ApsaraMQ for Kafka提供預設存取點、SSL存取點和SASL存取點以適用不同的串連及安全需求。預設存取點適用於在保密性較高的VPC環境收發訊息;SASL存取點適用於無需對傳輸鏈路加密但需對訊息收發鑒權;需要鏈路加密和訊息鑒權,建議使用SSL存取點。
基本概念
SASL是一種用於交換身份認證的驗證機制。SASL支援兩種機制驗證身份:
PLAIN機制:一種簡單的使用者名稱密碼校正機制。雲訊息佇列 Kafka 版的PLAIN機制,支援不重啟執行個體的情況下動態增加SASL使用者。
SCRAM機制:一種在服務端和用戶端採用雜湊演算法對使用者名稱與密碼進行身份校正的安全認證機制。雲訊息佇列 Kafka 版使用SCRAM-SHA-256密碼編譯演算法實現身份校正,比PLAIN機制安全性更高,同樣支援不重啟執行個體的情況下動態增加SASL使用者。
SSL(Secure Sockets Layer):用以保障資料轉送過程的安全,採用資料加密技術,防止資料在網路傳輸過程中被截取或者竊聽。
背景資訊
公網:公網環境必須對訊息進行鑒權與加密,SASL的PLAIN機制必須與SSL一起用作傳輸層,才能確保訊息在沒有加密的情況下不會線上路上傳輸明文。
Virtual Private Cloud:是完全隔離的網路環境,訊息可以採用PLAINTEXT協議在安全的網路通道不加密傳輸。安全要求更高的情境下,訊息需結合SASL身分識別驗證鑒權之後再在安全通道傳輸。您可以根據訊息傳輸的安全要求層級選擇PLAIN機制或SCRAM機制進行身份認證。
執行個體的預設SASL使用者僅提供身份校正,支援所有Topic和Group的讀寫權限。如果需要更細緻的許可權控制,您需開啟ACL,建立SASL使用者,按需賦予SASL使用者向雲訊息佇列 Kafka 版收發訊息的許可權。開啟ACL之後,預設的SASL使用者權限將失效。具體操作,請參見SASL使用者授權。
公網/VPC執行個體存取點對比
公網/VPC執行個體既能通過公網,又能通過Virtual Private Cloud訪問雲訊息佇列 Kafka 版。用戶端可以通過SSL存取點、預設存取點或者SASL存取點接入雲訊息佇列 Kafka 版。具體資訊,請參見公網/VPC執行個體存取點對比。
網路類型 | 連接埠 | 存取點 | 協議 | 適用情境 |
公網 | 9093 | SSL存取點 | SASL_SSL | 訊息傳輸過程需加密,訊息收發需鑒權,支援以下兩種機制驗證身份:
|
Virtual Private Cloud | 9092 | 預設存取點 | PLAINTEXT | 訊息傳輸過程無需加密,訊息收發無需鑒權。 |
9094 | SASL存取點 | SASL_PLAINTEXT | 訊息傳輸過程無需加密,訊息收發需鑒權,支援以下兩種機制驗證身份:
|
VPC執行個體存取點對比
VPC執行個體只能通過Virtual Private Cloud訪問雲訊息佇列 Kafka 版。用戶端可以通過預設存取點或者SASL存取點接入雲訊息佇列 Kafka 版。具體資訊,請參見VPC執行個體存取點對比。
網路類型 | 連接埠 | 存取點 | 協議 | 適用情境 |
Virtual Private Cloud | 9092 | 預設存取點 | PLAINTEXT | 訊息傳輸過程無需加密,訊息收發無需鑒權。 |
9094 | SASL存取點 | SASL_PLAINTEXT | 訊息傳輸過程無需加密,訊息收發需鑒權,支援以下兩種機制驗證身份:
|