption.md#msk-encryption-at-rest)。

   靜態資料加密可保護儲存的資料完整性，而傳輸中加密則可為資料保密，避免在傳輸中遭受網路監控。

1. 選擇**下一步**繼續進行。

## 步驟 5：設定監控選項
<a name="cluster-monitoring-config"></a>

此程序說明如何設定代理程式指標，以及收集和交付代理程式日誌。使用這些設定，您可以觀察和分析叢集的運作狀態、效能和故障診斷問題。如需詳細資訊，請參閱[監控 Amazon MSK 佈建叢集](monitoring.md)。

1. 針對**此叢集的 Amazon CloudWatch 指標**，選擇下列其中一個監控層級。在每個監控層級收集的指標都會與 CloudWatch 整合，以進行視覺化和設定警示。

   1. **基本監控**：提供一組基本叢集層級指標，無需額外費用。此層級適用於具有一般監控需求的大多數使用案例。

   1. **增強型代理程式層級監控**：以額外費用提供詳細的代理程式指標。此層級包含基本監控和更精細的代理程式指標，例如其他代理程式的分層式儲存指標位元組輸入/輸出，以及讀寫操作的總體時間。您為此層級中的指標付費，而基本層級指標仍然免費。

   1. **增強型主題層級監控**：以額外費用提供個別主題的指標。選擇此層級可獲得代理程式之間更詳細的主題效能檢視。此層級包含增強型代理程式層級監控和主題層級指標，例如指定主題的分層式儲存指標，以及每秒收到的訊息數量。

   1. **增強的分割區層級監控**：以額外費用為每個分割區提供最精細的指標檢視。選擇此層級可藉由擷取代理程式之間每個主題內每個分區的指標，而獲得最詳細的監控。此層級包含增強型主題層級監控和精細分區特定指標，例如偏移延遲指標。

   如需每個監控層級上標準和快速代理程式類型可用指標的詳細資訊，請參閱 [標準代理程式的 CloudWatch 指標](metrics-details.md)和 [Express 代理程式的 CloudWatch 指標](metrics-details-express.md)。

1. （選用） 如果您想要使用 JMX Exporter、Node Exporter 或兩者以 Prometheus 格式匯出指標，請選擇**使用 Prometheus 啟用開放監控**。如需有關此選項的詳細資訊，請參閱 [使用 Prometheus 監控](open-monitoring.md)。

1. （選用） 若要設定 MSK 叢集將代理程式日誌交付至各種 AWS 服務 以進行故障診斷和稽核，請選擇下列一或多個選項。如果這些目的地資源尚未存在，Amazon MSK 不會為您建立它們。如需詳細資訊，請參閱[代理程式日誌](msk-logging.md#broker-logs)。
   + **傳送至 Amazon CloudWatch Logs**：使用叢集、搜尋和視覺化功能將日誌傳送至 CloudWatch。您可以在不離開 的情況下查詢和分析日誌 AWS 管理主控台。
   + **交付至 Amazon S3**：將日誌儲存為 Amazon S3 儲存貯體中的檔案，以進行長期封存和批次分析。
   + **交付至 Amazon Data Firehose**：將日誌傳送至 Firehose 以自動交付至 Amazon OpenSearch Service 以進行即時故障診斷。

1. （選用） 若要協助識別、組織或搜尋叢集，請選擇**新增標籤**，將標籤新增為鍵/值對。例如，使用 **Load testing**和 的鍵值對，將標籤新增至您的叢集**Test**。

   如需在叢集中使用標籤的詳細資訊，請參閱 [標記 Amazon MSK 叢集](msk-tagging.md)。

1. 選擇**下一步**繼續進行。

## 步驟 6：檢閱叢集組態
<a name="review-cluster-custom-create"></a>

1. 檢閱叢集的設定。

   選擇**編輯**或**上**一個以變更您先前指定的任何設定，或返回上一個主控台畫面。

1. 選擇 **Create Cluster** (建立叢集)。

1. 在叢集詳細資訊頁面的叢集**摘要**區段中檢查此叢集的狀態。當 Amazon MSK 佈建叢集時，叢集狀態會從**建立**變更為**作用中**。叢集狀態為**作用中**時，您可以連線至叢集。如需有關叢集狀態的詳細資訊，請參閱[了解 MSK 佈建叢集狀態](msk-cluster-states.md)。