文档首页/ 分布式消息服务Kafka版/ 用户指南/ 连接实例/ 配置Kafka访问控制/ 配置Kafka实例的明文/密文接入
更新时间:2024-10-10 GMT+08:00
查看PDF
分享

配置Kafka实例的明文/密文接入

您可以通过明文接入Kafka实例,也可以通过密文接入Kafka实例,本章节指导您在控制台修改接入方式。

  • 明文接入:表示客户端连接Kafka实例时,无需进行SASL认证。
  • 密文接入:表示客户端连接Kafka实例时,需要进行SASL认证。
  • 首次修改接入方式时,部分实例会重启,另一部分实例不会重启,具体以控制台提示为准。实例重启大约需要75~80s。后续再次修改接入方式时,实例不会再重启。
  • 在中东-利雅得、拉美-圣保罗一和拉美-圣地亚哥区域不支持修改实例的接入方式。
  • 单机实例只支持开启/关闭公网访问的明文接入。
  • 开启了IPv6功能后,不支持修改实例的接入方式。

前提条件

只有处于“运行中”状态的Kafka实例才可以修改接入方式。

开启明文接入

  1. 登录管理控制台。
  2. 在管理控制台左上角单击,选择区域。

    请选择Kafka实例所在的区域。

  3. 在管理控制台左上角单击,选择“应用中间件 > 分布式消息服务Kafka版”,进入分布式消息服务Kafka专享版页面。
  4. 单击Kafka实例的名称,进入实例的“基本信息”页面。
  5. 明文接入分为内网访问明文接入和公网访问明文接入,开启明文接入方法如表1所示。

    表1 开启明文接入方法

    接入方式

    开启明文接入

    内网访问明文接入
    1. 在“内网访问 > 明文接入”后,单击,弹出确认对话框。
    2. 单击“确认”,跳转到“后台任务管理”页面。当任务状态显示为“成功”时,表示成功开启明文接入。

    公网访问明文接入
    1. 确认公网访问已开启,如果未开启,请开启公网访问,具体步骤参考配置Kafka实例的公网访问
    2. 在“公网访问 > 明文接入”后,单击,弹出确认对话框。
    3. 单击“确认”,跳转到“后台任务管理”页面。当任务状态显示为“成功”时,表示成功开启明文接入。

开启密文接入

  1. 登录管理控制台。
  2. 在管理控制台左上角单击,选择区域。

    请选择Kafka实例所在的区域。

  3. 在管理控制台左上角单击,选择“应用中间件 > 分布式消息服务Kafka版”,进入分布式消息服务Kafka专享版页面。
  4. 单击Kafka实例的名称,进入实例的“基本信息”页面。
  5. 密文接入分为内网访问密文接入和公网访问密文接入,开启密文接入方法如表2所示。

    表2 开启密文接入方法

    接入方式

    开启密文接入

    内网访问密文接入
    1. 在“内网访问 > 密文接入”后,单击,弹出“内网访问密文接入”对话框。
    2. 设置kafka安全协议、SASL PLAIN机制、用户名和密码,单击“确定”。跳转到“后台任务管理”页面。当任务状态显示为“成功”时,表示成功开启密文接入。
      说明:
      • 首次开启密文接入(包括内网访问密文接入和公网访问密文接入)时,需要设置kafka安全协议、SASL PLAIN机制、用户名和密码,再次开启时,只需要设置kafka安全协议。
      • 内网访问密文接入开启后,部分region不支持关闭,如果需要关闭,请联系客服处理。

    公网访问密文接入
    1. 确认公网访问已开启,如果未开启,请开启公网访问,具体步骤参考配置Kafka实例的公网访问
    2. 在“公网访问 > 密文接入”后,单击,弹出“公网访问密文接入”对话框。
    3. 设置kafka安全协议、SASL PLAIN机制、用户名和密码,单击“确定”。跳转到“后台任务管理”页面。当任务状态显示为“成功”时,表示成功开启密文接入。
      说明:

      首次开启密文接入(包括内网访问密文接入和公网访问密文接入)时,需要设置kafka安全协议、SASL PLAIN机制、用户名和密码,再次开启时,只需要设置kafka安全协议。

    kafka安全协议、SASL PLAIN机制、用户名和密码的参数解释如下:

