NAT网关配置

需要为CSP集群所在的VPC设置NAT网关,以便于CSP服务集群能够访问公网

为什么要配置NAT网关

当您开启如下服务后,CSP集群需要访问公网服务:
1、启用Control Center的邮件告警功能
2、启用“公网访问”CSP服务

如何配置NAT网关

我们建议您通过设置SNAT来访问公网。具体设置步骤参考:https://help.aliyun.com/document_detail/121147.html
注意:如果启用了“公网访问”CSP服务,则在设置CLB的“访问控制”策略时,需要将公网出口EIP加入到允许访问列表中

网络访问类型

CSP提供阿里云VPC内访问和公网访问方式:

  • 阿里云VPC访问

VPC访问是指您在阿里云Confluent集群所在网络VPC内或者其它VPC访问和使用CSP的服务。此时,除Control Center提供公网访问方式外,其它CSP服务组件无法从公网访问。

  • 公网访问

公网访问是指您可以在公网外访问和使用CSP的服务。此时,阿里云VPC内仍然可以访问CSP服务
公网流量计费:CSP公网访问使用阿里云CLB功能,由此产生的网络费用按照CLB计费规则进行收费。

网络访问设置

您在创建集群的时候,选择决定是否开启公网访问方式。当前,暂时无法更改网络访问类型,如您需要修改访问类型,需要提工单由后台运维人员帮助解决。

网络域名

  • VPC域名(支持本VPC和跨VPC)

Load Balancer域名(正常访问使用):
kafka broker VPC访问域名:rb-{{cspClusterId}}-internal.csp.aliyuncs.com:9095
confluent mds VPC访问域名:mds-{{cspClusterId}}-internal.csp.aliyuncs.com:8090
schema registry VPC访问域名:sr-{{cspClusterId}}-internal.csp.aliyuncs.com:8081
kafka rest proxy VPC访问域名:kafkarestproxy-{{cspClusterId}}-internal.csp.aliyuncs.com:8082
connect VPC访问域名:connect-{{cspClusterId}}-internal.csp.aliyuncs.com:8083
confluent ksql VPC访问域名:ksql-{{cspClusterId}}-internal.csp.aliyuncs.com:8088
说明:

  1. VPC域名的pod实例域名格式为:

{{service}}-{{cspClusterId}}-internal-{{pod number}}.csp.aliyuncs.com:{{port}}
service:服务简称,值与load balancer域名相同。例如,broker的简称为rb
cspClusterId:csp集群ID
pod number:pod序号,从0开始的序列号
port:服务端口号,值与load balancer相同。
例如,kafka broker服务的第1个pod的VPC域名为:rb-{{your cspClusterId}}-internal.csp.aliyuncs-0.com:9095,剩余kafka broker服务pod的域名以此类推。

  1. 如果要在confluent集群内部(比如connect服务访问kafka broker服务),您需要使用具体的pod实例域名。
  • K8s local域名(支持本VPC和集群内部)

kafka broker VPC内访问域名:kafka.confluent.svc.cluster.local.{{askClusterId}}:9071
confluent mds VPC内访问域名:kafka.confluent.svc.cluster.local.{{askClusterId}}:8090
schema registry VPC内访问域名:schemaregistry.confluent.svc.cluster.local.{{askClusterId}}:8081
kafka rest proxy VPC内访问域名:kafkarestproxy.confluent.svc.cluster.local.{{askClusterId}}:8082
connect VPC内访问域名:connect.confluent.svc.cluster.local.{{askClusterId}}:8083
confluent ksql VPC内访问域名:ksqldb.confluent.svc.cluster.local.{{askClusterId}}:8088
说明:

  1. K8s local域名的pod实例域名格式为:

{{service}}-{{pod number}}.{{service}}.confluent.svc.cluster.local.{{askClusterId}}:{{port}}
例如,kafka broker服务的第1个pod的域名为:kafka-0.kafka.confluent.svc.cluster.local.{{askClusterId}}:9071

  1. 您可以从“Control Center”的“Cluster settings”查看到Kafka Broker的local域名,并从中获取askClusterId。
  • 公网域名

kafka broker 公网访问域名:rb-{{cspClusterId}}.csp.aliyuncs.com:9092
confluent mds 公网访问域名:mds-{{cspClusterId}}.csp.aliyuncs.com:443
schema registry 公网访问域名:sr-{{cspClusterId}}.csp.aliyuncs.com:443
kafka rest proxy公网访问域名:kafkarestproxy-{{cspClusterId}}.csp.aliyuncs.com:443
connect 公网访问域名:connect-{{cspClusterId}}.csp.aliyuncs.com:443
confluent ksql 公网访问域名:ksql-{{cspClusterId}}.csp.aliyuncs.com:443
control center 公网访问域名: c-{{cspClusterId}}.csp.aliyuncs.com:443

网络安全设置

CSP提供数据传输加密以及访问控制功能

SSL加密

默认情况下,CSP网络传输使用SSL加密以确保数据不会被监听泄漏。在连接CSP服务时,需要使用相关的证书进行连接。CSP提供如下SSL访问证书以满足不同场景下的SSL加密:

证书名称 使用说明
VPC内访问证书 VPC网络内访问Kafka broker使用“VPC内访问证书”访问
阿里云签名证书 公网/跨VPC网络访问Kafka broker使用“阿里云签名证书”访问

公网访问控制

如果您选择“公网访问”CSP服务,则当CSP集群创建成功后,会自动在您的阿里云账户下创建一系列的CLB实例,这些CLB实例开启了“删除保护”功能,不能随意删除。
默认情况下,当选择需要公网访问来配置集群后,所有公网IP都能访问CSP集群。您可以使用云防火墙来设置对CSP公网域名的访问策略。
注意:当您使用云防火墙时,务必正确的设置访问策略来确保相关CSP服务的正常访问。