選擇和配置安全組

Kafka實例支持使用內網通過同一個VPC訪問(wen)、通過DNAT訪問(wen)和公網訪問(wen)，訪問(wen)實例前(qian)，需要配置(zhi)安全組。

使(shi)用(yong)內(nei)網通過同一個VPC訪問實(shi)例

步驟 1 客戶端和(he)實例是否使用相同的(de)安全組(zu)？

• 是，如果保留了創建安全組后，系統默認添加的入方向“允許安全組內的彈性云主機彼此通信”規則和出方向“放通全部流量”規則，則無需添加其他規則。否則，請添加下表所示規則。

表 安全組規則

方向	協議	端口	源地址	說明
入方向	TCP	9092	0.0.0.0/0	使用內網通過同一個VPC訪問Kafka實例（關閉SSL加密）。
入方向	TCP	9093	0.0.0.0/0	使用內網通過同一個VPC訪問Kafka實例（開啟SSL加密）。

• 否，執行步驟2。

步驟 2 參考(kao)如下配置安全組規則。

假設客(ke)戶端和Kafka實例的安(an)全組(zu)分別為：sg-53d4、Default_All。以下(xia)規則，遠端可(ke)使用安(an)全組(zu)，也可(ke)以使用具體的IP地址，本章節(jie)以安(an)全組(zu)為例介紹。

客戶(hu)端(duan)所在安(an)全組需要增(zeng)加(jia)如下規則，以保證客戶(hu)端(duan)能(neng)正常訪問Kafka實例。

表 安全組規則

方向	策略	協議端口	目的地址
出方向	允許	全部	Default_All

圖配置客戶端安全組

Kafka實例(li)所在(zai)安全組需要(yao)增加(jia)如下規則(ze)，以保證能被客戶(hu)端訪問。

表安全組規則

方向	策略	協議端口	源地址
入方向	允許	全部	sg-53d4

圖 配置Kafka實例安全(quan)組

通過DNAT訪問實例

請按照(zhao)下表設置安(an)全組規則。

表 安全組規則

方向	協議	端口	源地址	說明
入方向	TCP	9011	198.19.128.0/17	通過VPC終端節點實現跨VPC訪問Kafka實例。
入方向	TCP	9011	0.0.0.0/0	使用DNAT訪問Kafka實例。

通過公網訪問實例

請按照下表設置安全(quan)組(zu)規則。

表安全組規則

方向	協議	端口	源地址	說明
入方向	TCP	9094	0.0.0.0/0	通過公網訪問Kafka（關閉SSL加密）。
入方向	TCP	9095	0.0.0.0/0	通過公網訪問Kafka（開啟SSL加密）。

Kafka實例是否支持公網訪問？

Kafka實例支持公網訪問。使用公網訪問Kafka實例的具體操作，請參考連接Kafka。

Kafka實例的連接地址默認有多少個？

Kafka實(shi)例(li)的(de)連接地址(zhi)個(ge)數(shu)和(he)實(shi)例(li)的(de)代理個(ge)數(shu)有關，連接地址(zhi)個(ge)數(shu)即(ji)為代理個(ge)數(shu)。每類實(shi)例(li)規格對應的(de)代理個(ge)數(shu)如下表(biao)所(suo)示。

表 Kafka實(shi)例規格

實例規格	代理個數范圍	單個代理TPS	單個代理分區上限	單個代理Consumer Group上限	單個代理客戶端總連接數上限	存儲空間范圍
kafka.2u4g.cluster	3~30	30000	250	20	2000	300GB~300000GB
kafka.4u8g.cluster	3~30	100000	500	100	4000	300GB~600000GB
kafka.8u16g.cluster	3~30	150000	1000	150	4000	300GB~900000GB
kafka.12u24g.cluster	3~30	200000	1500	200	4000	300GB~900000GB
kafka.16u32g.cluster	3~30	250000	2000	200	4000	300GB~900000GB

