Greifen Sie über einen OpenSearch vom Service OpenSearch verwalteten VPC Endpunkt auf Amazon Service zu ()AWS PrivateLink - OpenSearch Amazon-Dienst
ÜberlegungenZugriff auf eine Domain bereitstellenErstellen Sie einen VPC SchnittstellenendpunktVerwaltung mithilfe von Serviceoperationen OpenSearch API

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Greifen Sie über einen OpenSearch vom Service OpenSearch verwalteten VPC Endpunkt auf Amazon Service zu ()AWS PrivateLink

Sie können auf eine Amazon OpenSearch Service-Domain zugreifen, indem Sie einen vom Service OpenSearch verwalteten VPC Endpunkt (powered by AWS PrivateLink) einrichten. Diese Endpunkte stellen eine private Verbindung zwischen Ihnen VPC und Amazon OpenSearch Service her. Sie können auf OpenSearch VPC Service-Domains zugreifen, als ob sie sich in Ihren befändenVPC, ohne ein Internet-Gateway, ein NAT Gerät, eine Verbindung oder AWS Direct Connect eine VPN Verbindung verwenden zu müssen. Instanzen in Ihrem System benötigen VPC keine öffentlichen IP-Adressen, um auf den OpenSearch Service zuzugreifen.

Sie können OpenSearch Dienstdomänen so konfigurieren, dass zusätzliche Endpunkte verfügbar gemacht werden, die in öffentlichen oder privaten Subnetzen innerhalb desselben VPCVPC, unterschiedlichen oder unterschiedlichen Subnetzes laufen. AWS-Konten Auf diese Weise können Sie eine zusätzliche Sicherheitsebene für den Zugriff auf Ihre Domains hinzufügen, unabhängig davon, wo diese ausgeführt werden, ohne dass eine Infrastruktur verwaltet werden muss. Das folgende Diagramm zeigt vom OpenSearch Service verwaltete VPC Endpunkte innerhalb desselben: VPC

VPC diagram showing Amazon PrivateLink in public subnet connecting to OpenSearch Service in private subnet.

Sie stellen diese private Verbindung her, indem Sie einen vom OpenSearch Dienst verwalteten VPCSchnittstellenendpunkt erstellen, der von betrieben wird. AWS PrivateLink Wir erstellen in jedem Subnetz, das Sie für den Schnittstellenendpunkt aktivieren, eine Endpunkt-NetzwerkschnittstelleVPC. Dabei handelt es sich um vom Service verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für den Service bestimmt ist. OpenSearch Für vom OpenSearch Service verwaltete Endgeräte gelten die Standardpreise für Endgeräte für AWS PrivateLink Schnittstellen, deren Abrechnung im Rahmen VPC erfolgt. AWS PrivateLink

Sie können VPC Endpoints für Domains erstellen, auf denen alle Versionen und ältere Versionen von OpenSearch Elasticsearch laufen. Weitere Informationen finden Sie unter Zugriff auf AWS-Services über AWS PrivateLink im AWS PrivateLink -Leitfaden.

Überlegungen und Einschränkungen für Service OpenSearch

Bevor Sie einen VPC Schnittstellenendpunkt für OpenSearch Service einrichten, lesen Sie die Überlegungen im AWS PrivateLink Handbuch durch.

Beachten Sie bei der OpenSearch Verwendung von vom Service verwalteten VPC Endpunkten Folgendes:

  • Sie können nur VPC Schnittstellenendpunkte verwenden, um eine Verbindung zu Domänen herzustellen. VPC Öffentliche Domains werden nicht unterstützt.

  • VPCEndpunkte können sich nur mit Domänen innerhalb derselben Domäne verbinden. AWS-Region

  • HTTPSist das einzige unterstützte Protokoll für VPC Endpunkte. HTTPist nicht erlaubt.

  • OpenSearch Der Dienst unterstützt das Aufrufen aller unterstützten OpenSearch API Operationen über einen VPC Schnittstellenendpunkt.

  • Sie können maximal 50 Endpunkte pro Konto und maximal 10 Endpunkte pro Domain konfigurieren. Eine einzelne Domain kann maximal über 10 autorisierte Prinzipale verfügen.

  • Sie können ihn derzeit nicht AWS CloudFormation zum Erstellen von VPC Schnittstellenendpunkten verwenden.

  • Sie können VPC Schnittstellenendpunkte nur über die OpenSearch Servicekonsole oder mithilfe des OpenSearch Dienstes erstellen. API Mit der VPC Amazon-Konsole können Sie keine VPC Schnittstellenendpunkte für OpenSearch Service erstellen.

  • OpenSearch Vom Service verwaltete VPC Endpunkte sind nicht über das Internet zugänglich. Ein vom OpenSearch Dienst verwalteter VPC Endpunkt ist nur innerhalb des Bereichs zugänglich, an VPC dem der Endpunkt bereitgestellt wird, oder innerhalb eines VPCs Peering-Netzwerks mit dem Ort, VPC an dem der Endpunkt bereitgestellt wird, sofern dies in den Routing-Tabellen und Sicherheitsgruppen zulässig ist.

