このトピックでは、ApsaraMQ for Confluent クラスターのネットワークアクセスとセキュリティ設定を構成する方法について説明します。ネットワークアクセスタイプ、エンドポイント形式、セキュリティ設定、および NAT ゲートウェイを介したアウトバウンドアクセスについて説明します。
VPC アクセスとインターネットアクセス
ApsaraMQ for Confluent は、2 種類のネットワークアクセスタイプをサポートしています。ワークロードに一致するタイプを選択してください。
| VPC アクセス | インターネットアクセス | |
|---|---|---|
| 接続性 | クラスターの VPC (Virtual Private Cloud) または他の VPC からのアクセス。Control Center を除くクラスターコンポーネントは、インターネットからアクセスできません。 | インターネットからのアクセス。VPC アクセスは引き続き利用可能です。 |
| デフォルトスコープ | すべてのコンポーネント | Control Center のみ。インスタンス作成後に他のコンポーネントを有効にしてください。 |
| セキュリティ | SSL 暗号化 (デフォルトで有効) | SSL 暗号化 (デフォルトで有効) + クラシックロードバランサー (CLB) |
インターネットアクセスでは CLB インスタンスが使用され、従量課金でデータ転送料金が発生します。
クラスターコンポーネントのインターネットアクセス有効化
ApsaraMQ for Confluent インスタンスを作成すると、Control Center のみが自動的にインターネットアクセスが有効になります。他のコンポーネントのインターネットアクセスを有効にするには、次の手順を実行します。
ご利用の ApsaraMQ for Confluent インスタンスの [インスタンス詳細] ページを開きます。
左側のナビゲーションウィンドウで、[アクセスリンクとインターフェース] を選択します。
必要なコンポーネントのインターネットアクセスを有効にします。
エンドポイントリファレンス
各 ApsaraMQ for Confluent クラスターは、VPC エンドポイントとパブリックエンドポイントを提供します。ホスト名は次の形式に従います。
{prefix}-{service}-{partInstanceId}.alikafka.aliyuncs.com:{port}| セグメント | 説明 | 例 |
|---|---|---|
{prefix} | vpc、パブリックエンドポイントの場合は pub | vpc、pub |
{service} | コンポーネント識別子 | kafka、schemaregistry、connect |
{partInstanceId} | インスタンス ID のサフィックス | インスタンス ID が alikafka_confluent-cn-abcdef**** の場合、値は abcdef**** |
VPC エンドポイント
クラスターが存在する VPC からクラスターコンポーネントにアクセスするには、VPC エンドポイントを使用します。
| コンポーネント | VPC エンドポイント |
|---|---|
| Kafka ブローカー | vpc-kafka-{partInstanceId}.alikafka.aliyuncs.com:9095 |
| Confluent MDS | vpc-kafka-{partInstanceId}.alikafka.aliyuncs.com:8090 |
| Schema Registry | vpc-schemaregistry-{partInstanceId}.alikafka.aliyuncs.com:8081 |
| Kafka Rest Proxy | vpc-kafkarestproxy-{partInstanceId}.alikafka.aliyuncs.com:8082 |
| Connect | vpc-connect-{partInstanceId}.alikafka.aliyuncs.com:8083 |
| Confluent KSQL | vpc-ksqldb-{partInstanceId}.alikafka.aliyuncs.com:8088 |
| Control Center | vpc-controlcenter-{partInstanceId}.alikafka.aliyuncs.com:9021 |
パブリックエンドポイント
クラスターが存在する VPC または VPC 間でクラスターコンポーネントにアクセスするには、パブリックエンドポイントを使用します。
| コンポーネント | パブリックエンドポイント |
|---|---|
| Kafka ブローカー | pub-kafka-{partInstanceId}.alikafka.aliyuncs.com:9092 |
| Confluent MDS | pub-kafka-{partInstanceId}.alikafka.aliyuncs.com:443 |
| Schema Registry | pub-schemaregistry-{partInstanceId}.alikafka.aliyuncs.com:443 |
| Kafka Rest Proxy | pub-kafkarestproxy-{partInstanceId}.alikafka.aliyuncs.com:443 |
| Connect | pub-connect-{partInstanceId}.alikafka.aliyuncs.com:443 |
| Confluent KSQL | pub-ksqldb-{partInstanceId}.alikafka.aliyuncs.com:443 |
| Control Center | pub-controlcenter-{partInstanceId}.alikafka.aliyuncs.com:443 |
SSL 暗号化とアクセスの制御
外部ネットワークから ApsaraMQ for Confluent クラスターにアクセスする場合は、ネットワークセキュリティ設定を構成する必要があります。
SSL 暗号化
ApsaraMQ for Confluent は、暗号化されたデータ伝送とアクセスの制御を提供します。すべての ApsaraMQ for Confluent クラスターでは、ネットワーク伝送中にデータが傍受されたり漏洩したりするのを防ぐために、SSL 暗号化がデフォルトで有効になっています。Alibaba Cloud 署名付き証明書は自動的に適用されます。
| 証明書 | スコープ |
|---|---|
| Alibaba Cloud 署名付き証明書 | インターネットおよび VPC からの Kafka ブローカーアクセス |
Cloud Firewall によるインターネットアクセスの制御
インターネットアクセスを有効にすると、削除保護が有効になった CLB インスタンスがご利用の Alibaba Cloud アカウントに作成されます。
特に必要とされない限り、CLB インスタンスを削除しないでください。
デフォルトでは、すべてのパブリック IP アドレスがクラスターにアクセスできます。アクセスを制限するには、Cloud Firewall を介してパブリックエンドポイントのポリシーを構成します。
アクセスポリシーが有効であることを確認してください。不正確なポリシーは、クラスターへの予期される接続をブロックする可能性があります。
アウトバウンドアクセス用の NAT ゲートウェイ設定
ご利用の ApsaraMQ for Confluent クラスターが外部サービスに到達する必要がある場合は、クラスターの VPC 用に SNAT エントリを持つ NAT ゲートウェイを設定してください。
アウトバウンドアクセスを必要とする一般的なシナリオ:
Control Center からのメールアラート送信
MySQL や Elasticsearch などの外部システムへの接続
アウトバウンドアクセスを設定するには、次の手順を実行します。
ご利用の ApsaraMQ for Confluent クラスターがデプロイされている VPC 用に、SNAT エントリを作成および管理します。
NAT ゲートウェイの Elastic IP アドレス (EIP) を、クラスターがアクセスする必要がある各外部システムのホワイトリストに追加します。
外部システムのホワイトリストに NAT ゲートウェイの EIP がないと、クラスターはそのシステムに接続できません。