Topik ini menjelaskan cara mengonfigurasi pengaturan akses jaringan dan keamanan untuk kluster ApsaraMQ for Confluent, mencakup jenis akses jaringan, format titik akhir, pengaturan keamanan, serta akses outbound melalui gerbang NAT.
Akses VPC vs. akses Internet
ApsaraMQ for Confluent mendukung dua jenis akses jaringan. Pilih jenis yang sesuai dengan beban kerja Anda.
| Akses VPC | Akses Internet | |
|---|---|---|
| Konektivitas | Akses dari virtual private cloud (VPC) tempat kluster berada atau dari VPC lainnya. Komponen kluster selain Control Center tidak dapat diakses dari Internet. | Akses dari Internet. Akses VPC tetap tersedia. |
| Lingkup default | Semua komponen | Hanya Control Center. Aktifkan komponen lain setelah pembuatan instans. |
| Keamanan | Enkripsi SSL (diaktifkan secara default) | Enkripsi SSL (diaktifkan secara default) + Classic Load Balancer (CLB) |
Akses Internet menggunakan instans CLB yang dikenai biaya transfer data berdasarkan skema pay-as-you-go.
Aktifkan akses Internet untuk komponen kluster
Saat membuat instans ApsaraMQ for Confluent, akses Internet secara otomatis hanya diaktifkan untuk Control Center. Untuk mengaktifkan akses Internet pada komponen lain:
Buka halaman Instance Details instans ApsaraMQ for Confluent Anda.
Pada panel navigasi kiri, pilih Access Links and Interfaces.
Aktifkan akses Internet untuk komponen yang diperlukan.
Referensi titik akhir
Setiap kluster ApsaraMQ for Confluent menyediakan titik akhir VPC dan titik akhir publik. Nama host mengikuti format berikut:
{prefix}-{service}-{partInstanceId}.alikafka.aliyuncs.com:{port}| Segmen | Deskripsi | Contoh |
|---|---|---|
{prefix} | vpc untuk titik akhir VPC, pub untuk titik akhir publik | vpc, pub |
{service} | Identifier komponen | kafka, schemaregistry, connect |
{partInstanceId} | Akhiran dari ID instans | Jika ID instans adalah alikafka_confluent-cn-abcdef****, nilainya adalah abcdef**** |
Titik akhir VPC
Gunakan titik akhir VPC untuk mengakses komponen kluster dari VPC tempat kluster berada.
| Komponen | Titik akhir VPC |
|---|---|
| Kafka broker | vpc-kafka-{partInstanceId}.alikafka.aliyuncs.com:9095 |
| Confluent MDS | vpc-kafka-{partInstanceId}.alikafka.aliyuncs.com:8090 |
| Schema Registry | vpc-schemaregistry-{partInstanceId}.alikafka.aliyuncs.com:8081 |
| Kafka Rest Proxy | vpc-kafkarestproxy-{partInstanceId}.alikafka.aliyuncs.com:8082 |
| Connect | vpc-connect-{partInstanceId}.alikafka.aliyuncs.com:8083 |
| Confluent KSQL | vpc-ksqldb-{partInstanceId}.alikafka.aliyuncs.com:8088 |
| Control Center | vpc-controlcenter-{partInstanceId}.alikafka.aliyuncs.com:9021 |
Titik akhir publik
Gunakan titik akhir publik untuk mengakses komponen kluster dari luar VPC tempat kluster berada atau lintas VPC.
| Komponen | Titik akhir publik |
|---|---|
| Kafka broker | pub-kafka-{partInstanceId}.alikafka.aliyuncs.com:9092 |
| Confluent MDS | pub-kafka-{partInstanceId}.alikafka.aliyuncs.com:443 |
| Schema Registry | pub-schemaregistry-{partInstanceId}.alikafka.aliyuncs.com:443 |
| Kafka Rest Proxy | pub-kafkarestproxy-{partInstanceId}.alikafka.aliyuncs.com:443 |
| Connect | pub-connect-{partInstanceId}.alikafka.aliyuncs.com:443 |
| Confluent KSQL | pub-ksqldb-{partInstanceId}.alikafka.aliyuncs.com:443 |
| Control Center | pub-controlcenter-{partInstanceId}.alikafka.aliyuncs.com:443 |
Enkripsi SSL dan kontrol akses
Jika Anda ingin mengakses kluster ApsaraMQ for Confluent dari jaringan eksternal, Anda harus mengonfigurasi pengaturan keamanan jaringan.
Enkripsi SSL
ApsaraMQ for Confluent menyediakan transmisi data terenkripsi dan kontrol akses. Enkripsi SSL diaktifkan secara default untuk semua kluster ApsaraMQ for Confluent guna mencegah penyadapan atau kebocoran data selama transmisi jaringan. Sertifikat yang ditandatangani oleh Alibaba Cloud diterapkan secara otomatis.
| Sertifikat | Lingkup |
|---|---|
| Sertifikat yang ditandatangani oleh Alibaba Cloud | Akses Kafka broker dari Internet dan VPC |
Kontrol akses Internet dengan Cloud Firewall
Saat Anda mengaktifkan akses Internet, instans CLB dibuat di Akun Alibaba Cloud Anda dengan perlindungan penghapusan aktif.
Jangan menghapus instans CLB kecuali benar-benar diperlukan.
Secara default, semua Alamat IP publik dapat mengakses kluster. Untuk membatasi akses, konfigurasikan kebijakan untuk Titik akhir publik melalui Cloud Firewall.
Pastikan kebijakan akses Anda valid. Kebijakan yang salah dapat memblokir koneksi yang seharusnya ke kluster.
Siapkan gerbang NAT untuk akses outbound
Jika kluster ApsaraMQ for Confluent Anda perlu mengakses layanan eksternal, siapkan gerbang NAT dengan entri SNAT untuk VPC tempat kluster berada.
Skenario umum yang memerlukan akses outbound:
Mengirim notifikasi email dari Control Center
Menghubungkan ke sistem eksternal seperti MySQL atau Elasticsearch
Untuk menyiapkan akses outbound:
Buat dan kelola entri SNAT untuk VPC tempat kluster ApsaraMQ for Confluent Anda ditempatkan.
Tambahkan alamat IP elastis (EIP) gerbang NAT ke daftar putih setiap sistem eksternal yang perlu diakses oleh kluster.
Tanpa EIP gerbang NAT dalam daftar putih sistem eksternal, kluster tidak dapat terhubung ke sistem tersebut.