文档中心

查看接入点

最近更新时间：2023.09.21 15:36:00

首次发布时间：2022.07.05 10:18:16

消息队列 Kafka版实例提供专有网络 VPC 和公网访问方式，不同的网络环境对应不同的接入点。接入消息队列 Kafka版收发消息时，需要根据网络环境和认证机制选择对应的接入点。本文档介绍不同接入点的区别及查看接入点的操作。

支持的网络类型

消息队列 Kafka版实例提供专有网络 VPC 和公网访问两种接入方式。

网络类型	说明
专有网络 VPC （私网）	专有网络 VPC 为 Kafka 实例构建隔离的、自主配置和管理的虚拟网络环境，消息可以采用 PLAINTEXT 协议在安全的网络通道不加密传输。通过 VPC 方式访问实例时，您需要在同一地域下的火山引擎云服务器 ECS 搭建开发环境，部署客户端，或通过云企业网等方式将不同地域下的 ECS 打通，实现网络互通。在 VPC 网络下，消息队列Kafka版提供默认接入点、SASL_SSL 接入点和 SASL_PLAINTEXT 接入点供您选择。默认接入点无需身份认证，配置接入点之后即可快速接入。如果需要更高的安全策略，您可以通过 SASL 用户进行身份验证、通过 SSL 证书对数据链路进行加密。
公网访问	Kafka 实例提供公网访问方式，已接入公网的客户端均可以访问实例。此时无需通过 ECS，您可以在本地 IDC 或其他开发环境中配置接入点连接实例。公网环境下，消息队列 Kafka版提供 SASL_SSL 接入点和 SASL_PLAINTEXT 接入点供您选择，客户端均需要通过 SASL 进行身份认证。您可以根据是否需要 SSL 证书加密来选择接入点。

网络类型

说明

专有网络 VPC
（私网）

专有网络 VPC 为 Kafka 实例构建隔离的、自主配置和管理的虚拟网络环境，消息可以采用 PLAINTEXT 协议在安全的网络通道不加密传输。通过 VPC 方式访问实例时，您需要在同一地域下的火山引擎云服务器 ECS 搭建开发环境，部署客户端，或通过云企业网等方式将不同地域下的 ECS 打通，实现网络互通。
在 VPC 网络下，消息队列Kafka版提供默认接入点、SASL_SSL 接入点和 SASL_PLAINTEXT 接入点供您选择。

默认接入点无需身份认证，配置接入点之后即可快速接入。
如果需要更高的安全策略，您可以通过 SASL 用户进行身份验证、通过 SSL 证书对数据链路进行加密。

公网访问

Kafka 实例提供公网访问方式，已接入公网的客户端均可以访问实例。此时无需通过 ECS，您可以在本地 IDC 或其他开发环境中配置接入点连接实例。
公网环境下，消息队列 Kafka版提供 SASL_SSL 接入点和 SASL_PLAINTEXT 接入点供您选择，客户端均需要通过 SASL 进行身份认证。您可以根据是否需要 SSL 证书加密来选择接入点。

支持的安全机制

消息队列 Kafka版提供多种安全机制，在 VPC 环境和公网环境下保障数据安全。

SASL 身份验证

SASL 是一种用于交换身份证书的验证机制，消息需结合 SASL 身份验证鉴权之后再在安全通道传输。在消息队列 Kafka版中，公网环境和 VPC 环境均提供 SASL 接入点供您选择。
Kafka 实例支持以下两种 SASL 机制，您可以根据业务需求选择不同的身份认证方式。

PLAIN 机制：一种简单的用户名密码认证方式，安全性较低。密码直接保存在服务端的 JAAS 配置文件中，暂不支持修改用户名或密码。
SCRAM 机制：一种相对复杂的用户名密码认证方式，比 PLAIN 机制安全性更高。当客户端使用 SCRAM 模式进行认证时，密码会经过 SHA-256 哈希加密后传输到服务器，支持动态增减用户，无需重启实例。

说明

消息队列 Kafka版支持 ACL 权限管理，使用 SASL 机制时，请确认用于身份认证的 SASL 用户已具备了指定权限。用户的授权方式请参考创建 ACL。

SSL 加密

SSL 是一种在传输层与应用层之间对网络连接进行加密的协议。消息队列 Kafka版提供 SSL 加密功能，如果选择 SASL_SSL 接入点连接实例，则消息的传输必须通过 SSL 认证。消息或者数据经过 SSL 加密后通过网络进行安全传输，相对于普通的公网访问方式具备更高的安全性，保证数据安全。
在公网环境下，SASL 机制通常配合 SSL 认证一起使用，在身份验证和鉴权的基础上保证数据传输链路的安全性，相较于普通公网方式的数据传输方式而言，降低了数据和消息被监听和窃取的可能。

Kafka 实例接入点

在不同网络类型下，Kafka 实例提供以下接入点供您选择，您可以根据业务对安全性能的要求选择不同的接入方式。

网络类型	接入点类型	协议	说明
私有网络 VPC	默认接入点	PLAINTEXT	默认接入点无需传输过程加密与身份认证，接入便捷。适用于通过 VPC 内网连接实例，无需其他安全策略的场景。主要表现为： VPC 内网保证传输过程的安全性，无需加密。消息收发无需通过 SASL 用户进行鉴权，配置简单便捷。
	SASL_SSL 接入点	SASL_SSL	该接入点适用于 VPC 内网环境下需要 SSL 加密及 SASL 鉴权的场景。在金融、医疗等对数据安全性要求较高的场景下，通过 VPC 内网环境访问实例时，可以使用此接入点，消息数据经由 SASL_SSL 加密传输。
	SASL_PLAINTEXT 接入点	SASL_PLAINTEXT	该接入点适用于 VPC 内网环境下需要 SASL 鉴权的场景。该接入点具备以下安全特性：消息在数据传输过程中通过 VPC 内网链路，无需加密。消息收发需要通过 SASL 用户进行鉴权。消息队列 Kafka版支持以下两种机制进行身份认证： SASL/PLAIN：PLAIN机制 SASL/SCRAM：SCRAM-SHA-256
公网	SASL_SSL 接入点	SASL_SSL	该接入点适用于通过公网连接 Kafka 实例的场景，且数据链路需要通过 SSL 加密、消息收发需要通过 SASL 鉴权。该接入点具备以下安全特性：消息在数据传输过程中通过 SSL 证书进行加密，保障公网链路传输的安全性。消息收发需要通过 SASL 用户进行鉴权。消息队列 Kafka版支持以下两种机制进行身份认证： SASL/PLAIN：PLAIN 机制 SASL/SCRAM：SCRAM-SHA-256
公网	SASL_PLAINTEXT 接入点	SASL_PLAINTEXT	该接入点适用于通过公网连接 Kafka 实例的场景，只需通过 SASL 用户认证与鉴权即可进行消息收发，无需 SSL 等其他安全策略。