Starten Ihrer Amazon- OpenSearch Service-Domains innerhalb einer VPC - OpenSearch Amazon-Dienst
VPC im Vergleich zu öffentlichen DomänenEinschränkungenArchitektur

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Starten Ihrer Amazon- OpenSearch Service-Domains innerhalb einer VPC

Sie können - AWS Ressourcen wie Amazon- OpenSearch Service-Domains in einer Virtual Private Cloud (VPC) starten. Eine VPC ist ein virtuelles Netzwerk, das speziell für Ihr bestimmt ist AWS-Konto. Sie ist logisch von den anderen virtuellen Netzwerken in der AWS Cloud getrennt. Das Platzieren einer - OpenSearch Service-Domain in einer VPC ermöglicht eine sichere Kommunikation zwischen OpenSearch Service und anderen Services innerhalb der VPC, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt sicher innerhalb der - AWS Cloud.

Anmerkung

Wenn Sie Ihre OpenSearch Service-Domain in einer VPC platzieren, muss Ihr Computer eine Verbindung mit der VPC herstellen können. Diese Verbindung besteht oft in Form eines VPN, eines Transit Gateways, eines verwalteten Netzwerks oder eines Proxy-Servers. Sie können nicht direkt von außerhalb der VPC auf Ihre Domänen zugreifen.

VPC im Vergleich zu öffentlichen Domänen

Im Folgenden sind einige der Möglichkeiten aufgeführt, wie sich VPC-Domänen von öffentlichen Domänen unterscheiden. Jeder Unterschied wird weiter unten detailliert beschrieben.

  • Domänen, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domänen, die öffentliche Endpunkte nutzen, über eine zusätzliche Sicherheitsebene.

  • Während auf öffentliche Domänen von jedem mit dem Internet verbundenen Gerät aus zugegriffen werden kann, benötigen VPC-Domänen eine Form von VPN oder Proxy.

  • Im Vergleich zu öffentlichen Domänen werden für VPC-Domänen in der -Konsole weniger Informationen angezeigt. Insbesondere werden auf der Registerkarte Clusterzustand keine Shard-Informationen aufgeführt. Zudem fehlt die Registerkarte Indizes ganz.

  • Die Domänenendpunkte haben unterschiedliche Formen (https://search-domain-name im Vergleich mit https://vpc-domain-name).

  • Sie können keine IP-basierten Zugriffsrichtlinien auf Domänen anwenden, die sich in einer VPC befinden, da Sicherheitsgruppen bereits IP-basierte Zugriffsrichtlinien erzwingen.

Einschränkungen

Für den Betrieb einer - OpenSearch Service-Domain innerhalb einer VPC gelten die folgenden Einschränkungen:

  • Wenn Sie eine neue Domäne in einer VPC verwenden, können Sie später nicht zu einem öffentlichen Endpunkt wechseln. Dasselbe gilt auch umgekehrt: Wenn Sie eine Domäne mit einem öffentlichen Endpunkt erstellen, können Sie diese später nicht in eine VPC aufnehmen. Sie müssen stattdessen eine neue Domäne erstellen und die Daten übernehmen.

  • Sie können entweder die Domäne in eine VPC aufnehmen oder einen öffentlichen Endpunkt verwenden, beides zugleich ist aber nicht möglich. Sie müssen eine der beiden Möglichkeiten beim Erstellen der Domäne auswählen.

  • Sie können Ihre Domäne nicht in einer VPC starten, die Dedicated Tenancy verwendet. Sie müssen eine VPC verwenden, deren Tenancy auf Standard gesetzt ist.

  • Nachdem Sie eine Domäne in eine VPC aufgenommen haben, kann sie nicht in eine andere VPC verlagert werden, aber Sie können die Subnetze und Sicherheitsgruppeneinstellungen ändern.

