Amazon MSK 的單一區域多 VPC 私有連線 - Amazon Managed Streaming for Apache Kafka
什麼是多 VPC 私有連線?多 VPC 私有連線的優點多 VPC 私有連線的需求和限制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon MSK 的單一區域多 VPC 私有連線

適用於 Amazon Managed Streaming for Apache Kafka (Amazon MSK) 叢集的多 VPC 私有連線 (採用 AWS PrivateLink 技術) 是一項功能,可讓您更快速地將託管於不同虛擬私有雲端 (VPCs) 和 AWS 帳戶中的 Kafka 用戶端連線至 Amazon MSK 叢集。

多重 VPC 私有連線是一種受管解決方案,可簡化多重 VPC 和跨帳戶連線的網路基礎架構。用戶端可以透過 PrivateLink 連線至 Amazon MSK 叢集,同時保留 AWS 網路中的所有流量。Amazon MSK 叢集的多 VPC 私有連線可在可使用 Amazon MSK 的所有 AWS 區域中使用。

主題

什麼是多 VPC 私有連線?

Amazon MSK 的多 VPC 私有連線是一種連線選項,可讓您將託管在不同虛擬私有雲端 (VPCs) 和 AWS 帳戶中的 Apache Kafka 用戶端連線至 MSK 叢集。

Amazon MSK 透過叢集政策簡化跨帳戶存取。這些政策允許叢集擁有者授予其他 AWS 帳戶的許可,以建立 MSK 叢集的私有連線。

多 VPC 私有連線的優點

其他連線解決方案相比,多 VPC 私有連線具備許多優點:

  • 它可自動化 AWS PrivateLink 連線解決方案的操作管理。

  • 它允許在不同 VPC 連線之間重疊 IP,不需要像其他 VPC 連線解決方案那樣,要維護不重疊的 IP、複雜的對等互連以及路由表。

您可以使用 MSK 叢集的叢集政策來定義哪些 AWS 帳戶有權設定 MSK 叢集的跨帳戶私有連線。跨帳戶管理員可以將許可委派給適當的角色或使用者。與 IAM 用戶端身分驗證搭配使用時,您還可以使用叢集政策,為連線用戶端精細定義 Kafka 資料平面許可。

多 VPC 私有連線的需求和限制

請注意執行多 VPC 私有連線的 MSK 叢集需求:

  • 僅 Apache Kafka 2.7.1 或更高版本支援多 VPC 私有連線。請確定與 MSK 叢集搭配使用的任何用戶端,執行的都是與該叢集相容的 Apache Kafka 版本。

  • 多 VPC 私有連線支援 IAM、TLS 和 SASL/SCRAM 身分驗證類型。未經身分驗證的叢集無法使用多 VPC 私有連線。

  • 如果您使用的是 SASL/SCRAM 或 mTLS 存取控制方法,必須為叢集設定 Apache Kafka ACL。首先,為叢集設定 Apache Kafka ACL。然後,更新叢集的組態,將叢集的屬性 allow.everyone.if.no.acl.found 設定為 false。如需有關更新叢集組態的資訊,請參閱中介裝置組態操作。如果您正在使用 IAM 存取控制,而且想要套用授權政策或更新授權政策,請參閱 IAM 存取控制。如需有關 Apache Kafka ACL 的詳細資訊,請參閱 Apache Kafka ACL

  • 多 VPC 私有連線不支援 t3.small 執行個體類型。

  • 跨 AWS 區域不支援多 VPC 私有連線,僅在相同區域內 AWS 的帳戶上。

  • 若要設定多 VPC 私有連線,您必須具有與叢集子網路相同的用戶端子網路數量。您也必須確保用戶端子網路和叢集子網路的可用區域 IDs相同。

  • Amazon MSK 不支援與 Zookeeper 節點的多 VPC 私有連線。