您可以设置访问云消息队列 Kafka 版的白名单,配置在白名单中的IP地址与端口才允许访问云消息队列 Kafka 版实例。
前提条件
您已购买云消息队列 Kafka 版实例,且该实例处于服务中的状态。
实现原理
白名单功能基于用户安全组实现:
部署实例时如果未设置安全组参数,系统将默认创建一个安全组,此类安全组为系统安全组。
部署实例时如果传入了安全组参数,系统将默认创建一个安全组(系统安全组),同时关联部署时传入的安全组,此类安全组为自定义安全组。
多安全组的匹配策略与阿里云网络安全组一致,请参见 安全组规则。
自定义安全组多用于安全策略多实例共享,请注意自定义安全组变更对多实例的风险。
自定义安全组
云消息队列 Kafka 版开放如下端口,如需配置对应IP白名单,请针对端口配置安全组入方向允许策略的访问来源。
Kafka端口说明
端口 | 端口对应Kafka接入点 | 允许安全组类别 |
9092/9092 | 默认接入点(VPC) | 系统安全组/自定义安全组 |
9093/9093 | SSL接入点(公网) | 系统安全组 |
9094/9094 | SASL接入点(VPC) | 系统安全组/自定义安全组 |
9095/9095 | SSL接入点(VPC) | 系统安全组/自定义安全组 |
自定义安全组配置示例
在安全组详情页面,入方向增加规则。规则表单内容如下:
表单项 | 表单值 |
授权策略 | 允许 |
协议 | 自定义TCP |
访问来源 | 自定义允许访问Kafka实例的IP/IP段,如0.0.0.0/0。 |
访问目的 | 填写相应的Kafka端口。例如,允许访问来源的IP访问默认接入点(VPC),则访问目的设置为9092/9092。 |
每个Kafka实例最多关联5个自定义安全组。
自定义安全组的访问来源在Kafka实例白名单管理中可查看,但如果需要变更访问来源,请到安全组中操作。
系统安全组
注意事项
公网/VPC类型的实例默认白名单为0.0.0.0/0,允许通过SSL接入点访问实例,建议您设置白名单来限制访问IP。
VPC类型的实例默认白名单为部署时设置的vSwitch网段,即允许相同VPC内的同一vSwitch网段下的设备通过默认接入点访问实例。您可以将白名单设置为0.0.0.0/0即可实现VPC内互通。
增加白名单时,每一条白名单中可以添加多个IP地址和IP地址段,需使用半角逗号(,)进行分隔。白名单最多不超过200条。
支持删除或增加单条白名单。
允许删除最后一条白名单,删除后会导致云消息队列 Kafka 版集群此端口范围不可访问,请谨慎操作。
说明部署实例的时候,如果传入了安全组参数,那么使用这个安全组的多个实例的白名单是共享的,因为白名单配置功能是基于用户安全组的。如果没有传入安全组参数,则默认会为实例自动创建新的用户安全组,此时实例的白名单配置才是实例级别独立的。一般不推荐部署实例时传入安全组参数,共享白名单配置,因为这样会扩大误操作白名单配置的影响面,请注意风险。
添加白名单
请按以下步骤添加白名单IP地址或地址段。
登录云消息队列 Kafka 版控制台,在概览页面的资源分布区域,选择地域。
在实例列表页面,单击目标实例名称。
在实例详情页面的接入点信息区域,选择需要配置白名单的接入点,在其操作列,单击管理白名单。
在白名单管理页面,单击添加白名单分组,然后设置分组名称和组内白名单,白名单可以为IP地址或地址段,然后单击确定。
删除白名单
在实例详情页面,单击左侧导航栏的白名单管理。
找到需删除的IP地址或地址段所在的白名单分组,在其右侧单击修改。
在修改白名单分组面板,找到需要删除的IP地址或地址段,在其右侧单击删除,然后在面板底部单击修改。
相关文档
您也可以通过API来配置白名单,请参见变更IP白名单。
如果您的设备与Kafka实例处于不同VPC下,您可以使用高速通道、VPN网关、云企业网实现VPC内网互通,请参见如何选择私网类产品?。