云消息隊列 Kafka 版提供默認接入點、SSL接入點和SASL接入點以適用不同的連接及安全需求。默認接入點適用于在保密性較高的VPC環境收發消息;SASL接入點適用于無需對傳輸鏈路加密但需對消息收發鑒權;需要鏈路加密和消息鑒權,建議使用SSL接入點。
基本概念
SASL是一種用于交換身份證書的驗證機制。SASL支持兩種機制驗證身份:
PLAIN機制:一種簡單的用戶名密碼校驗機制。云消息隊列 Kafka 版的PLAIN機制,支持不重啟實例的情況下動態增加SASL用戶。
SCRAM機制:一種在服務端和客戶端采用哈希算法對用戶名與密碼進行身份校驗的安全認證機制。云消息隊列 Kafka 版使用SCRAM-SHA-256加密算法實現身份校驗,比PLAIN機制安全性更高,同樣支持不重啟實例的情況下動態增加SASL用戶。
SSL(Secure Sockets Layer):用以保障數據傳輸過程的安全,采用數據加密技術,防止數據在網絡傳輸過程中被截取或者竊聽。
背景信息
公網:公網環境必須對消息進行鑒權與加密,SASL的PLAIN機制必須與SSL一起用作傳輸層,才能確保消息在沒有加密的情況下不會在線路上傳輸明文。
專有網絡VPC:是完全隔離的網絡環境,消息可以采用PLAINTEXT協議在安全的網絡通道不加密傳輸。安全要求更高的場景下,消息需結合SASL身份驗證鑒權之后再在安全通道傳輸。您可以根據消息傳輸的安全要求級別選擇PLAIN機制或SCRAM機制進行身份認證。
實例的默認SASL用戶僅提供身份校驗,支持所有Topic和Group的讀寫權限。如果需要更細致的權限控制,您需開啟ACL,創建SASL用戶,按需賦予SASL用戶向云消息隊列 Kafka 版收發消息的權限。開啟ACL之后,默認的SASL用戶權限將失效。具體操作,請參見SASL用戶授權。
公網/VPC實例接入點對比
公網/VPC實例既能通過公網,又能通過專有網絡VPC訪問云消息隊列 Kafka 版。客戶端可以通過SSL接入點、默認接入點或者SASL接入點接入云消息隊列 Kafka 版。具體信息,請參見公網/VPC實例接入點對比。
網絡類型 | 端口 | 接入點 | 協議 | 適用場景 |
公網 | 9093 | SSL接入點 | SASL_SSL | 消息傳輸過程需加密,消息收發需鑒權,支持以下兩種機制驗證身份:
|
專有網絡VPC | 9092 | 默認接入點 | PLAINTEXT | 消息傳輸過程無需加密,消息收發無需鑒權。 |
9094 | SASL接入點 | SASL_PLAINTEXT | 消息傳輸過程無需加密,消息收發需鑒權,支持以下兩種機制驗證身份:
|
VPC實例接入點對比
VPC實例只能通過專有網絡VPC訪問云消息隊列 Kafka 版。客戶端可以通過默認接入點或者SASL接入點接入云消息隊列 Kafka 版。具體信息,請參見VPC實例接入點對比。
網絡類型 | 端口 | 接入點 | 協議 | 適用場景 |
專有網絡VPC | 9092 | 默認接入點 | PLAINTEXT | 消息傳輸過程無需加密,消息收發無需鑒權。 |
9094 | SASL接入點 | SASL_PLAINTEXT | 消息傳輸過程無需加密,消息收發需鑒權,支持以下兩種機制驗證身份:
|