Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Zugriff auf Amazon OpenSearch Service über einen OpenSearch serviceverwalteten VPC-Endpunkt (AWS PrivateLink)
Sie können auf eine Amazon- OpenSearch Service-Domain zugreifen, indem Sie einen OpenSearch serviceverwalteten VPC-Endpunkt einrichten (unterstützt von AWS PrivateLink). Diese Endpunkte stellen eine private Verbindung zwischen Ihrer VPC und Amazon OpenSearch Service her. Sie können auf OpenSearch Service-VPC-Domains zugreifen, als wären sie in Ihrer VPC, ohne die Verwendung eines Internet-Gateways, NAT-Geräts, einer VPN-Verbindung oder einer - AWS Direct Connect Verbindung. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf den OpenSearch Service zuzugreifen.
Sie können OpenSearch Service-Domains so konfigurieren, dass zusätzliche Endpunkte verfügbar sind, die in öffentlichen oder privaten Subnetzen innerhalb derselben VPC, einer anderen VPC oder einer anderen ausgeführt werden AWS-Konten. Auf diese Weise können Sie eine zusätzliche Sicherheitsebene für den Zugriff auf Ihre Domains hinzufügen, unabhängig davon, wo diese ausgeführt werden, ohne dass eine Infrastruktur verwaltet werden muss. Das folgende Diagramm veranschaulicht OpenSearch serviceverwaltete VPC-Endpunkte innerhalb derselben VPC:
Sie stellen diese private Verbindung her, indem Sie einen OpenSearch serviceverwalteten Schnittstellen-VPC-Endpunkt erstellen, der von unterstützt wird AWS PrivateLink. Wir erstellen in jedem Subnetz, das Sie für den Schnittstellen-VPC-Endpunkt aktivieren, eine Endpunkt-Netzwerkschnittstelle. Dies sind serviceverwaltete Netzwerkschnittstellen, die als Eintrittspunkt für Datenverkehr dienen, der für OpenSearch Service bestimmt ist. Die AWS PrivateLink Standardpreise für Schnittstellenendpunkte
Sie können VPC-Endpunkte für Domänen erstellen, auf denen alle Versionen von OpenSearch und Legacy-Elasticsearch ausgeführt werden. Weitere Informationen finden Sie unter Zugriff auf AWS-Services über AWS PrivateLink im AWS PrivateLink -Leitfaden.
Überlegungen und Einschränkungen für OpenSearch Service
Bevor Sie einen Schnittstellen-VPC-Endpunkt für OpenSearch Service einrichten, lesen Sie Überlegungen im AWS PrivateLink -Handbuch.
Beachten Sie bei der Verwendung von OpenSearch serviceverwalteten VPC-Endpunkten Folgendes:
-
Sie können nur Schnittstellen-VPC-Endpunkte verwenden, um eine Verbindung zu VPC-Domains herzustellen. Öffentliche Domains werden nicht unterstützt.
-
VPC-Endpunkte können nur eine Verbindung zu Domains innerhalb derselben AWS-Regionherstellen.
-
HTTPS ist das einzige unterstützte Protokoll für VPC-Endpunkte. HTTP ist nicht zulässig.
-
OpenSearch Der Service unterstützt Aufrufe an alle unterstützten OpenSearch API-Operationen über einen Schnittstellen-VPC-Endpunkt.
-
Sie können maximal 50 Endpunkte pro Konto und maximal 10 Endpunkte pro Domain konfigurieren. Eine einzelne Domain kann maximal über 10 autorisierte Prinzipale verfügen.
-
Sie können derzeit nicht verwenden AWS CloudFormation , um Schnittstellen-VPC-Endpunkte zu erstellen.
-
Sie können Schnittstellen-VPC-Endpunkte nur über die OpenSearch Servicekonsole oder mithilfe der OpenSearch Service-API erstellen. Sie können keine Schnittstellen-VPC-Endpunkte für OpenSearch Service mit der Amazon-VPC-Konsole erstellen.
-
OpenSearch Serviceverwaltete VPC-Endpunkte sind nicht über das Internet zugänglich. Auf einen OpenSearch serviceverwalteten VPC-Endpunkt kann nur innerhalb der VPC zugegriffen werden, in der Endpunkt bereitgestellt wird, oder in allen VPCs, in denen der Endpunkt gemäß den Routing-Tabellen und Sicherheitsgruppen bereitgestellt wird.
-
VPC-Endpunktrichtlinien werden für OpenSearch Service nicht unterstützt. Sie können eine Sicherheitsgruppe mit den Endpunktnetzwerkschnittstellen verknüpfen, um den Datenverkehr zum OpenSearch Service über den Schnittstellen-VPC-Endpunkt zu steuern.
-
Ihre serviceverknüpfte Rolle muss sich in demselben AWS Konto befinden, das Sie zum Erstellen des VPC-Endpunkts verwenden.
