操作场景
操作步骤
说明:
一个实例最多可以创建5条路由,其中公网路由有且仅可以有一条。
操作场景:您购买实例时选择私有网络并选择了相应的 VPC 环境(例如 VPC A),表示仅能所选择的 VPC A 访问您的消息队列 CKafka 版服务(生产数据、消费数据等);若后续使用过程中发现其他 VPC 环境(例如 VPC B)有需求访问 VPC A 内的消息队列 CKafka 版服务,则可以通过配置接入方式,选择 VPC 网络的路由策略。
操作建议:为了保证安全性,该接入方式提供安全组绑定和 ACL 策略配置,以管理用户访问权限,请酌情配置。
操作步骤:
1. 登录 CKafka 控制台。
2. 在左侧导航栏单击实例列表,单击目标实例的“ID/名称”,进入基本信息页。
3. 在实例基本信息页面,单击接入方式模块中的添加路由策略。
4. 在弹窗中,路由类型选择 VPC 网络,选择好接入方式、网络以及是否绑定安全组(目前仅专业版支持)。
说明:
选择 VPC 网络接入时,支持指定 IP,当变更接入方式时可以通过指定 IP 来保持 IP 不发生变化。
5. 单击提交,完成 VPC 网络添加。
6. 单击操作列的查看所有 IP 和端口,可以查看所需要放通的 IP 和端口列表。
说明:
如果您的服务器配置设置了访问限制(安全组),请在服务器上放通如下端口区间(因 broker 扩容、迁移后端口会发生变化,请勿仅添加当前的列表端口,避免扩容迁移后的消息读写异常。)
VPC 路由需要放通的端口范围:9092~60000。
公网路由需要放通的端口范围:50000~53000。
支撑路由需要放通的端口范围:6000~12000。
操作场景:当您的消费者或者生产者处于自建机房或其他云服务时,可以通过公网访问方式对消息队列 CKafka 内的数据进行生产和消费。
操作建议:为了保证安全性,Kafka 提供了多种安全认证机制,主要分为 SSL 和 SASL2 大类。其中 SASL/PLAIN 是基于账号密码的认证方式,比较常用。消息队列 CKafka 支持 SASL_PLAINTEXT 和 SASL_SSL 认证,请您在选择公网域名接入时酌情配置接入鉴权方式。
操作步骤:
1. 登录 CKafka 控制台。
2. 在左侧导航栏单击实例列表,单击目标实例的“ID/名称”,进入基本信息页。
3. 在实例基本信息页面,单击接入方式模块中的添加路由策略。
4. 在弹窗中,路由类型选择公网域名接入,选择好接入方式。
5. 单击提交,完成公网路由策略添加。
6. 单击操作列的查看所有 IP 和端口,可以查看所需要放通的 IP 和端口列表。
说明:
如果您的服务器配置设置了访问限制(安全组),请在服务器上放通如下端口区间(因 broker 扩容、迁移后端口会发生变化,请勿仅添加当前的列表端口,避免扩容迁移后的消息读写异常。)
VPC 路由需要放通的端口范围:9092~60000
公网路由需要放通的端口范围:50000~53000
支撑路由需要放通的端口范围:6000~12000
CKafka 默认提供3Mbps 免费公网带宽,专业版实例可以额外升配公网带宽,具体操作参见 升配公网带宽。
如果选择 SASL_SSL 接入方式,请 点击下载证书 后使用。
VPC 接入绑定安全组
安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置实例的网络访问控制,控制实例级别的出入流量,是重要的网络安全隔离手段。目前 CKafka 仅专业版支持实例绑定安全组。
安全组特点
安全组是一个逻辑上的分组,您可以将同一地域内具有相同网络安全隔离需求的CKafka、云服务器、云数据库等实例加到同一个安全组内。
在使用消息队列 CKafka 时,通过实例绑定安全组,以及配置 ACL 策略,为内网传输中的用户访问控制提供了双重保障,增强对 Topic 等资源的生产消费权限控制。
绑定安全组
您可以将有相同防护需求的实例加入一个安全组,而无需为每一个实例都配置一个单独的安全组。
不建议一个实例绑定过多安全组,不同安全组规则的冲突可能导致网络不通。
绑定方法
1. 实例创建后,通过控制台配置 VPC 路由接入,在添加路由策略时,打开绑定安全组按钮,可以进行安全组绑定。
2. 单击提交后,在控制台接入方式中,可以单击查看,查看对应 VPC 接入点已经绑定的安全组。
3. 单击右上方配置安全组,可以编辑安全组绑定。
规则优先级
安全组内规则具有优先级。规则优先级按列表位置从上至下依次递减,即列表顶端规则优先级最高,最先匹配;列表底端规则优先级最低,最后匹配。
若有规则冲突,则默认匹配位置更前的规则。
当有流量入/出绑定某安全组的实例时,将从安全组规则列表顶端的规则开始逐条匹配至最后一条。如果匹配某一条规则成功,允许通过,则不再匹配该规则之后的任何规则。
