您可以設定訪問雲訊息佇列 Kafka 版的白名單,配置在白名單中的IP地址與連接埠才允許訪問雲訊息佇列 Kafka 版執行個體。
前提條件
您已購買雲訊息佇列 Kafka 版執行個體,且該執行個體處於服务中的狀態。
實現原理
白名單功能基於使用者安全性群組實現:
部署執行個體時如果未設定安全性群組參數,系統將預設建立一個安全性群組,此類安全性群組為系統安全性群組。
部署執行個體時如果傳入了安全性群組參數,系統將預設建立一個安全性群組(系統安全性群組),同時關聯部署時傳入的安全性群組,此類安全性群組為自訂安全性群組。
多安全性群組的匹配策略與阿里雲網路安全性群組一致,請參見 安全性群組規則。
自訂安全性群組多用於安全性原則多執行個體共用,請注意自訂安全性群組變更對多執行個體的風險。
自訂安全性群組
雲訊息佇列 Kafka 版開放如下連接埠,如需配置對應IP白名單,請針對連接埠配置安全性群組入方向允許策略的訪問來源。
Kafka連接埠說明
連接埠 | 連接埠對應Kafka存取點 | 允許安全性群組類別 |
9092/9092 | 預設存取點(VPC) | 系統安全性群組/自訂安全性群組 |
9093/9093 | SSL存取點(公網) | 系統安全性群組 |
9094/9094 | SASL存取點(VPC) | 系統安全性群組/自訂安全性群組 |
9095/9095 | SSL存取點(VPC) | 系統安全性群組/自訂安全性群組 |
自訂安全性群組配置樣本
在安全性群組詳情頁面,入方向增加規則。規則表單內容如下:
表單項 | 表單值 |
授權策略 | 允許 |
協議 | 自訂TCP |
訪問來源 | 自訂允許訪問Kafka執行個體的IP/IP段,如0.0.0.0/0。 |
訪問目的 | 填寫相應的Kafka連接埠。例如,允許訪問來源的IP訪問預設存取點(VPC),則訪問目的設定為9092/9092。 |
每個Kafka執行個體最多關聯5個自訂安全性群組。
自訂安全性群組的訪問來源在Kafka執行個體白名單管理中可查看,但如果需要變更訪問來源,請到安全性群組中操作。
系統安全性群組
注意事項
公網/VPC類型的執行個體預設白名單為0.0.0.0/0,允許通過SSL存取點訪問執行個體,建議您設定白名單來限制訪問IP。
VPC類型的執行個體預設白名單為部署時設定的vSwitch網段,即允許相同VPC內的同一vSwitch網段下的裝置通過預設存取點訪問執行個體。您可以將白名單設定為0.0.0.0/0即可實現VPC內互連。
增加白名單時,每一條白名單中可以添加多個IP地址和IP位址區段,需使用半形逗號(,)進行分隔。白名單最多不超過200條。
支援刪除或增加單條白名單。
允許刪除最後一條白名單,刪除後會導致雲訊息佇列 Kafka 版叢集此連接埠範圍不可訪問,請謹慎操作。
說明部署執行個體的時候,如果傳入了安全性群組參數,那麼使用這個安全性群組的多個執行個體的白名單是共用的,因為白名單配置功能是基於使用者安全性群組的。如果沒有傳入安全性群組參數,則預設會為執行個體自動建立新的使用者安全性群組,此時執行個體的白名單配置才是執行個體層級獨立的。一般不推薦部署執行個體時傳入安全性群組參數,共用白名單配置,因為這樣會擴大誤操作白名單配置的影響面,請注意風險。
添加白名單
請按以下步驟添加白名單IP地址或位址區段。
登入雲訊息佇列 Kafka 版控制台,在概览頁面的资源分布地區,選擇地區。
在实例列表頁面,單擊目標執行個體名稱。
在实例详情頁面的接入点信息地區,選擇需要配置白名單的存取點,在其操作列,單擊管理白名单。
在白名单管理頁面,單擊添加白名单分组,然後設定分组名称和组内白名单,白名單可以為IP地址或位址區段,然後單擊确定。
刪除白名單
在執行個體詳情頁面,單擊左側導覽列的白名单管理。
找到需刪除的IP地址或位址區段所在的白名單分組,在其右側單擊修改。
在修改白名單分組面板,找到需要刪除的IP地址或位址區段,在其右側單擊刪除,然後在面板底部單擊修改。
相關文檔
您也可以通過API來配置白名單,請參見變更IP白名單。
如果您的裝置與Kafka執行個體處於不同VPC下,您可以使用Express Connect、VPN網關、雲企業網實現VPC內網互連,請參見如何選擇私網類產品?。