Acesso público - Amazon Managed Streaming for Apache Kafka

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acesso público

A Amazon MSK oferece a opção de ativar o acesso público aos corretores de MSK clusters que executam o Apache Kafka 2.6.0 ou versões posteriores. Por motivos de segurança, você não pode ativar o acesso público ao criar um MSK cluster. No entanto, você pode atualizar um cluster existente para torná-lo acessível ao público. Você pode criar um novo cluster e atualizá-lo para torná-lo acessível publicamente.

Você pode ativar o acesso público a um MSK cluster sem custo adicional, mas os custos padrão de transferência de AWS dados se aplicam à transferência de dados para dentro e para fora do cluster. Para obter informações sobre preços, consulte Amazon EC2 On-Demand Pricing.

Para ativar o acesso público a um cluster, primeiro certifique-se de que o cluster atenda a todas as seguintes condições:

  • As sub-redes associadas ao cluster devem ser públicas. Isso significa que as sub-redes devem ter uma tabela de rotas associada a um gateway da Internet conectado. Para obter informações sobre como criar e conectar um gateway da Internet, consulte Gateways da Internet no guia do VPC usuário da Amazon.

  • O controle de acesso não autenticado deve estar desativado e pelo menos um dos seguintes métodos de controle de acesso deve estar ativado:SASL/IAM,/, m. SASL SCRAM TLS Para obter informações sobre como atualizar o método de controle de acesso de um cluster, consulte Atualização das configurações de segurança de um cluster.

  • A criptografia dentro do cluster deve estar ativada. A configuração ativada é o padrão ao criar um cluster. Não é possível ativar a criptografia dentro do cluster para um cluster que tenha sido criado com ela desativada. Portanto, não é possível ativar o acesso público para um cluster que tenha sido criado com a criptografia no cluster desativada.

  • O tráfego de texto simples entre agentes e clientes deve estar desativado. Para obter informações sobre como desativá-lo se estiver ativado, consulte Atualização das configurações de segurança de um cluster.

  • Se você estiver usando os métodos de TLS controle de acessoSASL/SCRAMou m, deverá definir o Apache Kafka ACLs para seu cluster. Depois de definir o Apache Kafka ACLs para seu cluster, atualize a configuração do cluster para que a propriedade seja false allow.everyone.if.no.acl.found para o cluster. Para obter informações sobre como atualizar a configuração de um cluster, consulte Operações MSK de configuração da Amazon. Se você estiver usando o controle de IAM acesso e quiser aplicar políticas de autorização ou atualizar suas políticas de autorização, consulteIAMcontrole de acesso. Para obter informações sobre o Apache KafkaACLs, consulte. Apache Kafka ACLs

Depois de garantir que um MSK cluster atenda às condições listadas acima, você pode usar o AWS Management Console AWS CLI, o ou o Amazon MSK API para ativar o acesso público. Depois de ativar o acesso público a um cluster, você pode obter uma string pública de agentes de bootstrap para ele. Para obter informações sobre a obtenção de agentes de bootstrap para um cluster, consulte Obtendo os corretores de bootstrap para um cluster da Amazon MSK.

Importante

Além de ativar o acesso público, certifique-se de que os grupos de segurança do cluster tenham TCP regras de entrada que permitam o acesso público a partir do seu endereço IP. Recomendamos tornar essas regras o mais restritivas possível. Para obter informações sobre grupos de segurança e regras de entrada, consulte Grupos de segurança para você VPC no Guia do VPC usuário da Amazon. Para obter os números das portas, consulte Informações de porta. Para obter instruções sobre como alterar o grupo de segurança de um cluster, consulte Alterando o grupo de segurança de um MSK cluster da Amazon.

nota

Se você usar as instruções a seguir para ativar o acesso público e ainda não conseguir acessar o cluster, consulte Não é possível acessar o cluster que está com o acesso público ativado.

Ativar o acesso público usando o console

  1. Faça login no AWS Management Console e abra o MSK console da Amazon em https://console.aws.amazon.com/msk/casa? region=us-east-1#/home/.

  2. Na lista de clusters, selecione o cluster ao qual deseja ativar o acesso público.

  3. Escolha a guia Propriedades e, em seguida, encontre a seção Configurações de rede.

  4. Escolha Editar acesso público.

Ativando o acesso público usando o AWS CLI

  1. Execute o AWS CLI comando a seguir, substituindo ClusterArn e Current-Cluster-Version com a versão atual ARN e a versão atual do cluster. Para encontrar a versão atual do cluster, use a DescribeClusteroperação ou o comando AWS CLI describe-cluster. Uma versão de exemplo é KTVPDKIKX0DER.

    aws kafka update-connectivity --cluster-arn ClusterArn --current-version Current-Cluster-Version --connectivity-info '{"PublicAccess": {"Type": "SERVICE_PROVIDED_EIPS"}}'

    A saída desse update-connectivity comando se parece com o JSON exemplo a seguir.

    {
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}
    nota

    Para desativar o acesso público, use um AWS CLI comando semelhante, mas com as seguintes informações de conectividade:

    '{"PublicAccess": {"Type": "DISABLED"}}'

  2. Para obter o resultado da update-connectivity operação, execute o comando a seguir, substituindo ClusterOperationArn com o ARN que você obteve na saída do update-connectivity comando.

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    A saída desse describe-cluster-operation comando se parece com o JSON exemplo a seguir.

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "982168a3-939f-11e9-8a62-538df00285db",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2019-06-20T21:08:57.735Z",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "UPDATE_COMPLETE",
        "OperationType": "UPDATE_CONNECTIVITY",
        "SourceClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "DISABLED"
                }
            }
        },
        "TargetClusterInfo": {
            "ConnectivityInfo": {
                "PublicAccess": {
                    "Type": "SERVICE_PROVIDED_EIPS"
                }
            }
        }
    }
}

    Se OperationState tiver o valor UPDATE_IN_PROGRESS, aguarde um pouco e execute o comando describe-cluster-operation novamente.

Ativando o acesso público usando a Amazon MSK API

  • Para usar o API para ativar ou desativar o acesso público a um cluster, consulte UpdateConnectivity.

nota

Por motivos de segurança, a Amazon MSK não permite acesso público aos nós Apache ZooKeeper ou KRaft controladores.