  • Um auf die Standardinstallation von OpenSearch Dashboards für eine Domain zuzugreifen, die sich in einer VPC befindet, müssen Benutzer Zugriff auf die VPC haben. Der Zugriff auf eine VPC unterscheidet sich je nach Netzwerkkonfiguration, aber wahrscheinlich muss dazu eine Verbindung mit einem VPN bzw. verwalteten Netzwerk hergestellt oder ein Proxyserver oder Transit Gateway verwendet werden. Weitere Informationen finden Sie unter Zugriffsrichtlinien für VPC-Domänen, im Amazon VPC User Guide und unter Steuern des Zugriffs auf Dashboards OpenSearch .

Architektur

Zur Unterstützung von VPCs platziert OpenSearch Service einen Endpunkt in einem, zwei oder drei Subnetzen Ihrer VPC. Wenn Sie mehrere Availability Zones für Ihre Domäne aktivieren, muss sich jedes Subnetz in einer anderen Availability Zone in derselben Region befinden. Wenn Sie nur eine Availability Zone verwenden, platziert OpenSearch Service einen Endpunkt nur in einem Subnetz.

Die folgende Abbildung zeigt die VPC-Architektur für eine Availability Zone:

Die folgende Abbildung zeigt die VPC-Architektur für zwei Availability Zones:

OpenSearch Der Service platziert auch eine Elastic-Network-Schnittstelle (ENI) in der VPC für jeden Ihrer Datenknoten. OpenSearch Der Service weist jeder ENI eine private IP-Adresse aus dem IPv4-Adressbereich Ihres Subnetzes zu. Der Service weist den IP-Adressen außerdem einen öffentlichen DNS-Hostnamen (Domänenendpunkt) zu. Sie müssen einen öffentlichen DNS-Service zum Auflösen des Endpunkts (DNS-Hostname) in die IP-Adressen der Datenknoten verwenden:

  • Wenn Ihre VPC den von Amazon bereitgestellten DNS-Server verwendet, indem die enableDnsSupport Option auf true (Standardwert) gesetzt wird, ist die Auflösung für den OpenSearch Service-Endpunkt erfolgreich.

  • Wenn Ihre VPC einen privaten DNS-Server verwendet und der Server die öffentlichen autoritativen DNS-Server erreichen kann, um DNS-Hostnamen aufzulösen, ist die Auflösung für den OpenSearch Service-Endpunkt ebenfalls erfolgreich.

Da sich die IP-Adressen ändern können, sollten Sie den Domänenendpunkt regelmäßig auflösen, damit stets der Zugriff auf die richtigen Datenknoten gewährleistet ist. Wir empfehlen, das DNS-Auflösungsintervall auf eine Minute einzustellen. Wenn Sie einen Client verwenden, sollten Sie zudem sicherstellen, dass dessen DNS-Cache gelöscht wird.

Migrieren vom öffentlichen Zugriff zum VPC-Zugriff

Beim Erstellen einer Domäne legen Sie fest, ob für den Zugriff ein öffentlicher Endpunkt oder eine VPC verwendet wird. Nach der Erstellung können Sie nicht mehr zwischen den beiden Möglichkeiten wechseln. Sie müssen stattdessen eine neue Domäne erstellen und dann entweder eine manuelle Neuindizierung oder Datenmigration durchführen. Snapshots bieten eine bequeme Möglichkeit für das Migrieren von Daten. Informationen zum Erstellen und Wiederherstellen von Snapshots finden Sie unter Index-Snapshots in Amazon OpenSearch Service erstellen.

