Conectividad privada con varias VPC de Amazon MSK en una sola región
La conectividad privada con varias VPC (con tecnología de AWS PrivateLink) para los clústeres de Amazon Managed Streaming para Apache Kafka (Amazon MSK) es una característica que le permite conectar más rápidamente los clientes de Kafka alojados en diferentes nubes privadas virtuales (VPC) y cuentas de AWS a un clúster de Amazon MSK.
La conectividad privada con varias VPC es una solución administrada que simplifica la infraestructura de red para la conectividad con varias VPC y entre cuentas. Los clientes pueden conectarse al clúster de Amazon MSK a través de PrivateLink y, al mismo tiempo, mantener todo el tráfico dentro de la red de AWS. La conectividad privada con varias VPC para los clústeres de Amazon MSK está disponible en todas las regiones de AWS en las que Amazon MSK está disponible.
Temas
¿Qué es la conectividad privada con varias VPC?
La conectividad privada con varias VPC para Amazon MSK es una opción de conectividad que le permite conectar clientes de Apache Kafka que están alojados en diferentes nubes privadas virtuales (VPC) y cuentas de AWS a un clúster de MSK.
Amazon MSK simplifica el acceso entre cuentas con políticas de clústeres. Estas políticas permiten al propietario del clúster conceder permisos a otras cuentas de AWS para establecer una conectividad privada con el clúster de MSK.
Ventajas de la conectividad privada con varias VPC
La conectividad privada con varias VPC tiene varias ventajas en comparación con otras soluciones de conectividad:
Automatiza la administración operativa de la solución de conectividad de AWS PrivateLink.
Permite superponer direcciones IP entre las VPC conectadas, lo que elimina la necesidad de mantener direcciones IP no superpuestas, interconexiones complejas y tablas de enrutamiento asociadas a otras soluciones de conectividad de VPC.
Utiliza una política de clústeres para su clúster de MSK a fin de definir qué cuentas de AWS tienen permisos para configurar la conectividad privada entre cuentas con su clúster de MSK. El administrador de varias cuentas puede delegar los permisos a los roles o usuarios adecuados. Si se utiliza con la autenticación de clientes de IAM, también puede utilizar la política de clústeres para definir los permisos del plano de datos de Kafka de forma granular para los clientes que se conectan.
Requisitos y limitaciones de la conectividad privada con varias VPC
Tenga en cuenta estos requisitos del clúster de MSK para ejecutar la conectividad privada con varias VPC:
La conectividad privada con varias VPC solo se admite en la versión 2.7.1 o superior de Apache Kafka. Asegúrese de que todos los clientes que utilice con el clúster de MSK ejecuten versiones de Apache Kafka que sean compatibles con el clúster.
La conectividad privada con varias VPC admite los tipos de autenticación IAM, TLS y SASL/SCRAM. Los clústeres no autenticados no pueden utilizar la conectividad privada con varias VPC.
Si utiliza los métodos de control de acceso SASL/SCRAM o mTLS, debe configurar las ACL de Apache Kafka para su clúster. En primer lugar, configure las ACL de Apache Kafka para su clúster. A continuación, actualice la configuración del clúster para que la propiedad
allow.everyone.if.no.acl.founddel clúster esté establecida en false. Para obtener información acerca de cómo actualizar la configuración de un clúster, consulte Operaciones de configuración de agentes. Si utiliza el control de acceso de IAM y desea aplicar políticas de autorización o actualizarlas, consulte Control de acceso de IAM. Para obtener información sobre las ACL de Apache Kafka, consulte ACL de Apache Kafka.La conectividad privada con varias VPC no admite el tipo de instancia t3.small.
La conectividad privada con varias VPC no se admite en todas las regiones de AWS, solo en las cuentas de AWS de la misma región.
-
Para configurar la conectividad privada entre múltiples VPC, debe contar con el mismo número de subredes de cliente que de subredes del clúster. Además, asegúrese de que los ID de las zonas de disponibilidad sean los mismos para la subred del cliente y la subred del clúster.
Amazon MSK no admite la conectividad privada con varias VPC con los nodos de ZooKeeper.
