Kafkaクラスタでのアドオンの使用
アドオンをインストールすることで、管理対象Kafkaクラスタの機能をさらに拡張できます。アドオンは、OCI Streamingの基本機能をApache Kafkaで強化するため、必要に応じてクラスタ動作をカスタマイズできます。
現在サポートされているすべてのアドオンを検索するには、ListAddonOptionsを使用してください。結果のリストを確認して、必要なアドオンをインストールしてください。
現在、インストールできるアドオンは1つだけです: Public connectionアドオン。
Kafkaクラスタのパブリック接続
デフォルトでは、すべてのKafkaクラスタはプライベート接続で作成され、クラスタの作成時に指定されたVCNおよびサブネット内からのみアクセスできます。必要に応じて、パブリック接続アドオンを構成およびインストールすることで、パブリック・インターネット経由でアクティブなKafkaクラスタにアクセス可能にできます。このアドオンにより、お客様は、認証および制御された接続を介して外部ネットワーク(オンプレミスまたは他のクラウド環境)から接続できるため、移行、統合およびハイブリッド・ワークロードが簡素化されます。
パブリック接続アドオンをインストールする前に、最初にApache Kafkaアクセス制御リスト(ACL)を作成し、次にクラスタの構成を更新して
allow.everyone.if.no.acl.foundプロパティをfalseに変更して、Kafkaクラスタを保護します。これらのステップにより、管理者はクラスタへのアクセスをより詳細に制御できるため、クラスタ全体のセキュリティ・ポスチャが向上します。ACLを作成し、allow.everyone.if.no.acl.foundプロパティを変更すると、クラスタのパブリック接続アドオンをインストールできます。パブリック接続アドオンをインストールするには、クラスタ・アドオンのインストールを参照してください。
アドオンを構成するときに、クラスタにアクセスできる認証タイプおよびネットワークCIDR範囲を指定します:
- 認証タイプ
Kafkaの組込みSASL/SCRAMまたはmTLS認証メカニズムを使用して、エンドツーエンドの暗号化および認証を維持します。
- ネットワークCIDR
クラスタにアクセスできるネットワークCIDRを指定して、(SASLまたはmTLSから)特定のトピックから生成または消費できる認証済プリンシパルを制御します。
このファイングレイン認可をCIDRレベルで適用すると、クラスタ自体内で重要なセキュリティ・レイヤーが提供されます。
- OCIは、Oracle Cloudデータセンター全体での大規模な攻撃に対して、プラットフォーム・レベルのレイヤー3/4 DDoS緩和を提供します。
トラフィックは、レイヤー4パススルー・モードで動作するOCIネットワーク・ロード・バランサを介して入力されます。
- TLSはイングレスで終了されるのではなく、エンドツーエンドのTLSおよびKafkaプロトコル・セマンティクスを保持するために、Kafkaブローカでのみ終了されます。
- クライアントIDはmTLSまたはSASL/SCRAMを使用してブローカ・レイヤーで強制され、認可はKafka ACLを使用して強制されます。
- トラフィックは、パブリック接続アドオン構成で指定されたCIDR範囲に従って許可されます。
アドオンのインストール後、監査ログを有効にしてクラスタアクティビティーを追跡できます。Apache Kafkaロギングによるストリーミングを参照してください。
また、メトリックを使用して、他のクラスタ・トラフィックとは別にパブリック接続アドオンのパフォーマンスを監視し、スループットおよび接続負荷に関する貴重なインサイトを提供することもできます。詳細は、Apache Kafkaメトリックでのストリーミングを参照してください。
パブリック接続が有効になっているKafkaクラスタでは、請求のためにテナンシに渡されるエグレス・データ・チャージが発生します。これにより、クラスタのリソース消費を明確に把握できます。