本文介绍不同实例类型的接入点,帮助您选择合适的接入方式。

基本概念

  • SASL是一种用于交换身份证书的验证机制。SASL支持两种机制验证身份:
    • PLAIN机制:一种简单的用户名密码校验机制。消息队列Kafka版的PLAIN机制,支持不重启实例的情况下动态增加SASL用户。
    • SCRAM机制:一种在服务端和客户端采用哈希算法对用户名与密码进行身份校验的安全认证机制。消息队列Kafka版使用SCRAM-SHA-256加密算法实现身份校验,比PLAIN机制安全性更高,同样支持不重启实例的情况下动态增加SASL用户。
  • SSL(Secure Sockets Layer):用以保障数据传输过程的安全,采用数据加密技术,防止数据在网络传输过程中被截取或者窃听。

背景信息

  • 公网:公网环境必须对消息进行鉴权与加密,SASL的PLAIN机制必须与SSL一起用作传输层,才能确保消息在没有加密的情况下不会在线路上传输明文。
  • 专有网络VPC:是完全隔离的网络环境,消息可以采用PLAINTEXT协议在安全的网络通道不加密传输。安全要求更高的场景下,消息需结合SASL身份验证鉴权之后再在安全通道传输。您可以根据消息传输的安全要求级别选择PLAIN机制或SCRAM机制进行身份认证。
说明 实例的默认SASL用户仅提供身份校验,支持所有Topic和Group的读写权限。如果需要更细致的权限控制,您需开启ACL,创建SASL用户,按需赋予SASL用户向消息队列Kafka版收发消息的权限。开启ACL之后,默认的SASL用户权限将失效。具体操作,请参见SASL用户授权

公网/VPC实例接入点对比

公网/VPC实例既能通过公网,又能通过专有网络VPC访问消息队列Kafka版。客户端可以通过SSL接入点、默认接入点或者SASL接入点接入消息队列Kafka版。具体信息,请参见公网/VPC实例接入点对比

表 1. 公网/VPC实例接入点对比
网络类型 端口 接入点 协议 适用场景
公网 9093 SSL接入点 SASL_SSL 消息传输过程需加密,消息收发需鉴权,支持以下两种机制验证身份:
  • PLAIN
  • SCRAM-SHA-256
专有网络VPC 9092 默认接入点 PLAINTEXT 消息传输过程无需加密,消息收发无需鉴权。
9094 SASL接入点 SASL_PLAINTEXT 消息传输过程无需加密,消息收发需鉴权,支持以下两种机制验证身份:
  • PLAIN
  • SCRAM-SHA-256

VPC实例接入点对比

VPC实例只能通过专有网络VPC访问消息队列Kafka版。客户端可以通过默认接入点或者SASL接入点接入消息队列Kafka版。具体信息,请参见VPC实例接入点对比

表 2. VPC实例接入点对比
网络类型 端口 接入点 协议 适用场景
专有网络VPC 9092 默认接入点 PLAINTEXT 消息传输过程无需加密,消息收发无需鉴权。
9094 SASL接入点 SASL_PLAINTEXT 消息传输过程无需加密,消息收发需鉴权,支持以下两种机制验证身份:
  • PLAIN
  • SCRAM-SHA-256