Zugriffsrichtlinien für VPC-Domänen

Das Platzieren Ihrer OpenSearch Service-Domain in einer VPC bietet eine inhärente, starke Sicherheitsebene. Wenn Sie eine Domäne mit öffentlichem Zugriff erstellen, hat der Endpunkt das folgende Format:

https://search-domain-name-identifier.region.es.amazonaws.com

Wie aus der Bezeichnung "öffentlich" zu schließen ist, kann auf diesen Endpunkt von jedem mit dem Internet verbundenen Gerät zugegriffen werden. Sie können jedoch (und sollten) den Zugriff darauf kontrollieren. Wenn Sie in einem Webbrowser auf den Endpunkt zugreifen, erhalten Sie unter Umständen die Nachricht Not Authorized. Die Anforderung erreicht jedoch die Domäne.

Wenn Sie eine Domäne mit VPC-Zugriff erstellen, gleicht der Endpunkt einem öffentlichen Endpunkt:

https://vpc-domain-name-identifier.region.es.amazonaws.com

Wenn Sie versuchen, auf den Endpunkt in einem Webbrowser zuzugreifen, tritt möglicherweise jedoch eine Zeitüberschreitung der Anforderung auf. Selbst zum Ausführen grundlegender GET-Anforderungen muss Ihr Computer eine Verbindung mit dem VPC herstellen können. Diese Verbindung besteht oft in Form eines VPN, eines Transit Gateways, eines verwalteten Netzwerks oder eines Proxy-Servers. Details zu den verschiedenen möglichen Verbindungsformen finden Sie unter Beispiele für VPC im Amazon-VPC-Benutzerhandbuch. Ein auf die Entwicklung ausgerichtetes Beispiel finden Sie unter Testen von VPC-Domänen.

Zusätzlich zu dieser Verbindungsanforderung lassen VPCs Sie den Zugriff auf die Domäne über Sicherheitsgruppen verwalten. Diese Kombination von Sicherheitsfunktionen reicht für viele Anwendungsfälle aus, und die Verwendung einer offenen Zugriffsrichtlinie für die Domäne mag ausreichend erscheinen.

Das Arbeiten mit einer offenen Zugriffsrichtlinie bedeutet nicht, dass jeder im Internet auf die OpenSearch Service-Domain zugreifen kann. Vielmehr bedeutet dies, dass die Domain die Anforderung akzeptiert, wenn eine Anforderung die OpenSearch Service-Domain erreicht und die zugehörigen Sicherheitsgruppen dies zulassen. Die einzige Ausnahme gibt es bei der Verwendung einer differenzierten Zugriffskontrolle oder einer Zugriffsrichtlinie, die IAM-Rollen angibt. Damit die Domäne eine Anforderung in diesen Situationen annehmen kann, müssen die Sicherheitsgruppen dies zulassen und sie muss mit gültigen Anmeldeinformationen signiert sein.

Anmerkung

Da Sicherheitsgruppen bereits IP-basierte Zugriffsrichtlinien durchsetzen, können Sie IP-basierte Zugriffsrichtlinien nicht auf OpenSearch Service-Domains anwenden, die sich in einer VPC befinden. Wenn Sie öffentlichen Zugriff verwenden, sind IP-basierte Richtlinien weiterhin verfügbar.

Bevor Sie beginnen: Voraussetzungen für den VPC-Zugriff

Bevor Sie eine Verbindung zwischen einer VPC und Ihrer neuen OpenSearch Service-Domain aktivieren können, müssen Sie Folgendes tun:

  • Erstellen einer VPC

    Um Ihre VPC zu erstellen, können Sie die Amazon-VPC-Konsole, die AWS -CLI oder eines der - AWS SDKs verwenden. Weitere Informationen finden Sie unter Arbeiten mit freigegebenen VPCs im Amazon-VPC-Benutzerhandbuch. Wenn bereits eine VPC vorhanden ist, können Sie diesen Schritt überspringen.

  • Reservieren von IP-Adressen

    OpenSearch Der Service ermöglicht die Verbindung einer VPC mit einer Domain, indem Netzwerkschnittstellen in einem Subnetz der VPC platziert werden. Jeder Netzwerkschnittstelle ist eine IP-Adresse zugewiesen. Sie müssen im Subnetz eine ausreichende Anzahl von IP-Adressen für die Netzwerkschnittstellen reservieren. Weitere Informationen finden Sie unter Reservieren von IP-Adressen in einem VPC-Subnetz.

