ApsaraMQ for Kafka：網路訪問與安全設定

網路訪問類型

雲訊息佇列 Confluent 版叢集提供阿里雲VPC訪問和公網訪問方式。

• 阿里雲VPC訪問

  VPC訪問是指您在雲訊息佇列 Confluent 版叢集所在網路VPC內或者其它VPC訪問和使用雲訊息佇列 Confluent 版叢集。此時，除Control Center提供公網訪問方式外，其它叢集組件無法從公網訪問。

• 公網訪問

  公網訪問是指您可以在公網外訪問和使用雲訊息佇列 Confluent 版叢集。此時，阿里雲VPC內仍然可以訪問雲訊息佇列 Confluent 版叢集。

網路訪問設定

您在建立雲訊息佇列 Confluent 版叢集時，除Control Center預設開公網外，其他組件公網預設不開，執行個體建立成功後可在執行個體詳情頁面的訪問連結與介面頁面開啟其他組件的公網。

雲訊息佇列 Confluent 版叢集各類型網路網域名稱

VPC網域名稱

1. 支援在同一VPC內訪問，Load Balancer網域名稱可正常使用。

2. VPC網域名稱的pod執行個體網域名稱格式為：vpc-{{service}}-{{partInstanceId}}.alikafka.aliyuncs.com。partInstanceId即執行個體ID的部分。例如：執行個體ID為alikafka_confluent-cn-abcdef****, 則 partInstanceId = abcdef****。

   雲訊息佇列 Confluent 版各組件VPC網域名稱	網域名稱詳情
   Kafka Broker VPC訪問網域名稱	vpc-kafka-{{partInstanceId}}.alikafka.aliyuncs.com:9095
   Confluent Mds VPC訪問網域名稱	vpc-kafka-{{partInstanceId}}.alikafka.aliyuncs.com:8090
   Schema Registry VPC訪問網域名稱	vpc-schemaregistry-{{partInstanceId}}.alikafka.aliyuncs.com:8081
   Kafka Rest Proxy VPC訪問網域名稱	vpc-kafkarestproxy-{{partInstanceId}}.alikafka.aliyuncs.com:8082
   Connect VPC訪問網域名稱	vpc-connect-{{partInstanceId}}.alikafka.aliyuncs.com:8083
   Confluent Ksql VPC訪問網域名稱	vpc-ksqldb-{{partInstanceId}}.alikafka.aliyuncs.com:8088
   Control Center VPC訪問網域名稱	vpc-controlcenter-{{partInstanceId}}.alikafka.aliyuncs.com:9021

公網網域名稱

支援在同一VPC內和跨VPC訪問，Load Balancer網域名稱均可正常使用。

網路安全設定

雲訊息佇列 Confluent 版叢集提供資料轉送加密以及存取控制功能。預設情況下，雲訊息佇列 Confluent 版叢集網路傳輸使用SSL加密以確保資料不會被監聽泄漏。在串連叢集時，預設使用相關的認證進行串連。雲訊息佇列 Confluent 版叢集提供如下SSL訪問認證以滿足不同情境下的SSL加密。

如果您選擇公網認證訪問雲訊息佇列 Confluent 版叢集，當叢集建立成功後會自動在您的阿里雲賬戶下建立一系列的CLB執行個體。這些CLB執行個體開啟了刪除保護功能，不能隨意刪除。預設情況下，當您選擇公網訪問來配置叢集後，所有公網IP均能訪問雲訊息佇列 Confluent 版叢集，您可以使用Cloud Firewall設定對雲訊息佇列 Confluent 版叢集公網網域名稱的存取原則。

NAT Gateway配置

建議您為雲訊息佇列 Confluent 版叢集所在的VPC建立和管理SNAT條目，以便於雲訊息佇列 Confluent 版叢集能夠訪問公網。

當您開啟如下服務後， 雲訊息佇列 Confluent 版叢集需要訪問公網服務。

• 啟用Control Center的郵件警示功能。

• 雲訊息佇列 Confluent 版叢集需要訪問外部系統，如Mysql、Elasticsearch等。