从 AWS Marketplace 安装环境

参考概述▸ ，使用AutoMQ Cloud 需要先安装环境。本文介绍如何从 AWS Marketplace 安装 BYOC 环境。

本文中提及 AutoMQ 产品服务方、AutoMQ 服务方、AutoMQ，均特指 AutoMQHK Limited及其附属公司。

前提条件

条件一：云账号操作权限

创建 BYOC 环境，需要操作的云账号为主账号 或者是已经被授权相关操作权限的 IAM 子账号 。如果当前操作 AWS 控制台使用了 IAM 子账号，需要先授权再进行服务开通操作。

使用 AWS 托管策略授权

通常可以为 IAM 子账号，授予下方的AWS 托管策略，即可进行后续的部署安装：

• AmazonVPCFullAccess：管理专有网络 VPC 的权限。

• AmazonEC2FullAccess：管理 EC2 产品的权限。

• AmazonS3FullAccess：管理对象存储 S3 的权限。

• AmazonRoute53FullAccess：管理 Route 53 服务的权限。

使用自定义策略授权

如果不希望使用 AWS 提供的系统托管策略，希望更细粒度控制权限，可以参考下方的授权策略内容，创建自定义策略，并授予相应的操作账号或者角色。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:PutBucketTagging",
        "s3:DeleteBucket"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:DeleteObject",
        "s3:DeleteObjectVersion"
      ],
      "Resource": "arn:aws:s3:::*/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DeleteVpcEndpoints",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:DeleteSecurityGroup",
        "ec2:DeleteRoute",
        "ec2:DeleteRouteTable",
        "ec2:DeleteSubnet",
        "ec2:DeleteInternetGateway",
        "ec2:DetachInternetGateway",
        "ec2:DisassociateRouteTable"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/automqVendor": "automq"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateVpc",
        "ec2:CreateTags",
        "ec2:CreateRouteTable",
        "ec2:CreateSubnet",
        "ec2:CreateInternetGateway",
        "ec2:RunInstances",
        "ec2:AssociateRouteTable",
        "ec2:AttachInternetGateway",
        "ec2:DescribeAddresses",
        "ec2:DescribeAddressesAttribute",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeImages",
        "ec2:DescribeInstanceCreditSpecifications",
        "ec2:DescribeInstanceTypes",
        "ec2:DescribeInstances",
        "ec2:DescribeInternetGateways",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribePrefixLists",
        "ec2:DescribeRouteTables",
        "ec2:DescribeSecurityGroupRules",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSubnets",
        "ec2:DescribeTags",
        "ec2:DescribeVolumes",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeVpcs",
        "sts:GetCallerIdentity",
        "ssm:GetParameter",
        "ec2:DescribeVpcAttribute",
        "ec2:ModifyVpcAttribute",
        "route53:AssociateVPCWithHostedZone",
        "route53:ListResourceRecordSets",
        "route53:ListTagsForResource",
        "route53:GetChange",
        "route53:DeleteHostedZone",
        "route53:GetHostedZone",
        "ec2:DisassociateAddress",
        "ec2:AssociateAddress",
        "ec2:DescribeInstanceAttribute",
        "ec2:ModifyInstanceAttribute",
        "ec2:TerminateInstances",
        "ec2:AllocateAddress",
        "ec2:ReleaseAddress",
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "route53:ChangeTagsForResource",
        "ec2:CreateRoute",
        "route53:CreateHostedZone",
        "ec2:CreateSecurityGroup",
        "ec2:DeleteNetworkAclEntry",
        "ec2:CreateNetworkAclEntry",
        "ec2:CreateVpcEndpoint",
        "s3:ListBucket",
        "ec2:DeleteVpc"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateRole",
        "iam:TagRole",
        "iam:TagPolicy",
        "iam:CreatePolicy"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/automqVendor": "automq"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:GetRole",
        "iam:ListAttachedRolePolicies",
        "iam:ListInstanceProfilesForRole",
        "iam:ListRolePolicies",
        "iam:PassRole",
        "iam:AddRoleToInstanceProfile",
        "iam:GetInstanceProfile",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListPolicyVersions",
        "iam:CreateInstanceProfile",
        "iam:TagInstanceProfile"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:DeleteInstanceProfile",
        "iam:RemoveRoleFromInstanceProfile",
        "iam:DeletePolicy",
        "iam:DeleteRole",
        "iam:DetachRolePolicy"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/automqVendor": "automq"
        }
      }
    }
  ]
}

