客户端只能部署在与Kafka实例处于相同虚拟私有云（VPC）和相同子网的弹性云主机（CT-ECS）上。

除了CT-ECS、Kafka实例必须处于相同VPC之外，还需要他们的安全组分别配置了正确的规则，客户端才能访问Kafka实例。

如果CT-ECS、Kafka实例配置相同的安全组，安全组创建后，默认包含组内网络访问不受限制的规则。

如果CT-ECS、Kafka实例配置了不同安全组，可参考如下配置方式：

说明
假设CT-ECS、Kafka实例分别配置了安全组：sgs-CT-ECS、sgs-Kafka。
以Kafka访问端口9098为例，其它实例请以实际情况为准。
以下规则，远端可使用安全组，也可以使用具体的IP地址。

配置CT-ECS所在安全组。CT-ECS所在安全组需要增加如下出方向规则，以保证客户端能正常访问Kafka实例。如果出方向规则不受限，则不用添加。
配置Kafka实例所在安全组。Kafka实例所在安全组需要增加如下入方向规则，以保证能被客户端访问。