Перейти к основному содержимому

Настроить сетевой доступ к кластеру Kafka

Последнее изменение:

По умолчанию в кластерах с публичной подсетью подключение разрешено для всех IP-адресов при наличии логина и пароля.

К кластеру в приватной подсети подключение разрешено из подсети кластера и из тех подсетей, которые объединены с подсетью кластера облачным роутером.

Вы можете определить список разрешенных IP-адресов, с которых будет разрешен доступ в кластер облачных баз данных.

Также для ограничения доступа к кластеру облачных баз данных можно использовать группы безопасности.

Любые изменения настроек сетевого доступа — зона ответственности клиента.

Определить список разрешенных IP-адресов

При восстановлении кластера из бэкапа список разрешенных IP-адресов не сохранится — для нового кластера разрешенные IP-адреса нужно будет прописать заново.

  1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные базы данных.
  2. Откройте вкладку Активные.
  3. Откройте страницу кластера баз данных → вкладка Настройки.
  4. В блоке Управление сетевым доступом нажмите на поле Разрешенные адреса и CIDR подсетей.
  5. В нижней части выпадающего списка введите CIDR подсети или IP-адрес, с которого должен быть разрешен доступ в кластер. Поддерживается только IPv4-адресация.
  6. Нажмите .
  7. Повторите шаги 5 и 6 для всех разрешенных IP-адресов.
  8. Нажмите Сохранить. Всем IP-адресам, кроме указанных в списке разрешенных, подключение будет запрещено.

Группы безопасности в кластере облачных баз данных

Группа безопасности в кластере облачных баз данных — набор правил для фильтрации входящего и исходящего трафика кластера. Для работы групп безопасности в сети должна быть включена фильтрация трафика (port security).

Если в сети включена фильтрация, то для всех портов в этой сети назначается группа безопасности по умолчанию, которая разрешает прохождение всего трафика через порты. Вы можете назначить другую группу безопасности при создании кластера или в существующем кластере.

Помимо групп безопасности, которые вы выбираете при создании кластера, на порты сети кластера облачных баз данных автоматически назначается служебная группа безопасности. Эта группа обеспечивает работу кластера, ее нельзя изменить или удалить. Служебная группа отображается только в OpenStack CLI и Terraform.

Подробнее о группах безопасности в разделе Группы безопасности.

Назначить группу безопасности в существующем кластере

осторожно

После назначения группы прервутся все активные сессии, которые не соответствуют правилам группы.

  1. Убедитесь, что в сети кластера включена фильтрация трафика (port security). Для этого в панели управления в верхнем меню нажмите ПродуктыОблачные серверыСеть → вкладка Приватные сети или Публичные сети. Сеть с включенной фильтрацией отмечена .

    Если фильтрация выключена, для использования групп безопасности создайте новый кластер в новой подсети или в подсети с включенной фильтрацией трафика.

  2. В панели управления в верхнем меню нажмите Продукты и выберите Облачные базы данных.

  3. Откройте вкладку Активные.

  4. Откройте страницу кластера баз данных → вкладка Настройки.

  5. В блоке Безопасность нажмите Изменить.

  6. Отметьте группу безопасности, которую нужно назначить на все порты в сети кластера.

  7. Нажмите .