条件二：准备 VPC

AutoMQ BYOC 环境部署在用户 VPC 内，以保障数据隐私和安全。从 AWS Marketplace 安装 AutoMQ 环境时，支持以下两种方式：

• 自动创建新的 VPC 安装环境： 选择此选项后由 Marketplace CloudFormation 自动创建 VPC 等资源，无需用户手工配置，推荐用于首次 POC 和测试。

• 由用户提供 VPC 安装环境： Marketplace 不会主动创建 VPC 网络，由用户指定已有的 VPC 网络。

如果选择 由用户提供 VPC 安装环境 ，则必须参考准备 VPC▸准备 VPC 网络，确保符合 AutoMQ 的要求。否则会导致安装失败。

操作流程

步骤 1：从 Marketplace 订阅 AutoMQ

AutoMQ Cloud BYOC 环境安装包在 AWS 上通过 Marketplace CloudFormation 商品提供分发，用户可以从 Marketplace 订阅 AutoMQ，商品链接是 AutoMQ for Kafka (BYOC FreeTier)。

前往 AWS Marketplace，访问商品页面 AutoMQ for Kafka (BYOC FreeTier)。

点击 Continue to Subscribe，首次访问，请点击确认用户协议。

选择从 CloudFormation Template 配置，按照提示填写表单。

步骤 2：使用 CloudFormation 模板安装环境

在上一步，选择CloudFormation Template 配置后，会跳往 CloudFormation 产品界面，创建新的 Stack。

按照提示填写如下参数，继续配置，启动创建流程。

设置参数	取值说明
Stack Name	说明：当前 CloudFormation Stack 名称。 限制：该名称会用于命名资源变量，建议仅设置大小写字母、数字。
ExistingVPCId	说明：指定环境部署的目标 VPC Id，如果不设置留空，则会自动创建新的 VPC。
ExistingPublicSubnetId	说明：指定环境部署的目标子网 Id， 当设置 ExistingVPCId 时，即使用已有 VPC 时，此参数必须设置。
MsgBucket	说明：设置消息 S3 Bucket 名称，该 Bucket 用于存储 Kafka 消息数据 。 如果不设置，则会自动创建一个全新的 Bucket。
OpsBucket	说明：设置运维 S3 Bucket 名称，该 Bucket 用于存储 AutoMQ 的系统日志、Metrics 等数据，不含应用数据。 如果不设置，则会自动创建一个全新的 Bucket。
WebConsoleInstanceType	说明：设置部署 AutoMQ BYOC 环境控制台的 EC2 实例类型。 限制：建议至少选择 2 核 8G 的机型。
SecurityGroupCIDR	说明：设置访问 AutoMQ 环境控制台的安全组来源 CIDR。
KeyName	说明：设置访问 AutoMQ 环境控制台所在的 EC2 实例的登录证书 KeyName。 如果不设置，则不会创建 EC2 Key，后续无法通过 SSH 登录 EC2 实例。

步骤 3：获取 CloudFormation 输出，访问环境

上一步安装完成后，查看当前 CloudFormation 的 Output，获取访问环境的初始信息。

输出返回	输出说明
AutoMQWebConsoleURL	AutoMQ BYOC 环境控制台的 URL 地址，用户可以在浏览器访问该地址，或者调用 API、Terraform 访问服务。
DefaultUserName	环境控制台的初始用户名。
DefaultPassword	环境控制台的初始密码，取值为环境控制台对应的 EC2 实例的实例 ID。用户需要在首次登录后立即修改。

后续步骤

环境安装完成后，即可访问环境使用，AutoMQ 支持如下两种方式：

• 通过 WebUI 使用 AutoMQ： 通过浏览器访问步骤 3 返回的控制台地址，输入初始用户名密码，即可进入环境控制台创建实例，并体验产品功能。体验 AutoMQ for Kafka▸

• 通过 Terraform 使用 AutoMQ： 环境安装完成后，用户可以通过 AutoMQ Terraform Provider 管理和使用 AutoMQ。通过 Terraform 方式使用 AutoMQ ，请参考文档。