Kafka实例支持使用内网通过同一个VPC访问、跨VPC访问、通过DNAT访问和公网访问,访问实例前,需要配置安全组。
使用内网通过同一个VPC访问实例
- 客户端和实例是否使用相同的安全组?
- 是,如果保留了创建安全组后,系统默认添加的入方向“允许安全组内的弹性云服务器彼此通信”规则和出方向“放通全部流量”规则,则无需添加其他规则。否则,请添加表1所示规则。
表1 安全组规则
|
方向 |
协议 |
端口 |
源地址 |
说明 |
|
入方向 |
TCP |
9092 |
0.0.0.0/0 |
使用内网通过同一个VPC访问Kafka实例(关闭SSL加密)。 |
|
入方向 |
TCP |
9093 |
0.0.0.0/0 |
使用内网通过同一个VPC访问Kafka实例(开启SSL加密)。 |
- 否,执行2。
- 参考如下配置安全组规则。
假设客户端和Kafka实例的安全组分别为:sg-53d4、Default_All。以下规则,远端可使用安全组,也可以使用具体的IP地址,本章节以安全组为例介绍。
客户端所在安全组需要增加如下规则,以保证客户端能正常访问Kafka实例。
表2 安全组规则
|
方向 |
策略 |
协议端口 |
目的地址 |
|
出方向 |
允许 |
全部 |
Default_All |
图1 配置客户端安全组
Kafka实例所在安全组需要增加如下规则,以保证能被客户端访问。
表3 安全组规则
|
方向 |
策略 |
协议端口 |
源地址 |
|
入方向 |
允许 |
全部 |
sg-53d4 |
图2 配置Kafka实例安全组
跨VPC访问和通过DNAT访问实例
请按照表4设置安全组规则。
表4 安全组规则
|
方向 |
协议 |
端口 |
源地址 |
说明 |
|
入方向 |
TCP |
9011 |
198.19.128.0/17 |
通过VPC终端节点实现跨VPC访问Kafka实例。 |
|
入方向 |
TCP |
9011 |
0.0.0.0/0 |
使用DNAT访问Kafka实例。 |
通过公网访问实例
请按照表5设置安全组规则。
表5 安全组规则
|
方向 |
协议 |
端口 |
源地址 |
说明 |
|
入方向 |
TCP |
9094 |
0.0.0.0/0 |
通过公网访问Kafka(关闭SSL加密)。 |
|
入方向 |
TCP |
9095 |
0.0.0.0/0 |
通过公网访问Kafka(开启SSL加密)。 |