Testen von VPC-Domänen

Die erweiterte Sicherheit einer VPC kann die Herstellung einer Verbindung zu Ihrer Domäne und die Durchführung von Tests zu einer Herausforderung machen. Wenn Sie bereits über eine - OpenSearch Service-VPC-Domain verfügen und lieber keinen VPN-Server erstellen möchten, versuchen Sie den folgenden Vorgang:

  1. Wählen Sie für die Zugriffsrichtlinie Ihrer Domäne die Option Nur differenzierte Zugriffssteuerung verwenden aus. Sie können diese Einstellung jederzeit aktualisieren, nachdem Sie den Test abgeschlossen haben.

  2. Erstellen Sie eine Amazon Linux Amazon EC2-Instance in derselben VPC, demselben Subnetz und derselben Sicherheitsgruppe wie Ihre OpenSearch Service-Domain.

    Da diese Instance für Testzwecke vorgesehen ist und nur sehr wenig Arbeit leisten muss, wählen Sie einen kostengünstigen Instance-Typ, beispielsweise t2.micro. Weisen Sie der Instance eine öffentliche IP-Adresse zu und erstellen Sie entweder ein neues Schlüsselpaar oder wählen Sie ein vorhandenes aus. Wenn Sie einen neuen Schlüssel erstellen, laden Sie sie in Ihr ~/.ssh-Verzeichnis herunter.

    Weitere Informationen zum Erstellen von Instances finden Sie unter Erste Schritte mit Amazon EC2 Linux Instances.

  3. Fügen Sie Ihrer VPC ein Internet-Gateway hinzu.

  4. Fügen Sie in der Routing-Tabelle für Ihre VPC eine neue Route hinzu. Geben Sie für Destination (Ziel) einen CIDR-Block an, der die öffentliche IP-Adresse Ihres Computers enthält. Geben Sie für Target (Ziel) das Internet-Gateway an, das Sie gerade erstellt haben.

    Sie können beispielsweise 123.123.123.123/32 nur für Ihren Computer oder 123.123.123.0/24 für mehrere Computer angeben.

  5. Für die Sicherheitsgruppe geben Sie zwei Regeln für eingehenden Datenverkehr an:

    Typ Protocol (Protokoll) Port-Bereich Quelle
    SSH (22) TCP (6) 22 your-cidr-block
    HTTPS (443) TCP (6) 443 your-security-group-id

    Die erste Regel ermögicht Ihnen, SSH in Ihre EC2-Instance zu integrieren. Die zweite ermöglicht es der EC2-Instance, über HTTPS mit der OpenSearch Service-Domain zu kommunizieren.

  6. Führen Sie vom Terminal folgenden Befehl aus:

    ssh -i ~/.ssh/your-key.pem ec2-user@your-ec2-instance-public-ip -N -L 9200:vpc-domain-name.region.es.amazonaws.com:443

    Dieser Befehl erstellt einen SSH-Tunnel, der Anfragen über die EC2-Instance an https://localhost:9200 an Ihre OpenSearch Service-Domain weiterleitet. Die Angabe von Port 9200 im Befehl simuliert eine lokale OpenSearch Installation, verwendet jedoch den gewünschten Port. OpenSearch Der Service akzeptiert nur Verbindungen über Port 80 (HTTP) oder 443 (HTTPS).

    Der Befehl stellt kein Feedback bereit und wird unbegrenzt ausgeführt. Um ihn anzuhalten, drücken Sie Ctrl + C.

  7. Navigieren Sie zu https://localhost:9200/_dashboards/ in Ihrem Webbrowser. Möglicherweise müssen Sie eine Sicherheitsausnahme bestätigen.