是否支持跨Region訪問？

Kafka可以跨Region訪問，但是跨Region目前只能通過公網訪問或者(zhe)拉(la)專線的方式(shi)。

Kafka實例是否支持跨VPC訪問？

Kafka實(shi)例支持跨(kua)VPC訪問，您可以通過以下方式實(shi)現跨(kua)VPC訪問：

• 創建VPC對等連接，將兩個VPC的網絡打通，實現跨VPC訪問。具體步驟請參考《虛擬私有云用戶指南》的“VPC對等連接”章節。

Kafka實例是否支持不同的子網？

支持。

客戶端與(yu)實例在相同VPC內(nei)，可以跨子(zi)網(wang)段(duan)訪問。同一個VPC內(nei)的子(zi)網(wang)默認可以進行通信。

Kafka是否支持Kerberos認證，如何開啟認證？

Kafka支(zhi)持(chi)SASL客(ke)戶(hu)端認證(zheng)、調用接口(kou)支(zhi)持(chi)Token和AK/SK兩種認證(zheng)，Kerberos認證(zheng)目前不(bu)支(zhi)持(chi)。

如果使用SASL認證方式，則在開源客戶端基礎上使用分布式消息服務Kafka提供的證書文件。具體操作參考連接已開啟SASL的Kafka實例。

Kafka實例是否支持無密碼訪問？

支持，連接未開啟SASL的Kafka實例時，無需密碼。具體操作，請參考連接未開啟SASL的Kafka實例。

開啟公網訪問后，在哪查看公網IP地址？

在(zai)Kafka控制臺，單(dan)擊Kafka實(shi)例名稱，進入實(shi)例詳情頁面。在(zai)“基本(ben)信息”頁簽(qian)，查看公(gong)網IP地址(zhi)(zhi)（即“公(gong)網連接地址(zhi)(zhi)”）。

如果您需要連接Kafka實例，請參考連接Kafka。

Kafka支持服務端認證客戶端嗎？

不支持。

連接開啟SASL_SSL的Kafka實例時，ssl truststore文件可以用PEM格式的嗎？

使用(yong)Java語言連(lian)接(jie)實例時，只能(neng)使用(yong)JKS格式(shi)(shi)的證書，不支持轉成PEM格式(shi)(shi)。

下載的證書JKS和CRT有什么區別？

使用(yong)(yong)Java語言連接實(shi)例時(shi)，需要(yao)用(yong)(yong)JKS格式(shi)的證書。使用(yong)(yong)Python語言連接實(shi)例時(shi)，需要(yao)用(yong)(yong)CRT格式(shi)的證書。

Kafka支持哪個版本的TLS？

Kafka支持(chi)TLS 1.2。

Kafka實例連接數有限制嗎？

不(bu)同規格的Kafka實例，連接數限制如下(xia)：

• 實例規格為kafka.2u4g.cluster時，單個代理客戶端總連接數上限為2000。
• 實例規格為kafka.4u8g.cluster時，單個代理客戶端總連接數上限為4000。
• 實例規格為kafka.8u16g.cluster時，單個代理客戶端總連接數上限為4000。
• 實例規格為kafka.12u24g.cluster時，單個代理客戶端總連接數上限為4000。
• 實例規格為kafka.16u32g.cluster時，單個代理客戶端總連接數上限為4000。

客戶端單IP連接的個數為多少？

Kafka實例的每個代理允許客戶端單IP連接的個數默認為1000個，如果超過了，會出現連接失敗問題。您可以通過修改配置參數來(lai)修(xiu)改單IP的連接數(shu)。

Kafka實例的內網連接地址可以修改嗎？

不(bu)支(zhi)(zhi)持(chi)修(xiu)改，且不(bu)支(zhi)(zhi)持(chi)指定IP地址(zhi)。

不同實例中，使用的SSL證書是否一樣？

Kafka實(shi)例中的(de)SSL證(zheng)(zheng)書是通用的(de)，不區分用戶或(huo)者實(shi)例，即不同的(de)用戶或(huo)者實(shi)例，使(shi)用的(de)SSL證(zheng)(zheng)書是同一個(ge)。

獲取SSL證書的(de)方法如下：

步驟 1 在(zai)Kafka控制臺，單擊實例名稱，進入(ru)實例詳(xiang)情頁。

步驟 2 在(zai)“連(lian)接信息(xi) > SSL證(zheng)書”所(suo)在(zai)行，單擊“下載”。