Event Streams での IAM IP アドレスのアクセス制限の使用
IAM IPアドレスアクセス制限 を有効にする場合は、 Event Streams 認証および承認サービス( Kafka クライアントの認証および承認に使用される)が引き続き機能するように、 Cloud Identity and Access Management (IAM)IPの許可リストが構成されていることを確認する必要があります。
パブリック・ネットワークを介して Event Streams を使用する場合のアクセス権限の付与
パブリック・ネットワークを介して Event Streams を使用する場合は、Kafka API エンドポイントおよび REST API エンドポイントにアクセスするすべてのコンピューターの IP アドレスを Cloud Identity and Access Management (IAM) IP 許可リストに追加する必要があります。
プライベート・ネットワークを介して Event Streams を使用する場合のアクセス権限の付与 (エンタープライズ・プランのみ)
プライベート・ネットワークを介して Event Streams を使用する場合は、該当するクラスターの Event Streams 独自のプライベート IP アドレスを Cloud Identity and Access Management (IAM) IP 許可リストに追加する必要があります。 これらの IP アドレスは、以下のコマンドを使用して見つけることができます。
ibmcloud resource service-instance <event-streams-instance-name> --output json
出力からextensions.virtual_private_endpoints.endpoints.ip_addressセクションを見つけ、以下の例のように、3 つの166.9.x.x IP アドレスを Cloud Identity and Access Management (IAM) IP 許可リストに追加します。 これらのアドレスは静的であり、サービス・インスタンスの存続期間中は残ります。
{
"extensions": {
"virtual_private_endpoints": {
"dns_domain": "private.us-south.messagehub.appdomain.cloud",
"dns_hosts": [
"kafka-0-mh-int-pipe-mis-cfxdrmzjgs",
"kafka-1-mh-int-pipe-mis-cfxdrmzjgs",
"kafka-2-mh-int-pipe-mis-cfxdrmzjgs",
"mh-int-pipe-mis-cfxdrmzjgs"
],
"endpoints": [
{
"ip_address": "166.9.12.189",
"zone": "dal10"
},
{
"ip_address": "166.9.16.225",
"zone": "dal13"
},
{
"ip_address": "166.9.15.61",
"zone": "dal12"
}
],
"origin_type": "cse",
"ports": [
{
"port_max": 9093,
"port_min": 443
}
]
}
}
}
Event Streams が受信するソース IP アドレスは IBM Cloud サービス・エンドポイントの IP アドレスであり、要求の発信元の IP ではないため、このアクションはプライベート接続の場合に必須です。
コンテキスト・ベースの制限を使用して、 Event Streams エンタープライズ・インスタンスへのアクセスを制限することもできます。 詳しくは、 エンタープライズ・プランを使用したネットワーク・アクセスの制限 を参照してください。