

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立 Kafka 連線
<a name="creating-connections-kafka"></a>

 建立 Kafka 連線時，從下拉式選單中選取 **Kafka** 將會顯示要設定的其他設定：
+  Kafka 叢集詳細資訊 
+  身分驗證 
+  加密 
+  網路選項 

 **設定 Kafka 叢集詳細資訊** 

1.  選擇叢集位置。您可以選擇 **Amazon managed streaming for Apache Kafka (MSK)** 叢集或**客戶受管的 Apache Kafka** 叢集。如需 Amazon Managed streaming for Apache Kafka 的詳細資訊，請參閱 [Amazon managed streaming for Apache Kafka (MSK)](https://docs.aws.amazon.com/msk/latest/developerguide/what-is-msk.html)。
**注意**  
 Amazon Managed Streaming for Apache Kafka 僅支援 TLS 和 SASL/SCRAM-SHA-512 身分驗證方法。  
![\[螢幕擷取畫面顯示了 Kafka 叢集詳細資訊區段，其中包含可選擇叢集位置和輸入 Kafka 自舉伺服器 URL 的選項。\]](http://docs.aws.amazon.com/zh_tw/glue/latest/dg/images/kafka-cluster-details.png)

1.  輸入您的 Kafka Bootstrap 伺服器的 URL。您可以用逗號分隔每個伺服器，進而輸入多個伺服器。附加 `:<port number>` 即可在 URL 的結尾處加上連接埠號碼，

    例如：`b-1.vpc-test-2.034a88o.kafka-us-east-1.amazonaws.com:9094`

 **選取身分驗證方法** 

![\[螢幕擷取畫面顯示了可用於選取 Kafka 身分驗證方法的下拉式選單。\]](http://docs.aws.amazon.com/zh_tw/glue/latest/dg/images/kafka-connection-authentication.png)


AWS Glue 支援 Simple Authentication and Security Layer (SASL) 架構進行身分驗證。SASL 架構支援各種身分驗證機制， AWS Glue 並提供 SCRAM （使用者名稱和密碼）、GSSAPI (Kerberos 通訊協定） 和 PLAIN （使用者名稱和密碼） 通訊協定。

從下拉式選單中選擇身分驗證方法時，可以選取以下用戶端身分驗證方法：
+ 無 - 無身分驗證。如果為進行測試而建立連線，此方法會很有用。
+ SASL/SCRAM-SHA-512 – 選擇此驗證方法來指定驗證憑證。有兩種可用選項：
  + 使用 AWS Secrets Manager （建議） - 如果您選擇此選項，您可以將登入資料存放在 AWS Secrets Manager 中，並在需要時讓 AWS Glue 存取資訊。指定存放 SSL 或 SASL 驗證憑證的秘密。  
![\[螢幕擷取畫面顯示了身分驗證方法為 SASL/SCRAM-SHA-512 時的身分驗證憑證選項。\]](http://docs.aws.amazon.com/zh_tw/glue/latest/dg/images/kafka-connection-authentication-sha-512.png)
  + 直接提供使用者名稱和密碼。
+  SASL/GSSAPI (Kerberos) - 如果您選取此選項，則可以選取 keytab 檔案和 krb5.conf 檔案的位置，然後輸入 Kerberos 主體名稱和 Kerberos 服務名稱。keytab 檔案和 krb5.conf 檔案的位置必須位於 Amazon S3 位置。由於 MSK 尚不支援 SASL/GSSAPI，此選項僅適用於客戶受管的 Apache Kafka 叢集。如需詳細資訊，請參閱 [MIT Kerberos 文件：Keytab](https://web.mit.edu/kerberos/krb5-latest/doc/basic/keytab_def.html)。
+  SASL/PLAIN – 選擇此驗證方法來指定驗證憑證。有兩種可用選項：
  + 使用 AWS Secrets Manager （建議） - 如果您選擇此選項，您可以將登入資料存放在 AWS Secrets Manager 中，並在需要時讓 AWS Glue 存取資訊。指定存放 SSL 或 SASL 驗證憑證的秘密。
  + 直接提供使用者名稱和密碼。
+  SSL 用戶端身分驗證 - 如果您選取此選項，則可以透過瀏覽 Amazon S3 來選取 Kafka 用戶端金鑰存放區的位置。或者，您可以輸入 Kafka 用戶端金鑰存放區密碼和 Kafka 用戶端金鑰密碼。

![\[螢幕擷取畫面顯示了身分驗證方法為 SSL 時的加密選項。\]](http://docs.aws.amazon.com/zh_tw/glue/latest/dg/images/kafka-connection-authentication-ssl.png)


 **設定加密設定** 

1.  如果 Kafka 連線需要 SSL 連線，請選取 **Require SSL connection** (需要 SSL 連線) 核取方塊。請注意，如果連線無法透過 SSL 連接，則連線將會失敗。用於加密的 SSL 可與任意一種驗證方法 (SASL/SCRAM-SHA-512、SASL/GSSAPI、SASL/PLAIN 或 SSL 用戶端身分驗證) 搭配使用，並且為選用項。

    如果身分驗證方法設定為 **SSL client authentication** (SSL 用戶端身分驗證)，則將會自動選取此選項，並將其停用以防止任何變更。

1.  (選用)。從憑證授權機構 (CA) 中，選擇私有憑證的位置。請注意，憑證必須位於 S3 位置。選擇 **Browse** (瀏覽) 從連接的 S3 儲存貯體中選擇檔案。該路徑的格式必須是 `s3://bucket/prefix/filename.pem`。其檔案名稱結尾必須是 .pem 副檔名。

1.  您可以選擇略過憑證授權機構 (CA) 的憑證驗證。選擇 **Skip validation of certificate from certificate authority (CA)** (略過憑證授權機構 (CA) 的憑證驗證) 核取方塊。如果未勾選此方塊，則 AWS Glue 會驗證三種演算法的憑證：
   +  SHA256withRSA 
   +  SHA384withRSA 
   +  SHA512withRSA 

![\[螢幕擷取畫面顯示了可用於設定加密的選項，包括是否要求 SSL 連接、從憑證授權機構 (CA) 選擇私有憑證位置的選項以及略過憑證授權機構 (CA) 的憑證驗證的選項。\]](http://docs.aws.amazon.com/zh_tw/glue/latest/dg/images/kafka-connection-encryption.png)


 **(選用) 網路選項** 

 以下是設定 VPC、子網路和安全群組的可選步驟。如果您的 AWS Glue 任務需要在虛擬私有雲端 (VPC) 子網路中的 Amazon EC2 執行個體上執行，您必須提供額外的 VPC 特定組態資訊。

1.  選擇包含您的資料來源的 VPC (虛擬私有雲端)。

1.  選擇 VPC 中的子網路。

1.  選擇一個或多個允許存取 VPC 子網路中資料存放區的安全群組。安全群組與連接到子網路的 ENI 相關聯。您必須至少選擇一個安全群組並為所有 TCP 連接埠建立自我引用的傳入規則。

![\[螢幕擷取畫面顯示了 VPC、子網路和安全群組的可選網路選項。\]](http://docs.aws.amazon.com/zh_tw/glue/latest/dg/images/kafka-connection-network-options.png)