网络访问与安全设置
本文介绍如何进行云消息队列 Confluent 版集群的网络访问与安全设置。
网络访问类型
云消息队列 Confluent 版集群提供阿里云VPC访问和公网访问方式。
阿里云VPC访问
VPC访问是指您在云消息队列 Confluent 版集群所在网络VPC内或者其它VPC访问和使用云消息队列 Confluent 版集群。此时,除Control Center提供公网访问方式外,其它集群组件无法从公网访问。
公网访问
公网访问是指您可以在公网外访问和使用云消息队列 Confluent 版集群。此时,阿里云VPC内仍然可以访问云消息队列 Confluent 版集群。
公网流量计费:云消息队列 Confluent 版集群公网访问使用阿里云CLB功能,由此产生的网络费用按照按量付费进行收费。
网络访问设置
您在创建云消息队列 Confluent 版集群时,除Control Center默认开公网外,其他组件公网默认不开,实例创建成功后可在实例详情页面的访问链接与接口页面开启其他组件的公网。
云消息队列 Confluent 版集群各类型网络域名
VPC域名
支持在同一VPC内访问,Load Balancer域名可正常使用。
VPC域名的pod实例域名格式为:
vpc-{{service}}-{{partInstanceId}}.alikafka.aliyuncs.com
。partInstanceId
即实例ID的部分。例如:实例ID为alikafka_confluent-cn-abcdef****
, 则 partInstanceId = abcdef****。云消息队列 Confluent 版各组件VPC域名
域名详情
Kafka Broker VPC访问域名
vpc-kafka-{{partInstanceId}}.alikafka.aliyuncs.com:9095
Confluent Mds VPC访问域名
vpc-kafka-{{partInstanceId}}.alikafka.aliyuncs.com:8090
Schema Registry VPC访问域名
vpc-schemaregistry-{{partInstanceId}}.alikafka.aliyuncs.com:8081
Kafka Rest Proxy VPC访问域名
vpc-kafkarestproxy-{{partInstanceId}}.alikafka.aliyuncs.com:8082
Connect VPC访问域名
vpc-connect-{{partInstanceId}}.alikafka.aliyuncs.com:8083
Confluent Ksql VPC访问域名
vpc-ksqldb-{{partInstanceId}}.alikafka.aliyuncs.com:8088
Control Center VPC访问域名
vpc-controlcenter-{{partInstanceId}}.alikafka.aliyuncs.com:9021
公网域名
支持在同一VPC内和跨VPC访问,Load Balancer域名均可正常使用。
云消息队列 Confluent 版各组件公网域名 | 域名详情 |
Kafka Broker公网访问域名 | pub-kafka-{{partInstanceId}}.alikafka.aliyuncs.com:9092 |
Confluent Mds公网访问域名 | pub-kafka-{{partInstanceId}}.alikafka.aliyuncs.com:443 |
Schema Registry公网访问域名 | pub-schemaregistry-{{partInstanceId}}.alikafka.aliyuncs.com:443 |
Kafka Rest Proxy公网访问域名 | pub-kafkarestproxy-{{partInstanceId}}.alikafka.aliyuncs.com:443 |
Connect公网访问域名 | pub-connect-{{partInstanceId}}.alikafka.aliyuncs.com:443 |
Confluent Ksql公网访问域名 | pub-ksqldb-{{partInstanceId}}.alikafka.aliyuncs.com:443 |
Control Center公网访问域名 | pub-controlcenter-{{partInstanceId}}.alikafka.aliyuncs.com:443 |
网络安全设置
用于外部网络访问云消息队列 Confluent 版集群。
云消息队列 Confluent 版集群提供数据传输加密以及访问控制功能。默认情况下,云消息队列 Confluent 版集群网络传输使用SSL加密以确保数据不会被监听泄漏。在连接集群时,默认使用相关的证书进行连接。云消息队列 Confluent 版集群提供如下SSL访问证书以满足不同场景下的SSL加密。
证书名称 | 使用说明 |
阿里云签名证书 | 公网/VPC网络访问Kafka Broker使用阿里云签名证书访问 |
如果您选择公网证书访问云消息队列 Confluent 版集群,当集群创建成功后会自动在您的阿里云账户下创建一系列的CLB实例。这些CLB实例开启了删除保护功能,不能随意删除。默认情况下,当您选择公网访问来配置集群后,所有公网IP均能访问云消息队列 Confluent 版集群,您可以使用云防火墙设置对云消息队列 Confluent 版集群公网域名的访问策略。
当您使用云防火墙时,务必设置正确的访问策略来确保云消息队列 Confluent 版集群的正常访问。
NAT网关配置
用于云消息队列 Confluent 版集群访问外部公网。
建议您为云消息队列 Confluent 版集群所在的VPC创建和管理SNAT条目,以便于云消息队列 Confluent 版集群能够访问公网。
当您开启如下服务后, 云消息队列 Confluent 版集群需要访问公网服务。
启用Control Center的邮件告警功能。
云消息队列 Confluent 版集群需要访问外部系统,如Mysql、Elasticsearch等。
如果云消息队列 Confluent 版集群需要访问外部系统,需要将SNAT公网出口的EIP加入到外部集群的允许访问列表中。