操作场景
在购买集群时,若您选择了私有网络并指定了特定 VPC(如VPC A),则默认仅该 VPC 内的资源可以访问 TDMQ CKafka 版服务(包括生产/消费数据等)。若后续其他 VPC(如 VPC B)需要访问 TDMQ CKafka 服务,可以通过给 CKafka 集群配置 VPC 网络路由策略将 VPC B 绑定至 TDMQ CKafka 服务来实现。
为了保障访问安全,TDMQ CKafka 版还支持安全组和配置 ACL 策略两种权限管控方式,为内网传输中的用户访问控制提供了双重保障,增强对 Topic 等资源的生产消费权限控制。
安全组绑定:用于设置实例的网络访问控制,控制实例级别的出入流量。具体操作请参考 VPC 接入绑定安全组。
ACL 策略配置:通过 Kafka 原生 ACL 机制管理用户的访问权限。具体操作请参考配置 ACL 策略。
约束和限制
一个实例最多可以创建5条路由,其中公网路由有且仅可以有一条。
选择 SASL_PLAINTEXT 接入方式的路由有且仅可以有一条,例如路由类型为公网域名接入选择了SASL_PLAINTEXT接入方式,则创建 VPC 路由时不可以再选择 SASL_PLAINTEXT 接入方式。
仅专业版实例支持在添加 VPC 路由策略时指定 IP。
前提条件
添加 VPC 路由策略
1. 登录 CKafka 控制台。
2. 在左侧导航栏单击实例列表,单击目标实例的“ID/名称”,进入基本信息页。
3. 在实例基本信息页面,单击接入方式模块中的添加路由策略。
4. 在弹窗中,路由类型选择 VPC 网络,选择好接入方式、网络以及是否绑定安全组。
参数 | 是否必选 | 说明 |
路由类型 | 是 | 选择 VPC 网络。 |
接入方式 | 是 | 若接入方式选择 PLAINTEXT,客户端无需验证身份即可连接 CKafka 实例。 若接入方式选择 SASL_XXX,通过 SASL 方式进行身份鉴权,通过后才允许客户端连接 CKafka 实例。 |
网络 | 是 | 在下拉框中选择提前准备好的同地域的私有网络和子网。 |
IP | 否 | 选择 VPC 网络接入时,支持指定 IP,当变更接入方式时可以通过指定 IP 来保持 IP 不发生变化;如果没有指定IP,系统会自动分配。 不允许使用 ".1" 或 ".255" 结尾的 IP,二者一般分别是子网的默认网关和广播地址。 |
安全组 | 否 | 安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置实例的网络访问控制,控制实例级别的出入流量,目前 CKafka 仅专业版支持实例绑定安全组。 |
5. 单击提交,完成 VPC 网络添加,在网络列您可以获取接入点信息,用于连接集群进行消息生产消费。
6. 单击操作列的查看所有 IP 和端口,可以查看所需要放通的 IP 和端口列表。
说明:
如果您的服务器配置了访问限制(安全组),请在服务器上放通50000 - 53000端口区间。因集群变配、迁移后端口会发生变化,所以请勿仅添加当前列表的 IP 及端口,避免变配迁移后的业务异常。
VPC 接入绑定安全组
安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置实例的网络访问控制,控制实例级别的出入流量,是重要的网络安全隔离手段。目前 CKafka 仅专业版支持实例绑定安全组。
安全组特点
安全组是一个逻辑上的分组,您可以将同一地域内具有相同网络安全隔离需求的 CKafka、云服务器、云数据库等实例加到同一个安全组内。
在使用消息队列 CKafka 时,通过实例绑定安全组,以及配置 ACL 策略,为内网传输中的用户访问控制提供了双重保障,增强对 Topic 等资源的生产消费权限控制。
绑定说明
您可以将有相同防护需求的实例加入一个安全组,而无需为每一个实例都配置一个单独的安全组。
不建议一个实例绑定过多安全组,不同安全组规则的冲突可能导致网络不通。
绑定方法
1. 实例创建后,通过控制台配置 VPC 路由接入,在添加路由策略时,打开绑定安全组按钮,可以进行安全组绑定。
2. 单击提交后,在控制台接入方式中,可以单击安全组列的查看,查看对应 VPC 接入点已经绑定的安全组。
3. 单击右上方配置安全组,可以修改绑定的安全组。
规则优先级
安全组内规则具有优先级。规则优先级按列表位置从上至下依次递减,即列表顶端规则优先级最高,最先匹配;列表底端规则优先级最低,最后匹配。
若有规则冲突,则默认匹配位置更前的规则。
当有流量入/出绑定某安全组的实例时,将从安全组规则列表顶端的规则开始逐条匹配至最后一条。如果匹配某一条规则成功,允许通过,则不再匹配该规则之后的任何规则。