  • VPCEndpunktrichtlinien werden für Service nicht unterstützt. OpenSearch Sie können den Endpunkt-Netzwerkschnittstellen eine Sicherheitsgruppe zuordnen, um den Datenverkehr zum OpenSearch Service über den VPC Schnittstellenendpunkt zu steuern.

  • Ihre dienstbezogene Rolle muss sich in demselben AWS Konto befinden, mit dem Sie den VPC Endpunkt erstellt haben.

  • Um den OpenSearch VPC Service-Endpunkt zu erstellen, zu aktualisieren und zu löschen, benötigen Sie zusätzlich zu Ihren Amazon EC2 OpenSearch Service-Berechtigungen die folgenden Amazon-Berechtigungen:

    • ec2:CreateVpcEndpoint

    • ec2:DescribeVpcEndpoints

    • ec2:ModifyVpcEndpoint

    • ec2:DeleteVpcEndpoints

    • ec2:CreateTags

    • ec2:DescribeTags

    • ec2:DescribeSubnets

    • ec2:DescribeSecurityGroups

    • ec2:DescribeVpcs

Anmerkung

Derzeit können Sie die Erstellung von VPC Endpunkten nicht auf OpenSearch Service beschränken. Wir arbeiten daran, dies in einem future Update zu ermöglichen.

Zugriff auf eine Domain bereitstellen

Wenn sich VPC die Domain, auf die Sie zugreifen möchten, in einer anderen befindet AWS-Konto, müssen Sie sie über das Konto des Besitzers autorisieren, bevor Sie einen VPC Schnittstellenendpunkt erstellen können.

Um einem anderen VPC den Zugriff auf Ihre AWS-Konto Domain zu ermöglichen

  1. Öffnen Sie die Amazon OpenSearch Service-Konsole zu https://console.aws.amazon.com/aos/Hause/.

  2. Wählen Sie im Navigationsbereich Domains aus und öffnen Sie die Domain, auf die Sie Zugriff gewähren möchten.

  3. Gehen Sie zum Tab VPCEndpoints, auf dem die Konten und die entsprechenden Konten angezeigt werdenVPCs, die Zugriff auf Ihre Domain haben.

  4. Wählen Sie Authorize principal (Prinzipal autorisieren) aus.

  5. Geben Sie die AWS-Konto ID des Kontos ein, das auf Ihre Domain zugreift. Dieser Schritt autorisiert das angegebene Konto, VPC Endpunkte für die Domain zu erstellen.

  6. Klicken Sie auf Authorize.

Erstellen Sie einen VPC Schnittstellenendpunkt für eine Domäne VPC

Sie können einen VPC Schnittstellenendpunkt für OpenSearch Service entweder mit der OpenSearch Servicekonsole oder mit AWS Command Line Interface (AWS CLI) erstellen.

Um einen VPC Schnittstellenendpunkt für eine OpenSearch Service-Domäne zu erstellen

  1. Öffnen Sie die Amazon OpenSearch Service-Konsole zu https://console.aws.amazon.com/aos/Hause/.

  2. Wählen Sie im linken Navigationsbereich VPCEndpoints aus.

  3. Wählen Sie Endpunkt erstellen aus.

  4. Wählen Sie aus, ob eine Domain in der aktuellen AWS-Konto oder einer anderen AWS-Konto verbunden werden soll.

  5. Wählen Sie die Domain aus, zu der Sie mit diesem Endpunkt eine Verbindung herstellen. Wenn sich die Domain in der aktuellen Domain befindet AWS-Konto, verwenden Sie das Drop-down-Menü, um die Domain auszuwählen. Wenn sich die Domain in einem anderen Konto befindet, geben Sie den Amazon-Ressourcennamen (ARN) der Domain ein, zu der Sie eine Verbindung herstellen möchten. Um eine Domain in einem anderen Konto auszuwählen, muss der Eigentümer Ihnen Zugriff auf die Domain gewähren.

  6. Wählen Sie für die Option VPC aus VPC, von der aus Sie auf OpenSearch Service zugreifen möchten.

  7. Wählen Sie für Subnetze ein oder mehrere Subnetze aus, von denen aus Sie auf den Service zugreifen OpenSearch möchten.

  8. Wählen Sie für Sicherheitsgruppen die Sicherheitsgruppen aus, die den Security groups (Endpunkt-Netzwerkschnittstellen) zugeordnet werden sollen. Dies ist ein wichtiger Schritt, in dem Sie einschränken, welche Ports, Protokolle und Quellen für eingehenden Datenverkehr Sie für Ihren Endpunkt autorisieren. Die Sicherheitsgruppenregeln müssen den Ressourcen, die den VPC Endpunkt für die Kommunikation mit dem OpenSearch Service verwenden, die Kommunikation mit der Endpunkt-Netzwerkschnittstelle ermöglichen.

  9. Wählen Sie Endpunkt erstellen aus. Der Endpunkt sollte innerhalb von 2–5 Minuten aktiv sein.

Arbeiten mit vom OpenSearch Service verwalteten VPC Endpunkten unter Verwendung der Konfiguration API

Verwenden Sie die folgenden API Vorgänge, um vom OpenSearch Service verwaltete VPC Endpunkte zu erstellen und zu verwalten.

Verwenden Sie die folgenden API Operationen, um den Endpunktzugriff auf Domänen zu VPC verwalten: