すべてのプロダクト
Search
ドキュメントセンター

ApsaraMQ for Kafka:ネットワークアクセスとセキュリティ設定の構成

最終更新日:Mar 11, 2026

このトピックでは、ApsaraMQ for Confluent クラスターのネットワークアクセスとセキュリティ設定を構成する方法について説明します。ネットワークアクセスタイプ、エンドポイント形式、セキュリティ設定、および NAT ゲートウェイを介したアウトバウンドアクセスについて説明します。

VPC アクセスとインターネットアクセス

ApsaraMQ for Confluent は、2 種類のネットワークアクセスタイプをサポートしています。ワークロードに一致するタイプを選択してください。

VPC アクセスインターネットアクセス
接続性クラスターの VPC (Virtual Private Cloud) または他の VPC からのアクセス。Control Center を除くクラスターコンポーネントは、インターネットからアクセスできません。インターネットからのアクセス。VPC アクセスは引き続き利用可能です。
デフォルトスコープすべてのコンポーネントControl Center のみ。インスタンス作成後に他のコンポーネントを有効にしてください。
セキュリティSSL 暗号化 (デフォルトで有効)SSL 暗号化 (デフォルトで有効) + クラシックロードバランサー (CLB)
重要

インターネットアクセスでは CLB インスタンスが使用され、従量課金でデータ転送料金が発生します。

クラスターコンポーネントのインターネットアクセス有効化

ApsaraMQ for Confluent インスタンスを作成すると、Control Center のみが自動的にインターネットアクセスが有効になります。他のコンポーネントのインターネットアクセスを有効にするには、次の手順を実行します。

  1. ご利用の ApsaraMQ for Confluent インスタンスの [インスタンス詳細] ページを開きます。

  2. 左側のナビゲーションウィンドウで、[アクセスリンクとインターフェース] を選択します。

  3. 必要なコンポーネントのインターネットアクセスを有効にします。

エンドポイントリファレンス

各 ApsaraMQ for Confluent クラスターは、VPC エンドポイントとパブリックエンドポイントを提供します。ホスト名は次の形式に従います。

{prefix}-{service}-{partInstanceId}.alikafka.aliyuncs.com:{port}
セグメント説明
{prefix}vpc、パブリックエンドポイントの場合は pubvpcpub
{service}コンポーネント識別子kafkaschemaregistryconnect
{partInstanceId}インスタンス ID のサフィックスインスタンス ID が alikafka_confluent-cn-abcdef**** の場合、値は abcdef****

VPC エンドポイント

クラスターが存在する VPC からクラスターコンポーネントにアクセスするには、VPC エンドポイントを使用します。

コンポーネントVPC エンドポイント
Kafka ブローカーvpc-kafka-{partInstanceId}.alikafka.aliyuncs.com:9095
Confluent MDSvpc-kafka-{partInstanceId}.alikafka.aliyuncs.com:8090
Schema Registryvpc-schemaregistry-{partInstanceId}.alikafka.aliyuncs.com:8081
Kafka Rest Proxyvpc-kafkarestproxy-{partInstanceId}.alikafka.aliyuncs.com:8082
Connectvpc-connect-{partInstanceId}.alikafka.aliyuncs.com:8083
Confluent KSQLvpc-ksqldb-{partInstanceId}.alikafka.aliyuncs.com:8088
Control Centervpc-controlcenter-{partInstanceId}.alikafka.aliyuncs.com:9021

パブリックエンドポイント

クラスターが存在する VPC または VPC 間でクラスターコンポーネントにアクセスするには、パブリックエンドポイントを使用します。

コンポーネントパブリックエンドポイント
Kafka ブローカーpub-kafka-{partInstanceId}.alikafka.aliyuncs.com:9092
Confluent MDSpub-kafka-{partInstanceId}.alikafka.aliyuncs.com:443
Schema Registrypub-schemaregistry-{partInstanceId}.alikafka.aliyuncs.com:443
Kafka Rest Proxypub-kafkarestproxy-{partInstanceId}.alikafka.aliyuncs.com:443
Connectpub-connect-{partInstanceId}.alikafka.aliyuncs.com:443
Confluent KSQLpub-ksqldb-{partInstanceId}.alikafka.aliyuncs.com:443
Control Centerpub-controlcenter-{partInstanceId}.alikafka.aliyuncs.com:443

SSL 暗号化とアクセスの制御

説明

外部ネットワークから ApsaraMQ for Confluent クラスターにアクセスする場合は、ネットワークセキュリティ設定を構成する必要があります。

SSL 暗号化

ApsaraMQ for Confluent は、暗号化されたデータ伝送とアクセスの制御を提供します。すべての ApsaraMQ for Confluent クラスターでは、ネットワーク伝送中にデータが傍受されたり漏洩したりするのを防ぐために、SSL 暗号化がデフォルトで有効になっています。Alibaba Cloud 署名付き証明書は自動的に適用されます。

証明書スコープ
Alibaba Cloud 署名付き証明書インターネットおよび VPC からの Kafka ブローカーアクセス

Cloud Firewall によるインターネットアクセスの制御

インターネットアクセスを有効にすると、削除保護が有効になった CLB インスタンスがご利用の Alibaba Cloud アカウントに作成されます。

  • 特に必要とされない限り、CLB インスタンスを削除しないでください

  • デフォルトでは、すべてのパブリック IP アドレスがクラスターにアクセスできます。アクセスを制限するには、Cloud Firewall を介してパブリックエンドポイントのポリシーを構成します。

重要

アクセスポリシーが有効であることを確認してください。不正確なポリシーは、クラスターへの予期される接続をブロックする可能性があります。

アウトバウンドアクセス用の NAT ゲートウェイ設定

ご利用の ApsaraMQ for Confluent クラスターが外部サービスに到達する必要がある場合は、クラスターの VPC 用に SNAT エントリを持つ NAT ゲートウェイを設定してください。

アウトバウンドアクセスを必要とする一般的なシナリオ:

  • Control Center からのメールアラート送信

  • MySQL や Elasticsearch などの外部システムへの接続

アウトバウンドアクセスを設定するには、次の手順を実行します。

  1. ご利用の ApsaraMQ for Confluent クラスターがデプロイされている VPC 用に、SNAT エントリを作成および管理します。

  2. NAT ゲートウェイの Elastic IP アドレス (EIP) を、クラスターがアクセスする必要がある各外部システムのホワイトリストに追加します。

重要

外部システムのホワイトリストに NAT ゲートウェイの EIP がないと、クラスターはそのシステムに接続できません。