    表3 密文接入参数说明

    参数名称

    参数值

    说明

    kafka安全协议

    SASL_SSL

    采用SASL方式进行认证,数据通过SSL证书进行加密传输,安全性更高。

    SASL_PLAINTEXT

    采用SASL方式进行认证,数据通过明文传输,性能更好。

    由于明文传输,建议使用SCRAM-SHA-512机制。

    跨VPC访问协议

    -
    • 开启明文接入且关闭密文接入时,跨VPC访问Kafka实例需要使用“PLAINTEXT”协议。
    • 开启密文接入且kafka安全协议为“SASL_SSL”时,跨VPC访问Kafka实例需要使用“SASL_SSL”协议。
    • 开启密文接入且kafka安全协议为“SASL_PLAINTEXT”时,跨VPC访问Kafka实例需要使用“SASL_PLAINTEXT”协议。

    实例创建成功后,跨VPC访问安全协议无法修改。

    SASL PLAIN机制

    -
    • 未开启“SASL PLAIN机制”时,使用SCRAM-SHA-512机制对账号密码进行认证。
    • 开启“SASL PLAIN机制”后,同时支持SCRAM-SHA-512机制和PLAIN机制,根据实际情况选择其中任意一种配置连接。

    密文接入成功开启后,SASL PLAIN机制不支持修改。

    什么是SCRAM-SHA-512机制和PLAIN机制?

    • SCRAM-SHA-512机制:采用哈希算法对用户名与密码生成凭证,进行身份校验的安全认证机制,比PLAIN机制安全性更高。
    • PLAIN机制:一种简单的用户名密码校验机制。

    用户名、密码

    -

    客户端用于连接Kafka实例的用户名和密码。

    用户名需要符合以下命名规则:由英文字母开头,且只能由英文字母、数字、中划线、下划线组成,长度为4~64个字符。

    密码需要符合以下规则:

    • 长度为8~32个字符。
    • 至少包含以下字符中的3种:大写字母、小写字母、数字、特殊字符`~!@#$%^&*()-_=+\|[{}];:'",<.>? 和空格,并且不能以-开头。
    • 不能与用户名或倒序的用户名相同。

    密文接入成功开启后,用户名不支持修改。

    kafka安全协议、SASL PLAIN机制、用户名和密码在客户端连接已开启密文接入的Kafka实例时需要配置,具体请参考使用客户端连接Kafka(开启SASL)

关闭明文接入

  1. 登录管理控制台。
  2. 在管理控制台左上角单击,选择区域。

    请选择Kafka实例所在的区域。

  3. 在管理控制台左上角单击,选择“应用中间件 > 分布式消息服务Kafka版”,进入分布式消息服务Kafka专享版页面。
  4. 单击Kafka实例的名称,进入实例的“基本信息”页面。
  5. 明文接入分为内网访问明文接入和公网访问明文接入,关闭明文接入方法如表4所示。

    表4 关闭明文接入方法

    接入方式

    关闭明文接入

    内网访问明文接入

    内网访问不支持关闭,明文接入和密文接入至少开启一个。如果密文接入没有开启,此时无法关闭明文接入。

    1. 在“内网访问 > 明文接入”后,单击,弹出确认对话框。
    2. 单击“确认”,跳转到“后台任务管理”页面。当任务状态显示为“成功”时,表示成功关闭明文接入。

    公网访问明文接入
    1. 在“公网访问 > 明文接入”后,单击,弹出确认对话框。
    2. 单击“确认”,跳转到“后台任务管理”页面。当任务状态显示为“成功”时,表示成功关闭明文接入。

关闭密文接入

  1. 登录管理控制台。
  2. 在管理控制台左上角单击,选择区域。

    请选择Kafka实例所在的区域。

  3. 在管理控制台左上角单击,选择“应用中间件 > 分布式消息服务Kafka版”,进入分布式消息服务Kafka专享版页面。
  4. 单击Kafka实例的名称,进入实例的“基本信息”页面。
  5. 密文接入分为内网访问密文接入和公网访问密文接入,关闭密文接入方法如表5所示。

    表5 关闭密文接入方法

    接入方式

    关闭明文接入

    内网访问密文接入

    内网访问密文接入开启后,部分region不支持关闭,如果需要关闭,请联系客服处理。其他region请参考如下步骤:

    1. 在“内网访问 > 密文接入”后,单击,弹出确认对话框。
    2. 单击“确定”,跳转到“后台任务管理”页面。当任务状态显示为“成功”时,表示成功关闭密文接入。

    公网访问密文接入
    1. 在“公网访问 > 密文接入”后,单击,弹出确认对话框。
    2. 单击“确定”,跳转到“后台任务管理”页面。当任务状态显示为“成功”时,表示成功关闭密文接入。

    关闭内网访问密文接入和公网访问密文接入后,已创建的用户不会被删除,下次打开密文接入时,无需再次创建用户。