网络访问与安全设置

网络访问类型

云消息队列 Confluent 版集群提供阿里云VPC访问和公网访问方式。

• 阿里云VPC访问

  VPC访问是指您在云消息队列 Confluent 版集群所在网络VPC内或者其它VPC访问和使用云消息队列 Confluent 版集群。此时，除Control Center提供公网访问方式外，其它集群组件无法从公网访问。

• 公网访问

  公网访问是指您可以在公网外访问和使用云消息队列 Confluent 版集群。此时，阿里云VPC内仍然可以访问云消息队列 Confluent 版集群。

网络访问设置

您在创建云消息队列 Confluent 版集群时，除Control Center默认开公网外，其他组件公网默认不开，实例创建成功后可在实例详情页面的访问链接与接口页面开启其他组件的公网。

云消息队列 Confluent 版集群各类型网络域名

VPC域名

1. 支持在同一VPC内访问，Load Balancer域名可正常使用。

2. VPC域名的pod实例域名格式为：vpc-{{service}}-{{partInstanceId}}.alikafka.aliyuncs.com。partInstanceId即实例ID的部分。例如：实例ID为alikafka_confluent-cn-abcdef****, 则 partInstanceId = abcdef****。

   云消息队列 Confluent 版各组件VPC域名	域名详情
   Kafka Broker VPC访问域名	vpc-kafka-{{partInstanceId}}.alikafka.aliyuncs.com:9095
   Confluent Mds VPC访问域名	vpc-kafka-{{partInstanceId}}.alikafka.aliyuncs.com:8090
   Schema Registry VPC访问域名	vpc-schemaregistry-{{partInstanceId}}.alikafka.aliyuncs.com:8081
   Kafka Rest Proxy VPC访问域名	vpc-kafkarestproxy-{{partInstanceId}}.alikafka.aliyuncs.com:8082
   Connect VPC访问域名	vpc-connect-{{partInstanceId}}.alikafka.aliyuncs.com:8083
   Confluent Ksql VPC访问域名	vpc-ksqldb-{{partInstanceId}}.alikafka.aliyuncs.com:8088
   Control Center VPC访问域名	vpc-controlcenter-{{partInstanceId}}.alikafka.aliyuncs.com:9021

公网域名

支持在同一VPC内和跨VPC访问，Load Balancer域名均可正常使用。

网络安全设置

云消息队列 Confluent 版集群提供数据传输加密以及访问控制功能。默认情况下，云消息队列 Confluent 版集群网络传输使用SSL加密以确保数据不会被监听泄漏。在连接集群时，默认使用相关的证书进行连接。云消息队列 Confluent 版集群提供如下SSL访问证书以满足不同场景下的SSL加密。

如果您选择公网证书访问云消息队列 Confluent 版集群，当集群创建成功后会自动在您的阿里云账户下创建一系列的CLB实例。这些CLB实例开启了删除保护功能，不能随意删除。默认情况下，当您选择公网访问来配置集群后，所有公网IP均能访问云消息队列 Confluent 版集群，您可以使用云防火墙设置对云消息队列 Confluent 版集群公网域名的访问策略。

NAT网关配置

建议您为云消息队列 Confluent 版集群所在的VPC创建和管理SNAT条目，以便于云消息队列 Confluent 版集群能够访问公网。

当您开启如下服务后， 云消息队列 Confluent 版集群需要访问公网服务。

• 启用Control Center的邮件告警功能。

• 云消息队列 Confluent 版集群需要访问外部系统，如Mysql、Elasticsearch等。