云消息队列 Kafka 版提供默认接入点、SSL接入点和SASL接入点以适用不同的连接及安全需求。默认接入点适用于在保密性较高的VPC环境收发消息;SASL接入点适用于无需对传输链路加密但需对消息收发鉴权;需要链路加密和消息鉴权,建议使用SSL接入点。
基本概念
SASL是一种用于交换身份证书的验证机制。SASL支持两种机制验证身份:
PLAIN机制:一种简单的用户名密码校验机制。云消息队列 Kafka 版的PLAIN机制,支持不重启实例的情况下动态增加SASL用户。
SCRAM机制:一种在服务端和客户端采用哈希算法对用户名与密码进行身份校验的安全认证机制。云消息队列 Kafka 版使用SCRAM-SHA-256加密算法实现身份校验,比PLAIN机制安全性更高,同样支持不重启实例的情况下动态增加SASL用户。
SSL(Secure Sockets Layer):用以保障数据传输过程的安全,采用数据加密技术,防止数据在网络传输过程中被截取或者窃听。
背景信息
公网:公网环境必须对消息进行鉴权与加密,SASL的PLAIN机制必须与SSL一起用作传输层,才能确保消息在没有加密的情况下不会在线路上传输明文。
专有网络VPC:是完全隔离的网络环境,消息可以采用PLAINTEXT协议在安全的网络通道不加密传输。安全要求更高的场景下,消息需结合SASL身份验证鉴权之后再在安全通道传输。您可以根据消息传输的安全要求级别选择PLAIN机制或SCRAM机制进行身份认证。
实例的默认SASL用户仅提供身份校验,支持所有Topic和Group的读写权限。如果需要更细致的权限控制,您需开启ACL,创建SASL用户,按需赋予SASL用户向云消息队列 Kafka 版收发消息的权限。开启ACL之后,默认的SASL用户权限将失效。具体操作,请参见SASL用户授权。
公网/VPC实例接入点对比
公网/VPC实例既能通过公网,又能通过专有网络VPC访问云消息队列 Kafka 版。客户端可以通过SSL接入点、默认接入点或者SASL接入点接入云消息队列 Kafka 版。具体信息,请参见公网/VPC实例接入点对比。
网络类型 | 端口 | 接入点 | 协议 | 适用场景 |
公网 | 9093 | SSL接入点 | SASL_SSL | 消息传输过程需加密,消息收发需鉴权,支持以下两种机制验证身份:
|
专有网络VPC | 9092 | 默认接入点 | PLAINTEXT | 消息传输过程无需加密,消息收发无需鉴权。 |
9094 | SASL接入点 | SASL_PLAINTEXT | 消息传输过程无需加密,消息收发需鉴权,支持以下两种机制验证身份:
|
VPC实例接入点对比
VPC实例只能通过专有网络VPC访问云消息队列 Kafka 版。客户端可以通过默认接入点或者SASL接入点接入云消息队列 Kafka 版。具体信息,请参见VPC实例接入点对比。
网络类型 | 端口 | 接入点 | 协议 | 适用场景 |
专有网络VPC | 9092 | 默认接入点 | PLAINTEXT | 消息传输过程无需加密,消息收发无需鉴权。 |
9094 | SASL接入点 | SASL_PLAINTEXT | 消息传输过程无需加密,消息收发需鉴权,支持以下两种机制验证身份:
|