-
Um den OpenSearch Service-VPC-Endpunkt zu erstellen, zu aktualisieren und zu löschen, benötigen Sie zusätzlich zu Ihren Amazon- OpenSearch Service-Berechtigungen die folgenden Amazon EC2-Berechtigungen:
-
ec2:CreateVpcEndpoint -
ec2:DescribeVpcEndpoints -
ec2:ModifyVpcEndpoint -
ec2:DeleteVpcEndpoints -
ec2:CreateTags -
ec2:DescribeTags -
ec2:DescribeSubnets -
ec2:DescribeSecurityGroups -
ec2:DescribeVpcs
-
Anmerkung
Derzeit können Sie die Erstellung von VPC-Endpunkten nicht auf OpenSearch Service beschränken. Wir arbeiten daran, dies in einem zukünftigen Update zu ermöglichen.
Zugriff auf eine Domain bereitstellen
Wenn sich die VPC, auf die Sie auf Ihre Domain zugreifen möchten, in einem anderen befindet AWS-Konto, müssen Sie sie vom Konto des Besitzers autorisieren, bevor Sie einen Schnittstellen-VPC-Endpunkt erstellen können.
So erlauben Sie einer VPC in einer anderen AWS-Konto den Zugriff auf Ihre Domain
Öffnen Sie die Amazon- OpenSearch Service-Konsole unter https://console.aws.amazon.com/aos/home/
. -
Wählen Sie im Navigationsbereich Domains aus und öffnen Sie die Domain, auf die Sie Zugriff gewähren möchten.
-
Wechseln Sie zur Registerkarte VPC endpoints (VPC-Endpunkte), auf der die Konten und entsprechenden VPCs angezeigt werden, die Zugriff auf Ihre Domain haben.
-
Wählen Sie Authorize principal (Prinzipal autorisieren) aus.
-
Geben Sie die AWS-Konto ID des Kontos ein, das auf Ihre Domain zugreifen soll. Dieser Schritt autorisiert das angegebene Konto, VPC-Endpunkte für die Domain zu erstellen.
-
Klicken Sie auf Authorize.
Erstellen eines Schnittstellen-VPC-Endpunkts für eine VPC-Domain
Sie können einen Schnittstellen-VPC-Endpunkt für OpenSearch Service entweder über die OpenSearch Servicekonsole oder die AWS Command Line Interface (AWS CLI) erstellen.
So erstellen Sie einen Schnittstellen-VPC-Endpunkt für eine - OpenSearch Service-Domain
Öffnen Sie die Amazon- OpenSearch Service-Konsole unter https://console.aws.amazon.com/aos/home/
. -
Wählen Sie im linken Navigationsbereich VPC endpoints (VPC-Endpunkte) aus.
-
Wählen Sie Endpunkt erstellen aus.
-
Wählen Sie aus, ob eine Domain im aktuellen AWS-Konto oder einem anderen verbunden werden soll AWS-Konto.
-
Wählen Sie die Domain aus, zu der Sie mit diesem Endpunkt eine Verbindung herstellen. Wenn sich die Domain in der aktuellen befindet AWS-Konto, wählen Sie die Domain aus der Dropdownliste aus. Wenn sich die Domain in einem anderen Konto befindet, geben Sie den Amazon-Ressourcennamen (ARN) der Domain ein, zu der eine Verbindung hergestellt werden soll. Um eine Domain in einem anderen Konto auszuwählen, muss der Eigentümer Ihnen Zugriff auf die Domain gewähren.
-
Wählen Sie für VPC die VPC aus, von der aus Sie auf OpenSearch Service zugreifen.
-
Wählen Sie für Subnetze ein oder mehrere Subnetze aus, von denen aus Sie auf den OpenSearch Service zugreifen.
-
Wählen Sie für Sicherheitsgruppen die Sicherheitsgruppen aus, die den Security groups (Endpunkt-Netzwerkschnittstellen) zugeordnet werden sollen. Dies ist ein wichtiger Schritt, in dem Sie einschränken, welche Ports, Protokolle und Quellen für eingehenden Datenverkehr Sie für Ihren Endpunkt autorisieren. Die Sicherheitsgruppenregeln müssen den Ressourcen, die den VPC-Endpunkt für die Kommunikation mit dem - OpenSearch Service verwenden, die Kommunikation mit der Endpunkt-Netzwerkschnittstelle ermöglichen.
-
Wählen Sie Endpunkt erstellen aus. Der Endpunkt sollte innerhalb von 2–5 Minuten aktiv sein.
Arbeiten mit OpenSearch serviceverwalteten VPC-Endpunkten unter Verwendung der Konfigurations-API
Verwenden Sie die folgenden API-Operationen, um OpenSearch serviceverwaltete VPC-Endpunkte zu erstellen und zu verwalten.
Verwenden Sie die folgenden API-Operationen, um den Endpunktzugriff auf VPC-Domains zu verwalten:
