配置Kafka实例的明文/密文接入
您可以通过明文接入Kafka实例,也可以通过密文接入Kafka实例,本章节指导您在控制台修改接入方式。
- 明文接入:表示客户端连接Kafka实例时,无需进行SASL认证。
- 密文接入:表示客户端连接Kafka实例时,需要进行SASL认证。
约束与限制
- 首次修改接入方式时,部分实例会重启,另一部分实例不会重启,具体以控制台提示为准。实例重启大约需要75~80s。后续再次修改接入方式时,实例不会再重启。
- 单机实例只支持开启/关闭公网访问的明文接入。
- 开启了IPv6功能后,不支持修改实例的接入方式。
前提条件
只有处于“运行中”状态的Kafka实例才可以修改接入方式。
开启明文接入
- 登录管理控制台。
- 在管理控制台左上角单击,选择区域。
请选择Kafka实例所在的区域。
- 在管理控制台左上角单击,选择“应用中间件 > 分布式消息服务Kafka版”,进入分布式消息服务Kafka专享版页面。
- 在左侧导航栏单击“Kafka实例”,进入Kafka实例列表页面。
- 单击Kafka实例的名称,进入实例的“基本信息”页面。
- 明文接入分为内网访问明文接入和公网访问明文接入,开启明文接入方法如表1所示。
表1 开启明文接入方法 接入方式
开启明文接入
内网访问明文接入
- 在“内网访问 > 明文接入”后,单击,弹出确认对话框。
- 单击“确认”,跳转到“后台任务管理”页面。当任务状态显示为“成功”时,表示成功开启明文接入。
公网访问明文接入
- 确认公网访问已开启,如果未开启,请开启公网访问,具体步骤参考配置Kafka实例的公网访问。
- 在“公网访问 > 明文接入”后,单击,弹出确认对话框。
- 单击“确认”,跳转到“后台任务管理”页面。当任务状态显示为“成功”时,表示成功开启明文接入。
开启密文接入
- 登录管理控制台。
- 在管理控制台左上角单击,选择区域。
请选择Kafka实例所在的区域。
- 在管理控制台左上角单击,选择“应用中间件 > 分布式消息服务Kafka版”,进入分布式消息服务Kafka专享版页面。
- 在左侧导航栏单击“Kafka实例”,进入Kafka实例列表页面。
- 单击Kafka实例的名称,进入实例的“基本信息”页面。
- 密文接入分为内网访问密文接入和公网访问密文接入,开启密文接入方法如表2所示。
表2 开启密文接入方法 接入方式
开启密文接入
内网访问密文接入
- 在“内网访问 > 密文接入”后,单击,弹出“内网访问密文接入”对话框。
- 设置kafka安全协议、SASL PLAIN机制、用户名和密码,单击“确定”。跳转到“后台任务管理”页面。当任务状态显示为“成功”时,表示成功开启密文接入。
说明:
首次开启密文接入(包括内网访问密文接入和公网访问密文接入)时,需要设置kafka安全协议、SASL PLAIN机制、用户名和密码,再次开启时,只需要设置kafka安全协议。
公网访问密文接入
- 确认公网访问已开启,如果未开启,请开启公网访问,具体步骤参考配置Kafka实例的公网访问。
- 在“公网访问 > 密文接入”后,单击,弹出“公网访问密文接入”对话框。
- 设置kafka安全协议、SASL PLAIN机制、用户名和密码,单击“确定”。跳转到“后台任务管理”页面。当任务状态显示为“成功”时,表示成功开启密文接入。
说明:
首次开启密文接入(包括内网访问密文接入和公网访问密文接入)时,需要设置kafka安全协议、SASL PLAIN机制、用户名和密码,再次开启时,只需要设置kafka安全协议。
kafka安全协议、SASL PLAIN机制、用户名和密码的参数解释如下:
表3 密文接入参数说明 参数名称
参数值
说明
kafka安全协议
SASL_SSL
采用SASL方式进行认证,数据通过SSL证书进行加密传输,安全性更高。
SASL_PLAINTEXT
采用SASL方式进行认证,数据通过明文传输,性能更好。
由于明文传输,建议使用SCRAM-SHA-512机制。
跨VPC访问协议
-
- 开启明文接入且关闭密文接入时,跨VPC访问Kafka实例需要使用“PLAINTEXT”协议。
- 开启密文接入且kafka安全协议为“SASL_SSL”时,跨VPC访问Kafka实例需要使用“SASL_SSL”协议。
- 开启密文接入且kafka安全协议为“SASL_PLAINTEXT”时,跨VPC访问Kafka实例需要使用“SASL_PLAINTEXT”协议。
实例创建成功后,跨VPC访问安全协议无法修改。
SASL PLAIN机制
-
- 未开启“SASL PLAIN机制”时,使用SCRAM-SHA-512机制对账号密码进行认证。
- 开启“SASL PLAIN机制”后,同时支持SCRAM-SHA-512机制和PLAIN机制,根据实际情况选择其中任意一种配置连接。
密文接入成功开启后,SASL PLAIN机制不支持修改。
什么是SCRAM-SHA-512机制和PLAIN机制?
