更新时间:2024-11-13 GMT+08:00

选择和配置安全组

Kafka实例支持使用内网通过同一个VPC访问、跨VPC访问、通过DNAT访问和公网访问,访问实例前,需要配置安全组。

使用内网通过同一个VPC访问实例

  1. 客户端和实例是否使用相同的安全组?

    • 是,如果保留了创建安全组后,系统默认添加的入方向“允许安全组内的弹性云服务器彼此通信”规则和出方向“放通全部流量”规则,则无需添加其他规则。否则,请添加表1所示规则。
      表1 安全组规则

      方向

      协议

      类型

      端口

      源地址

      说明

      入方向

      TCP

      IPv4

      9092

      Kafka客户端所在的IP地址或地址组

      使用内网通过同一个VPC访问Kafka实例(明文接入)。

      入方向

      TCP

      IPv6

      9192

      Kafka客户端所在的IP地址或地址组

      使用内网通过同一个VPC访问Kafka实例(关闭SSL加密)。

      入方向

      TCP

      IPv4

      9093

      Kafka客户端所在的IP地址或地址组

      使用内网通过同一个VPC访问Kafka实例(密文接入)。

      入方向

      TCP

      IPv6

      9193

      Kafka客户端所在的IP地址或地址组

      使用内网通过同一个VPC访问Kafka实例(开启SSL加密)。

    • 否,执行2

  2. 参考如下配置安全组规则。

    假设客户端和Kafka实例的安全组分别为:sg-53d4、Default_All。以下规则,远端可使用安全组,也可以使用具体的IP地址,本章节以安全组为例介绍。

    客户端所在安全组需要增加如下规则,以保证客户端能正常访问Kafka实例。

    表2 安全组规则

    方向

    策略

    协议端口

    目的地址

    出方向

    允许

    全部

    Default_All

    图1 配置客户端安全组

    Kafka实例所在安全组需要增加如下规则,以保证能被客户端访问。

    表3 安全组规则

    方向

    策略

    协议端口

    源地址

    入方向

    允许

    全部

    sg-53d4

    图2 配置Kafka实例安全组

跨VPC访问和通过DNAT访问实例

请按照表4设置安全组规则。

表4 安全组规则

方向

协议

端口

源地址

说明

入方向

TCP

9011

198.19.128.0/17

通过VPC终端节点实现跨VPC访问Kafka实例(密文接入和明文接入都适用)。

入方向

TCP

9011

Kafka客户端所在的IP地址或地址组

使用DNAT访问Kafka实例(密文接入和明文接入都适用)。

入方向

TCP

9092

Kafka客户端所在的IP地址或地址组

使用对等连接跨VPC访问Kafka实例(明文接入)。

入方向

TCP

9093

Kafka客户端所在的IP地址或地址组

使用对等连接跨VPC访问Kafka实例(密文接入)。

通过公网访问实例

请按照表5设置安全组规则。

表5 安全组规则

方向

协议

类型

端口

源地址

说明

入方向

TCP

IPv4

9094

Kafka客户端所在的IP地址或地址组

通过公网访问Kafka(明文接入)。

入方向

TCP

IPv4

9095

Kafka客户端所在的IP地址或地址组

通过公网访问Kafka(密文接入)。

入方向

TCP

IPv6

9192

Kafka客户端所在的IP地址或地址组

通过公网访问Kafka实例(关闭SSL加密)。

入方向

TCP

IPv6

9193

Kafka客户端所在的IP地址或地址组

通过公网访问Kafka实例(开启SSL加密)。