检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
客户端或JDBC/ODBC应用程序使用SSL连接方式,用户必须在客户端或应用程序代码中配置相关的SSL连接参数。GaussDB(DWS)管理控制台提供了客户端所需的SSL证书,该SSL证书包含了客户端所需的默认证书、私钥、根证书以及私钥密码加密文件。
客户端或JDBC/ODBC应用程序使用SSL连接方式,用户必须在客户端或应用程序代码中配置相关的SSL连接参数。GaussDB(DWS)管理控制台提供了客户端所需的SSL证书,该SSL证书包含了客户端所需的默认证书、私钥、根证书以及私钥密码加密文件。
入方向 TCP IPv6 9193 Kafka客户端所在的IP地址或地址组 使用内网通过同一个VPC访问Kafka实例(开启SSL加密)。 否,执行2。 参考如下配置安全组规则。 假设客户端和Kafka实例的安全组分别为:sg-53d4、Default_All。
配置SSL双向认证的流程如图1所示。 图1 配置SSL双向认证流程图 约束与限制 开启/关闭SSL双向认证将重启实例,请谨慎操作。
Kafka实例的SASL_SSL开关如何修改? 集群实例的SASL_SSL开关支持修改,具体步骤请参考修改实例的接入方式。 单机实例不支持SASL_SSL功能。 开启IPv6的实例不支持动态修改SASL_SSL开关。 父主题: 实例问题
连接开启SASL_SSL的Kafka实例时,ssl truststore文件可以用PEM格式的吗? 可以使用PEM格式。使用PEM格式SSL证书连接Kafka实例的方法请参考获取和使用Kafka PEM格式的SSL证书。 父主题: 连接问题
Kafka实例的SSL证书有效期多长? Kafka实例开启SASL_SSL时,需进行单向认证,证书有效期足够长(超过15年),客户端不需要关注证书过期风险。 查看SSL证书有效期的方法如下: 解压从Kafka实例控制台下载的压缩包,获取压缩包中的“phy_ca.crt”。
图1 配置ECS安全组 表1 安全组规则 方向 协议端口 目的地址 出方向 全部放通 Default_All RabbitMQ实例所在安全组需要增加如下规则,以保证能被客户端访问。
创建实例时为什么无法查看子网和安全组等信息? 创建实例时,如果无法查看虚拟私有云、子网、安全组、弹性IP,可能原因是该用户的用户组无Server Administrator和VPC Administrator权限。增加用户组权限的详细步骤,请参考修改用户组权限。
如果用户使用的数据通道端口范围为60001-60100,则安全组规则如下所示。 图1 安全组规则 父主题: 安全类
不同实例中,使用的SSL证书是否一样? Kafka实例中的SSL证书是通用的,不区分用户或者实例,即不同的用户或者实例,使用的SSL证书是同一个。 获取SSL证书的方法如下: 在Kafka控制台,单击实例名称,进入实例详情页。
获取和使用Kafka PEM格式的SSL证书 本章节指导您如何获取PEM格式的SSL证书,并使用PEM格式证书访问Kafka实例。 前提条件 实例已开启Kafka SASL_SSL。 获取PEM格式的SSL证书 登录管理控制台。
在“连接信息 > SSL证书”后,单击“替换”,弹出“替换SSL证书”对话框。 图2 连接信息 参考表1,设置替换SSL证书的参数。
建议配置安全组访问控制,保护您的数据不被异常读取和操作。 租户配置安全组的入方向、出方向规则限制,可以控制连接实例的网络范围,避免DMS for Kafka暴露给不可信第三方,详情请参见配置安全组。安全组入方向规则的“源地址”应避免设置为0.0.0.0/0。
已配置正确的安全组。 客户端访问开启密文接入的Kafka实例时,实例需要配置正确的安全组规则,否则会连接失败。安全组规则的配置请参考表2。 已获取连接Kafka实例的地址。 在Kafka控制台的“基本信息 > 连接信息”中获取实例连接地址。
已开启sasl_ssl访问的Kafka实例为例,执行如下命令: curl -kv {ip}:{port} 网络正常,如下: 网络异常/不通,如下: 解决方案: 检查是否同一个VPC。如果不是,请参考跨VPC访问。 检查安全组规则是否配置正确。请参考如何选择和配置安全组。
父主题: 网络管理
不同实例中,使用的SSL证书是否一样?
表6 Kafka实例安全组规则(IPv6访问) 方向 协议 类型 端口 源地址 说明 入方向 TCP IPv6 9192 ::/0 通过IPv6地址访问Kafka实例(关闭SSL加密)。
开启IPv6的实例不支持动态开启和关闭SASL_SSL功能。 实例创建成功后,不支持修改IPv6开关。 此功能仅在“华东二”区域上线。 安全组 选择已经创建好的安全组。 安全组是一组对Kafka实例的访问规则的集合。
请求示例 实例第一次开启内网SASL_SSL,需要传入用户名及密码。
security.protocol=SASL_SSL ssl.truststore.location={ssl_truststore_path} ssl.truststore.password=dms@kafka ssl.endpoint.identification.algorithm
安全组 单击,在下拉框中选择新的安全组,单击。 修改安全组,不会重启实例。 页面上方直接提示修改结果。 内网访问 修改方法请参考配置Kafka实例的明文/密文接入。 系统跳转到“后台任务管理”页面,并显示当前任务的操作进度和结果。
如果“kafka安全协议”设置为“SASL_SSL”,则在开源客户端基础上使用云服务提供的证书文件。 本指南主要介绍实例连接信息的收集,如获取实例连接地址、Topic名称等,然后提供Java、Python和Go等语言的连接示例。
创建安全组并添加安全组规则。 在创建Kafka实例前,确保已存在可用的安全组。创建安全组的具体步骤,请参考创建安全组。 创建的安全组与Kafka实例必须在相同的区域。 连接Kafka实例前,请添加表1所示安全组规则,其他规则请根据实际需要添加。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