    Alternativ können Sie Anfragen an https://localhost:9200 unter Verwendung von curl, Postman oder Ihrer bevorzugten Programmiersprache senden.

    Tipp

    Wenn curl-Fehler auftreten, weil ein Zertifikat nicht übereinstimmt, versuchen Sie das --insecure-Flag.

Reservieren von IP-Adressen in einem VPC-Subnetz

OpenSearch Der Service verbindet eine Domain mit einer VPC, indem Netzwerkschnittstellen in einem Subnetz der VPC platziert werden (oder mehrere Subnetze der VPC, wenn Sie mehrere Availability Zones aktivieren). Jeder Netzwerkschnittstelle ist eine IP-Adresse zugewiesen. Bevor Sie Ihre OpenSearch Service-Domain erstellen, müssen Sie über eine ausreichende Anzahl von IP-Adressen in jedem Subnetz verfügen, um die Netzwerkschnittstellen unterzubringen.

Die Grundformel lautet: Die Anzahl der IP-Adressen, die OpenSearch Service in jedem Subnetz reserviert, ist das Dreifache der Anzahl der Datenknoten geteilt durch die Anzahl der Availability Zones.

Beispiele

  • Wenn eine Domäne über neun Datenknoten in drei Availability Zones verfügt, beträgt die IP-Anzahl pro Subnetz 9 * 3 / 3 = 9.

  • Wenn eine Domäne über acht Datenknoten in zwei Availability Zones verfügt, beträgt die IP-Anzahl pro Subnetz 8 * 3 / 2 = 12.

  • Wenn eine Domäne sechs Datenknoten in einer Availability Zone hat, beträgt die IP-Anzahl pro Subnetz 6 * 3 / 1 = 18.

Wenn Sie die Domain erstellen, reserviert OpenSearch Service die IP-Adressen, verwendet einige für die Domain und reserviert den Rest für Blau/Grün-Bereitstellungen. Die Netzwerkschnittstellen und deren IP-Adressen werden im Bereich Netzwerkschnittstellen der Amazon-EC2-Konsole angezeigt. Die Spalte Beschreibung zeigt, welcher OpenSearch Service-Domain die Netzwerkschnittstelle zugeordnet ist.

Tipp

Wir empfehlen Ihnen, dedizierte Subnetze für die reservierten OpenSearch Service-IP-Adressen zu erstellen. Dadurch werden Überschneidungen mit anderen Anwendungen und Services vermieden und es ist gewährleistet, dass bei einer künftigen Skalierung des Clusters zusätzliche IP-Adressen reserviert werden können. Weitere Informationen erhalten Sie unter Erstellen eines Subnetzes in Ihrer VPC.

Service-verknüpfte Rolle für den VPC-Zugriff

Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die Berechtigungen an einen Service delegiert, damit er -Ressourcen in Ihrem Namen erstellen und verwalten kann. OpenSearch Der Service benötigt eine serviceverknüpfte Rolle, um auf Ihre VPC zuzugreifen, den Domänenendpunkt zu erstellen und Netzwerkschnittstellen in einem Subnetz Ihrer VPC zu platzieren.

OpenSearch Der Service erstellt die Rolle automatisch, wenn Sie die OpenSearch Servicekonsole verwenden, um eine Domain innerhalb einer VPC zu erstellen. Damit diese automatische Erstellung möglich ist, müssen Sie über Berechtigungen für die Aktion iam:CreateServiceLinkedRole verfügen. Weitere Informationen finden Sie unter Berechtigungen von Service-verknüpften Rollen im IAM-Benutzerhandbuch.

Nachdem OpenSearch Service die Rolle erstellt hat, können Sie sie (AWSServiceRoleForAmazonOpenSearchService) mithilfe der IAM-Konsole anzeigen.

Ausführliche Informationen zu den Berechtigungen dieser Rolle, und wie Sie sie löschen, finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon OpenSearch Service.