Впрочем, по порту на каждый новый брокер всё равно придётся

открывать. Ну или сразу все.

Ну и это такое, конечно.. Вам точно надо клиенту доступ прямо к кафке в таком случае?

Один порт на DNS. Дальше - проксик расскажет про остальные.

А фаер зубная фея откроет?

Вероятно я просто не знаю другие варианты, какие они есть, если не напрямую и не через kafkaproxy?

Все сервисы мира к вашим услугам :) Я ж не знаю деталей, что у вас там, почему выбрана кафка, и т.п. Из простых/очевидных - рест прокси, или просто апи-сервис и коннект к нему вместо кафки. Но ничего из этого вам может и не подойти, конечно. Просто пара важных "фишек" кафки - это отказоустойчивость и высокая пропускная способность за счёт кластеризации. Вы их обе просто вычёркиваете с таким способом использования. Нормально ли это для вас и нужна ли вам вообще кафка при таком раскладе - я не знаю.

Кафка нужна и как раз фишки в виде отказоустойчивости используются. Попробую подробнее объяснить. Есть кафка 3 брокера, каждый топик 10 партиций. Метод подключения sasl_ssl, кафка располагается в кластере k8s. В интернет мы прокинули все брокеры кафки и общее dns имя, которое содержит ip- адреса кафки . В таком случае, когда клиент подключается по общему имени, dns ему даёт случайный ip- адрес и клиент подключается к соответствующему брокеру. Если брокер не доступен, то через n- попыток dns даст другой ip и клиент подключится к рабочему брокеру. Так как 3 брокера кафки, то один может выйти из строя и работа с Кафкой продолжится. Если захотим добавить количество брокеров, клиенту потребуется открыть доступ до новых брокеров. Вот и появился вопрос, может быть можно вытащить наружу не брокеры кафки, а что-то аля балансировщик, клиент будет подключаться именно к нему, а он далее будет направлять на какой-то брокер кафки. Я посмотрел на kafkaproxy, но может быть я не корректно понял настройки и принцип работы, но получается, что клиенту всё равно потребуется открывать доступы до всех брокеров.

Ну вот сейчас у вас есть брокер упадёт - клиент будет работать с остальными. Нет одной точки отказа. А с балансировщиком вы такую точку отказа добавляете.

Теперь понял о чем идёт речь, согласен, решение перестаёт казаться хорошим во всех смыслах