このトピックでは、ApsaraMQ for Confluent クラスターのネットワークアクセスとセキュリティ設定を構成する方法について説明します。
ネットワークアクセスの種類
Alibaba Cloud 仮想プライベートクラウド(VPC)およびインターネットから ApsaraMQ for Confluent クラスターにアクセスできます。
VPC アクセス
ApsaraMQ for Confluent では、クラスターがデプロイされている VPC または他の VPC から ApsaraMQ for Confluent クラスターにアクセスできます。この場合、Control Center を除くクラスターコンポーネントにはインターネットからアクセスできません。
インターネットアクセス
ApsaraMQ for Confluent では、インターネットから ApsaraMQ for Confluent クラスターにアクセスできます。この場合、ApsaraMQ for Confluent クラスターには、VPC からも引き続きアクセスできます。
ApsaraMQ for Confluent のインターネットアクセス機能には、クラシックロードバランサー(CLB)インスタンスが使用されます。この機能のインターネット料金は、(pay-as-you-go)ベースで課金されます。
ネットワークアクセスの構成
ApsaraMQ for Confluent インスタンスを作成すると、Control Center のみに対してインターネットアクセスが自動的に有効になります。インスタンスの作成後、[インスタンスの詳細] ページの左側のナビゲーションペインで [アクセスリンクとインターフェース] を選択することで、他のクラスターコンポーネントのインターネットアクセスを有効にできます。
ApsaraMQ for Confluent クラスターのエンドポイント
VPC エンドポイント
VPC エンドポイントは、クラスターが存在する VPC からクラスターコンポーネントにアクセスするために使用されます。
ポッドの VPC エンドポイントは、
vpc-{{service}}-{{partInstanceId}}.alikafka.aliyuncs.com形式です。partInstanceIdは、インスタンス ID の一部を指定します。たとえば、インスタンス ID がalikafka_confluent-cn-abcdef****の場合、partInstanceId の値は abcdef**** です。コンポーネント
VPC エンドポイント
Kafka ブローカー
vpc-kafka-{{partInstanceId}}.alikafka.aliyuncs.com:9095
Confluent MDS
vpc-kafka-{{partInstanceId}}.alikafka.aliyuncs.com:8090
Schema Registry
vpc-schemaregistry-{{partInstanceId}}.alikafka.aliyuncs.com:8081
Kafka Rest Proxy
vpc-kafkarestproxy-{{partInstanceId}}.alikafka.aliyuncs.com:8082
Connect
vpc-connect-{{partInstanceId}}.alikafka.aliyuncs.com:8083
Confluent KSQL
vpc-ksqldb-{{partInstanceId}}.alikafka.aliyuncs.com:8088
Control Center
vpc-controlcenter-{{partInstanceId}}.alikafka.aliyuncs.com:9021
パブリックエンドポイント
パブリックエンドポイントは、クラスターが存在する VPC から、または VPC 間でクラスターコンポーネントにアクセスするために使用されます。
コンポーネント | パブリックエンドポイント |
Kafka ブローカー | pub-kafka-{{partInstanceId}}.alikafka.aliyuncs.com:9092 |
Confluent MDS | pub-kafka-{{partInstanceId}}.alikafka.aliyuncs.com:443 |
Schema Registry | pub-schemaregistry-{{partInstanceId}}.alikafka.aliyuncs.com:443 |
Kafka Rest Proxy | pub-kafkarestproxy-{{partInstanceId}}.alikafka.aliyuncs.com:443 |
Connect | pub-connect-{{partInstanceId}}.alikafka.aliyuncs.com:443 |
Confluent KSQL | pub-ksqldb-{{partInstanceId}}.alikafka.aliyuncs.com:443 |
Control Center | pub-controlcenter-{{partInstanceId}}.alikafka.aliyuncs.com:443 |
ネットワークセキュリティ設定の構成
外部ネットワークから ApsaraMQ for Confluent クラスターにアクセスするには、ネットワークセキュリティ設定を構成する必要があります。
ApsaraMQ for Confluent は、暗号化データ転送機能とアクセス制御機能を提供します。デフォルトでは、ApsaraMQ for Confluent クラスターには Secure Sockets Layer(SSL)暗号化が使用され、ネットワーク転送中のデータの盗聴や漏洩を防ぎます。 ApsaraMQ for Confluent クラスターに接続すると、関連する証明書が自動的に使用されます。ApsaraMQ for Confluent は、さまざまなシナリオでの暗号化要件を満たすために、Alibaba Cloud 署名付き証明書を提供します。
証明書 | 説明 |
Alibaba Cloud 署名付き証明書 | この証明書は、インターネットまたは VPC から Kafka ブローカーにアクセスする場合に使用されます。 |
証明書を使用してインターネットから ApsaraMQ for Confluent クラスターにアクセスする場合、ApsaraMQ for Confluent インスタンスの作成後に、Alibaba Cloud アカウントに CLB インスタンスが自動的に作成されます。 CLB インスタンスでは削除保護が有効になっています。特に必要がない限り、削除しないでください。デフォルトでは、ApsaraMQ for Confluent クラスターのインターネットアクセスを有効にすると、すべてのパブリック IP アドレスを使用して ApsaraMQ for Confluent クラスターにアクセスできます。Cloud Firewall を使用して、ApsaraMQ for Confluent クラスターへのアクセスに使用されるパブリックエンドポイントのポリシーを指定できます。
ApsaraMQ for Confluent クラスターに想定どおりにアクセスできるように、アクセスポリシーの設定が有効であることを確認してください。
NAT ゲートウェイの構成
ApsaraMQ for Confluent クラスターで外部ネットワークにアクセスするには、NAT ゲートウェイを構成する必要があります。
ApsaraMQ for Confluent クラスターがデプロイされている VPC の SNAT エントリを作成および管理することをお勧めします。これにより、ApsaraMQ for Confluent クラスターはインターネットにアクセスできます。
以下のシナリオでは、Apsara for Confluent クラスターにインターネットアクセスが必要です。
Control Center でメールアラート機能が有効になっている。
ApsaraMQ for Confluent クラスターが MySQL や Elasticsearch などの外部システムにアクセスする必要がある。
ApsaraMQ for Confluent クラスターが外部システムにアクセスする必要がある場合は、NAT ゲートウェイの Elastic IP アドレス(EIP)を外部システムのホワイトリストに追加する必要があります。