- SCRAM-SHA-512机制:采用哈希算法对用户名与密码生成凭证,进行身份校验的安全认证机制,比PLAIN机制安全性更高。
- PLAIN机制:一种简单的用户名密码校验机制。
用户名、密码
-
客户端用于连接Kafka实例的用户名和密码。
用户名需要符合以下命名规则:由英文字母开头,且只能由英文字母、数字、中划线、下划线组成,长度为4~64个字符。
密码需要符合以下规则:
- 长度为8~32个字符。
- 至少包含以下字符中的3种:大写字母、小写字母、数字、特殊字符`~!@#$%^&*()-_=+\|[{}];:'",<.>? 和空格,并且不能以-开头。
- 不能与用户名或倒序的用户名相同。
密文接入成功开启后,用户名不支持修改。
kafka安全协议、SASL PLAIN机制、用户名和密码在客户端连接已开启密文接入的Kafka实例时需要配置,具体请参考使用客户端连接Kafka(开启SASL)。
关闭明文接入
- 登录管理控制台。
- 在管理控制台左上角单击,选择区域。
请选择Kafka实例所在的区域。
- 在管理控制台左上角单击,选择“应用中间件 > 分布式消息服务Kafka版”,进入分布式消息服务Kafka专享版页面。
- 在左侧导航栏单击“Kafka实例”,进入Kafka实例列表页面。
- 单击Kafka实例的名称,进入实例的“基本信息”页面。
- 明文接入分为内网访问明文接入和公网访问明文接入,关闭明文接入方法如表4所示。
关闭密文接入
- 登录管理控制台。
- 在管理控制台左上角单击,选择区域。
请选择Kafka实例所在的区域。
- 在管理控制台左上角单击,选择“应用中间件 > 分布式消息服务Kafka版”,进入分布式消息服务Kafka专享版页面。
- 在左侧导航栏单击“Kafka实例”,进入Kafka实例列表页面。
- 单击Kafka实例的名称,进入实例的“基本信息”页面。
- 密文接入分为内网访问密文接入和公网访问密文接入,关闭密文接入方法如表5所示。
表5 关闭密文接入方法 接入方式
关闭明文接入
内网访问密文接入
内网访问密文接入开启后,部分region不支持关闭,如果需要关闭,请联系客服处理。其他region请参考如下步骤:
- 在“内网访问 > 密文接入”后,单击,弹出确认对话框。
- 单击“确定”,跳转到“后台任务管理”页面。当任务状态显示为“成功”时,表示成功关闭密文接入。
公网访问密文接入
- 在“公网访问 > 密文接入”后,单击,弹出确认对话框。
- 单击“确定”,跳转到“后台任务管理”页面。当任务状态显示为“成功”时,表示成功关闭密文接入。
关闭内网访问密文接入和公网访问密文接入后,已创建的用户不会被删除,下次开启密文接入时,无需再次创建用户。