TDMQ CKafka 版支持内网访问和公网访问两种连接方式,不同网络类型的连接要求不同。
连接方式说明
|
内网连接 | 如果客户端和 CKafka 实例部署在同一个私有网络 VPC 内,则网络默认互通,无需额外配置。 | |
| 如果客户端和 CKafka 实例部署在不同的私有网络 VPC 内,由于 VPC 之间逻辑隔离,无法直接通信。若需要跨网通信,可以使用云联网实现同账号下不同地域间的 VPC 互通。 | |
公网连接 | 需要单独开通一条公网路由,客户端可以通过公网连接 CKafka 实例。由于公网可以在任意网络环境下访问,需配置 ACL 策略控制用户的访问权限,确保连接安全。 | |
正常情况下,建议您优先通过内网访问,以获得更低的网络延迟、更高的传输带宽以及更优的安全隔离性,尤其是生产环境的核心业务。若业务需面向公网提供服务)或进行开发调试,可以启用公网访问,需配置 ACL 策略控制用户的访问权限,保障数据安全。
安全协议类型说明
为了保证安全性,CKafka 提供了多种安全认证机制,请您在添加网络路由策略时根据消息传输的安全要求级别选择合适的鉴权方式。
基本概念
SASL(Simple Authentication and Security Layer):是一种用于身份认证的安全协议,支持两种验证机制:
PLAIN 机制:采用明文方式进行用户名和密码的简单验证。
SCRAM 机制:服务端与客户端采用哈希算法对用户名与密码进行身份校验的安全认证,消息队列 CKafka 版支持 SCRAM-SHA-256 和 SCRAM_SHA_512 两种不同强度的加密算法。
SSL(Secure Sockets Layer):一种数据传输安全协议,通过加密技术确保数据在传输过程中不被窃取或篡改,有效提升通信安全性。
协议对比
|
PLAINTEXT | 消息收发无需鉴权,数据通过明文传输。 | ✓ | × |
SASL_PLAINTEXT | 消息收发采用 SASL 方式进行鉴权,数据通过明文传输,性能更好。 | ✓ | ✓ |
SASL_SSL | 消息收发采用 SASL 方式进行鉴权,数据通过 SSL 证书进行加密传输,防止数据在网络传输过程中被截取或者窃听,安全性更高。 | ✓(仅专业版支持,3.2.3版本暂不支持) | ✓(仅专业版支持,3.2.3版本暂不支持) |
SASL_SCRAM_SHA_256 | 消息收发采用 SASL 方式进行鉴权,密码采用哈希算法(SHA-256)存储,不传输明文密码。数据通过明文传输。 | ✓(仅 1.1.1,2.4.1 和 2.8.1 版本实例支持,存量实例需要升级 broker 小版本或者 提交工单 申请) | × |
SASL_SCRAM_SHA_512 | 消息收发采用 SASL 方式进行鉴权,密码采用哈希算法(SHA-512)存储,不传输明文密码,数据通过明文传输。SHA-512 比 SHA-256 更安全,但计算开销更大。 | ✓(仅 1.1.1,2.4.1 和 2.8.1 版本实例支持,存量实例需要升级 broker 小版本或者 提交工单 申请) | × |
安全组要求
因集群变配、迁移后端口会发生变化,如果您的服务器配置设置了访问限制(安全组),请在服务器上放通如下端口区间,避免变配迁移后的消息读写异常。
VPC 路由需要放通的端口范围:9092 - 60000。
公网路由需要放通的端口范围:50000 - 53000。
支撑路由需要放通的端口范围:6000 - 12000。