ApsaraMQ for Kafka menyediakan endpoint default, Secure Sockets Layer (SSL), dan Simple Authentication and Security Layer (SASL) untuk memenuhi berbagai kebutuhan koneksi dan keamanan. Endpoint default cocok untuk pengiriman pesan dalam virtual private cloud (VPC) dengan persyaratan keamanan tinggi. Endpoint SASL digunakan ketika enkripsi transmisi tidak diperlukan tetapi autentikasi pesan diperlukan. Untuk mengenkripsi tautan transmisi dan mengautentikasi pesan, gunakan endpoint SSL.
Istilah
Mekanisme SASL digunakan oleh ApsaraMQ for Kafka untuk autentikasi identitas. Mekanisme SASL yang didukung adalah:
PLAIN: mekanisme autentikasi sederhana untuk verifikasi nama pengguna dan kata sandi. PLAIN pada ApsaraMQ for Kafka memungkinkan pembuatan pengguna SASL secara dinamis tanpa perlu memulai ulang instans.
SCRAM: mekanisme verifikasi nama pengguna dan kata sandi berbasis hash yang digunakan pada klien dan broker. Dibandingkan dengan PLAIN, algoritma enkripsi SCRAM-SHA-256 memberikan perlindungan keamanan lebih baik dan mendukung pembuatan pengguna SASL secara dinamis tanpa memulai ulang instans.
ApsaraMQ for Kafka menggunakan enkripsi SSL untuk melindungi keamanan data selama transmisi, mencegah intersepsi dan penyadapan data saat ditransfer melalui jaringan.
Informasi Latar Belakang
Internet: Saat mengakses instance ApsaraMQ for Kafka melalui Internet, pesan harus diautentikasi dan dienkripsi. Mekanisme PLAIN dari SASL harus digunakan bersama dengan SSL untuk memastikan bahwa pesan tidak ditransfer dalam teks biasa tanpa enkripsi.
VPC: VPC adalah lingkungan jaringan terisolasi. Saat mengakses instance ApsaraMQ for Kafka di VPC, pesan dapat ditransfer melalui saluran aman menggunakan protokol PLAINTEXT tanpa enkripsi. Jika Anda memiliki persyaratan keamanan tinggi, Anda dapat menggunakan mekanisme PLAIN atau SCRAM untuk autentikasi identitas SASL. Setelah autentikasi, pesan ditransfer melalui saluran aman sesuai dengan kebutuhan bisnis Anda.
Pengguna SASL default pada instance ApsaraMQ for Kafka digunakan untuk autentikasi identitas dan memiliki izin membaca serta menulis data ke semua topik dan grup konsumen yang dibuat pada instans. Untuk kontrol akses lebih rinci, aktifkan fitur daftar kontrol akses (ACL), buat pengguna SASL, dan berikan izin kepada pengguna tersebut untuk mengirim dan menerima pesan di instans ApsaraMQ for Kafka sesuai kebutuhan bisnis Anda. Setelah mengaktifkan ACL, izin pengguna SASL default menjadi tidak valid. Untuk informasi lebih lanjut, lihat Memberikan Izin kepada Pengguna SASL.
Endpoint untuk Instance Terhubung Internet dan VPC
Anda dapat mengakses instance ApsaraMQ for Kafka yang terhubung ke Internet dan VPC melalui Internet maupun di VPC. Gunakan endpoint SSL, default, atau SASL dari instans Anda untuk terhubung ke ApsaraMQ for Kafka dari klien. Untuk informasi lebih lanjut, lihat Perbandingan antara endpoint untuk instance terhubung Internet dan VPC.
Tabel 1. Perbandingan antara endpoint untuk instance terhubung Internet dan VPC
Tipe Jaringan | Nomor Port | Endpoint | Protokol | Skenario |
Internet | 9093 | Endpoint SSL | SASL_SSL | Enkripsi diperlukan selama transmisi pesan dan autentikasi identitas diperlukan selama produksi dan konsumsi pesan. Mekanisme berikut didukung untuk autentikasi identitas:
|
VPC | 9092 | Endpoint Default | PLAINTEXT | Enkripsi tidak diperlukan selama transmisi pesan dan tidak diperlukan autentikasi identitas selama produksi atau konsumsi pesan. |
9094 | Endpoint SASL | SASL_PLAINTEXT | Enkripsi tidak diperlukan selama transmisi pesan tetapi autentikasi identitas diperlukan selama produksi dan konsumsi pesan. Mekanisme berikut didukung untuk autentikasi identitas:
| |
9095 | Endpoint SSL | SASL_SSL | Enkripsi diperlukan selama transmisi pesan dan autentikasi identitas diperlukan selama produksi dan konsumsi pesan. Mekanisme berikut didukung untuk autentikasi identitas:
|
Jika Anda mengaktifkan ACL untuk instans selama penyebaran, sistem akan mengaktifkan endpoint SASL pada port 9094. Setelah mengaktifkan enkripsi transmisi VPC, sistem akan mengaktifkan endpoint SSL pada port 9095. Untuk informasi lebih lanjut, lihat Langkah 3: Menyebarkan Instans.
Jika Anda mengaktifkan ACL untuk instans yang telah disebarkan, sistem akan mengaktifkan endpoint SASL pada port 9094 dan endpoint SSL pada port 9095 secara bersamaan. Untuk informasi lebih lanjut, lihat Mengaktifkan ACL.
Endpoint untuk Instance Terhubung VPC
Anda hanya dapat mengakses instance ApsaraMQ for Kafka yang terhubung ke VPC di dalam VPC. Gunakan endpoint default, SASL, atau SSL untuk terhubung ke instans ApsaraMQ for Kafka dari klien. Untuk informasi lebih lanjut, lihat Perbandingan antara endpoint untuk instance terhubung VPC.
Tabel 2. Perbandingan antara endpoint untuk instance terhubung VPC
Tipe Jaringan | Port number | Endpoint | Protokol | Skenario |
VPC | 9092 | Endpoint Default | PLAINTEXT | Enkripsi tidak diperlukan selama transmisi pesan dan tidak diperlukan autentikasi identitas selama produksi dan konsumsi pesan. |
9094 | Endpoint SASL | SASL_PLAINTEXT | Enkripsi tidak diperlukan selama transmisi pesan tetapi autentikasi identitas diperlukan selama produksi dan konsumsi pesan. Mekanisme berikut didukung untuk autentikasi identitas:
| |
9095 | Endpoint SSL | SASL_SSL | Enkripsi diperlukan selama transmisi pesan dan autentikasi identitas diperlukan selama produksi dan konsumsi pesan. Mekanisme berikut didukung untuk autentikasi identitas:
|
Jika Anda mengaktifkan ACL untuk instans selama penyebaran, sistem akan mengaktifkan endpoint SASL pada port 9094. Setelah mengaktifkan enkripsi transmisi VPC, sistem akan mengaktifkan endpoint SSL pada port 9095. Untuk informasi lebih lanjut, lihat Langkah 3: Menyebarkan Instans.
Jika Anda mengaktifkan ACL untuk instans yang telah disebarkan, sistem akan mengaktifkan endpoint SASL pada port 9094 dan endpoint SSL pada port 9095 secara bersamaan. Untuk informasi lebih lanjut, lihat Mengaktifkan ACL.