You need to enable JavaScript to run this app.
导航
查看接入点
最近更新时间:2023.09.21 15:36:00首次发布时间:2022.07.05 10:18:16

消息队列 Kafka版实例提供专有网络 VPC 和公网访问方式,不同的网络环境对应不同的接入点。接入消息队列 Kafka版收发消息时,需要根据网络环境和认证机制选择对应的接入点。本文档介绍不同接入点的区别及查看接入点的操作。

支持的网络类型

消息队列 Kafka版实例提供专有网络 VPC 和公网访问两种接入方式。

网络类型

说明

专有网络 VPC
(私网)

专有网络 VPC 为 Kafka 实例构建隔离的、自主配置和管理的虚拟网络环境,消息可以采用 PLAINTEXT 协议在安全的网络通道不加密传输。通过 VPC 方式访问实例时,您需要在同一地域下的火山引擎云服务器 ECS 搭建开发环境,部署客户端,或通过云企业网等方式将不同地域下的 ECS 打通,实现网络互通。
在 VPC 网络下,消息队列Kafka版提供默认接入点、SASL_SSL 接入点和 SASL_PLAINTEXT 接入点供您选择。

  • 默认接入点无需身份认证,配置接入点之后即可快速接入。
  • 如果需要更高的安全策略,您可以通过 SASL 用户进行身份验证、通过 SSL 证书对数据链路进行加密。

公网访问

Kafka 实例提供公网访问方式,已接入公网的客户端均可以访问实例。此时无需通过 ECS,您可以在本地 IDC 或其他开发环境中配置接入点连接实例。
公网环境下,消息队列 Kafka版提供 SASL_SSL 接入点和 SASL_PLAINTEXT 接入点供您选择,客户端均需要通过 SASL 进行身份认证。您可以根据是否需要 SSL 证书加密来选择接入点。

支持的安全机制

消息队列 Kafka版提供多种安全机制,在 VPC 环境和公网环境下保障数据安全。

SASL 身份验证

SASL 是一种用于交换身份证书的验证机制,消息需结合 SASL 身份验证鉴权之后再在安全通道传输。在消息队列 Kafka版中,公网环境和 VPC 环境均提供 SASL 接入点供您选择。
Kafka 实例支持以下两种 SASL 机制,您可以根据业务需求选择不同的身份认证方式。

  • PLAIN 机制:一种简单的用户名密码认证方式,安全性较低。密码直接保存在服务端的 JAAS 配置文件中,暂不支持修改用户名或密码。
  • SCRAM 机制:一种相对复杂的用户名密码认证方式,比 PLAIN 机制安全性更高。当客户端使用 SCRAM 模式进行认证时,密码会经过 SHA-256 哈希加密后传输到服务器,支持动态增减用户,无需重启实例。

说明

消息队列 Kafka版支持 ACL 权限管理,使用 SASL 机制时,请确认用于身份认证的 SASL 用户已具备了指定权限。用户的授权方式请参考创建 ACL

SSL 加密

SSL 是一种在传输层与应用层之间对网络连接进行加密的协议。消息队列 Kafka版提供 SSL 加密功能,如果选择 SASL_SSL 接入点连接实例,则消息的传输必须通过 SSL 认证。消息或者数据经过 SSL 加密后通过网络进行安全传输,相对于普通的公网访问方式具备更高的安全性,保证数据安全。
在公网环境下,SASL 机制通常配合 SSL 认证一起使用,在身份验证和鉴权的基础上保证数据传输链路的安全性,相较于普通公网方式的数据传输方式而言,降低了数据和消息被监听和窃取的可能。

Kafka 实例接入点

在不同网络类型下,Kafka 实例提供以下接入点供您选择,您可以根据业务对安全性能的要求选择不同的接入方式。

网络类型

接入点类型

协议

说明

私有网络 VPC

默认接入点

PLAINTEXT

默认接入点无需传输过程加密与身份认证,接入便捷。适用于通过 VPC 内网连接实例,无需其他安全策略的场景。
主要表现为:

  • VPC 内网保证传输过程的安全性,无需加密。
  • 消息收发无需通过 SASL 用户进行鉴权,配置简单便捷。

SASL_SSL 接入点

SASL_SSL

该接入点适用于 VPC 内网环境下需要 SSL 加密及 SASL 鉴权的场景。
在金融、医疗等对数据安全性要求较高的场景下,通过 VPC 内网环境访问实例时,可以使用此接入点,消息数据经由 SASL_SSL 加密传输。

SASL_PLAINTEXT 接入点

SASL_PLAINTEXT

该接入点适用于 VPC 内网环境下需要 SASL 鉴权的场景。
该接入点具备以下安全特性:

  • 消息在数据传输过程中通过 VPC 内网链路,无需加密。
  • 消息收发需要通过 SASL 用户进行鉴权。消息队列 Kafka版支持以下两种机制进行身份认证:
    • SASL/PLAIN:PLAIN机制
    • SASL/SCRAM:SCRAM-SHA-256

公网

SASL_SSL 接入点

SASL_SSL

该接入点适用于通过公网连接 Kafka 实例的场景,且数据链路需要通过 SSL 加密、消息收发需要通过 SASL 鉴权。
该接入点具备以下安全特性:

  • 消息在数据传输过程中通过 SSL 证书进行加密,保障公网链路传输的安全性。
  • 消息收发需要通过 SASL 用户进行鉴权。消息队列 Kafka版支持以下两种机制进行身份认证:
    • SASL/PLAIN:PLAIN 机制
    • SASL/SCRAM:SCRAM-SHA-256

SASL_PLAINTEXT 接入点

SASL_PLAINTEXT

该接入点适用于通过公网连接 Kafka 实例的场景,只需通过 SASL 用户认证与鉴权即可进行消息收发,无需 SSL 等其他安全策略。

查看接入点

  1. 登录消息队列 Kafka版控制台
  2. 在顶部菜单栏中选择实例所在的地域。
  3. 实例列表页面单击指定实例名称。
  4. 实例信息页签的服务访问区域,查看实例的公网访问状态与接入点列表。
    • 开启实例的公网访问之后才会显示公网接入点。
    • 实例的接入点显示格式为域名:端口号,接入实例时需要填写包括端口号在内的完整接入点信息。