Destinos de Apache Kafka Virtual Private Cloud (VPC)

La acción de regla de Apache Kafka enruta los datos a un clúster de Apache Kafka en una Amazon Virtual Private Cloud (Amazon VPC). La configuración de la VPC utilizada por la acción de regla de Apache Kafka se habilita automáticamente cuando se especifica el destino de la VPC para la acción de regla.

Un destino de nube privada virtual (VPC) de Apache Kafka contiene una lista de subredes dentro de la VPC. El motor de reglas crea una interfaz de red elástica en cada subred especificada en esta lista. A fin de obtener más información sobre las interfaces de red, consulte Interfaces de red elástica en la Guía del usuario de Amazon EC2.

Requisitos y consideraciones

• Si utiliza un clúster de Apache Kafka autogestionado al que se accederá mediante un punto de conexión público a través de Internet:

  • Cree una puerta de enlace NAT para las instancias de sus subredes. La puerta de enlace NAT tiene una dirección IP pública que puede conectarse a Internet, lo que permite al motor de reglas reenviar sus mensajes al clúster público de Kafka.

  • Asigne una dirección IP elástica con las interfaces de red elásticas (ENIs) que crea el destino de la Nube Privada Virtual (VPC) de Apache Kafka. Los grupos de seguridad que utilice deben estar configurados para bloquear el tráfico entrante.

    nota

    Si el destino de la Nube Privada Virtual (VPC) de Apache Kafka está deshabilitado y, a continuación, se vuelve a activar, debe volver a asociar el elástico al nuevo. IPs ENIs

• Si un destino de la Nube Privada Virtual (VPC) de Apache Kafka no recibe tráfico durante 30 días seguidos, se deshabilitará.

• Si algún recurso utilizado por el destino de la Nube Privada Virtual (VPC) de Apache Kafka cambia, el destino se deshabilitará y no se podrá utilizar.

• Algunos cambios que pueden deshabilitar un destino de nube privada virtual (VPC) de Apache Kafka incluyen:

  • Eliminar la VPC, las subredes, los grupos de seguridad o el rol utilizado.

  • Modificar el rol para que deje de tener los permisos necesarios.

  • Alcanzar casi la capacidad de la subred, lo que nos impide aplicar los parches de FedRAMP.

  • Deshabilitar el destino.

Precios

A efectos de fijación de precios, se mide una acción de regla de VPC además de la acción que envía un mensaje a un recurso cuando el recurso está en su VPC. Para obtener información sobre precios, consulte Precios de AWS IoT Core.

Creación de destinos de nube privada virtual (VPC) de Apache Kafka

Para crear un destino de nube privada virtual (VPC) de Apache Kafka, utilice la API o la CreateTopicRuleDestinationconsola. AWS IoT Core

Al crear un destino, debe especificar la siguiente información.

vpcId

El identificador único de Amazon VPC.

subnetIds

Una lista de subredes en las que el motor de reglas crea interfaces de red elásticas. El motor de reglas asigna una única interfaz de red para cada subred de la lista.

securityGroups (opcional)

Lista de grupos de seguridad que se aplicarán a las interfaces de red.

roleArn

El nombre de recurso de Amazon (ARN) de un rol que tiene permiso para crear interfaces de red en su nombre.

Este ARN debería tener asociada una política similar al siguiente ejemplo.

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateNetworkInterfacePermission",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/VPCDestinationENI": "true"
            }
        }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface",
                    "aws:RequestTag/VPCDestinationENI": "true"
            }
        }
        }
    ]
}
                

Creación de un destino de nube privada virtual (VPC) de Apache Kafka mediante AWS CLI

El siguiente ejemplo muestra cómo crear un destino mediante. AWS CLI

aws --region regions iot create-topic-rule-destination --destination-configuration 'vpcConfiguration={subnetIds=["subnet-123456789101230456"],securityGroups=[],vpcId="vpc-123456789101230456",roleArn="arn:aws:iam::123456789012:role/role-name"}'
                

Tras ejecutar este comando, el estado del destino seráIN_PROGRESS. Transcurridos unos minutos, su estado cambiará a ERROR (si el comando no se ejecuta correctamente) o ENABLED. Cuando el estado de destino es ENABLED, está lista para su uso.

Puede usar el siguiente comando para obtener el estado de su destino de Apache Kafka Virtual Private Cloud (VPC).

aws --region region iot get-topic-rule-destination --arn "VPCDestinationARN"
                

Creación de un destino de nube privada virtual (VPC) de Apache Kafka mediante la consola AWS IoT Core

Los siguientes pasos describen cómo crear un destino mediante la AWS IoT Core consola.

1. Navegue hasta la AWS IoT Core consola. En el panel izquierdo, en la pestaña Actuar, seleccione Destinos.

2. Escriba valores en los siguientes campos:

   • ID de VPC

   • Subred IDs

   • Security Group

3. Seleccione un rol que tenga los permisos necesarios para crear interfaces de red. El ejemplo anterior de política contiene estos permisos.

Cuando el estado de destino de la Nube Privada Virtual (VPC) de Apache Kafka esté HABILITADO, estará listo para usarse.