Uso de OpenSearch paneles con Amazon Service OpenSearch - OpenSearch Servicio Amazon
Controlar el acceso a los paneles OpenSearch Configuración de OpenSearch paneles para usar un servidor de WMS mapasConexión de un servidor de Dashboards local al servicio OpenSearch Administrar los índices en los paneles OpenSearch Características adicionales

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de OpenSearch paneles con Amazon Service OpenSearch

OpenSearch Dashboards es una herramienta de visualización de código abierto diseñada para funcionar con. OpenSearch Amazon OpenSearch Service proporciona una instalación de OpenSearch paneles de control con cada dominio OpenSearch de servicio. OpenSearch Dashboards se ejecuta en los nodos de datos más importantes del dominio.

Encontrarás un enlace a los OpenSearch paneles en el panel de control de tu dominio, en la consola de OpenSearch servicio. Para los dominios en ejecución OpenSearch, URL esdomain-endpoint/_dashboards/. Para los dominios que ejecutan Elasticsearch heredado, el esURL. domain-endpoint/_plugin/kibana

Las consultas que utilizan esta instalación predeterminada de OpenSearch Dashboards tienen un tiempo de espera de 300 segundos.

nota

En esta documentación se analizan los OpenSearch paneles de control en el contexto de Amazon OpenSearch Service, incluidas las diferentes formas de conectarse a ellos. Para obtener una documentación completa, que incluye una guía de introducción, instrucciones para crear un panel, administrar los paneles y el lenguaje de consulta de paneles (DQL), consulte los OpenSearch paneles en la documentación de código abierto. OpenSearch

En las siguientes secciones se abordan algunos casos de uso comunes de los paneles: OpenSearch

Controlar el acceso a los paneles OpenSearch

Los paneles no admiten IAM usuarios y roles de forma nativa, pero OpenSearch Service ofrece varias soluciones para controlar el acceso a los paneles:

Uso de un proxy para acceder al OpenSearch servicio desde los OpenSearch paneles

nota

Este proceso solo es de aplicación si el dominio utiliza acceso público y no se desea emplear la autenticación de Cognito. Consulte Controlar el acceso a los paneles OpenSearch .

Como Dashboards es una JavaScript aplicación, las solicitudes se originan en la dirección IP del usuario. El control de acceso basado en IP podría resultar poco práctico debido al gran número de direcciones IP a las que sería necesario brindar acceso para que cada usuario tenga acceso a Dashboards. Una solución alternativa consiste en colocar un servidor proxy entre los OpenSearch paneles y el servicio. OpenSearch A continuación, puede agregar una política de acceso basada en IP que permita solicitudes desde solo una única dirección IP, la del proxy. En el siguiente diagrama se muestra esta configuración.

OpenSearch Service architecture with VPC, proxy, and client components for secure access.

  1. Este es su dominio de OpenSearch servicio. IAMproporciona acceso autorizado a este dominio. Otra política de acceso basada en IP proporciona acceso al servidor proxy.

  2. Este es el servidor proxy que se ejecuta en una EC2 instancia de Amazon.

  3. Otras aplicaciones pueden usar el proceso de firma de la versión 4 de Signature para enviar solicitudes autenticadas al OpenSearch Servicio.

  4. OpenSearch Los clientes de Dashboards se conectan a su dominio OpenSearch de servicio a través del proxy.

Para habilitar esta clase de configuración, necesita una política basada en recursos que especifica funciones y direcciones IP. A continuación, mostramos un ejemplo de política:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Resource":"arn:aws:es:us-west-2:111111111111:domain/my-domain/*",
         "Principal":{
            "AWS":"arn:aws:iam::111111111111:role/allowedrole1"
         },
         "Action":[
            "es:ESHttpGet"
         ],
         "Effect":"Allow"
      },
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":"*"
         },
         "Action":"es:*",
         "Condition":{
            "IpAddress":{
               "aws:SourceIp":[
                  "203.0.113.0/24",
                  "2001:DB8:1234:5678::/64"
               ]
            }
         },
         "Resource":"arn:aws:es:us-west-2:111111111111:domain/my-domain/*"
      }
   ]
}

Se recomienda configurar la EC2 instancia que ejecuta el servidor proxy con una dirección IP elástica. De esta forma, puede sustituir la instancia cuando sea necesario y continuar adjuntando la misma dirección IP pública a la misma. Para obtener más información, consulte Direcciones IP elásticas en la Guía del EC2 usuario de Amazon.

Si utiliza un servidor proxy y la autenticación de Cognito, es posible que tenga que agregar parámetros de configuración para Dashboards y Amazon Cognito con el fin de evitar errores de tipo redirect_mismatch. Consulte el siguiente ejemplo de nginx.conf:

server {
    listen 443;
    server_name $host;
    rewrite ^/$ https://$host/_plugin/_dashboards redirect;

    ssl_certificate           /etc/nginx/cert.crt;
    ssl_certificate_key       /etc/nginx/cert.key;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    location /_plugin/_dashboards {
        # Forward requests to Dashboards
        proxy_pass https://$dashboards_host/_plugin/_dashboards;

        # Handle redirects to Cognito
        proxy_redirect https://$cognito_host https://$host;

        # Update cookie domain and path
        proxy_cookie_domain $dashboards_host $host;
        proxy_cookie_path / /_plugin/_dashboards/;

        # Response buffer settings
        proxy_buffer_size 128k;
        proxy_buffers 4 256k;
        proxy_busy_buffers_size 256k;
    }

    location ~ \/(log|sign|fav|forgot|change|saml|oauth2) {
        # Forward requests to Cognito
        proxy_pass https://$cognito_host;

        # Handle redirects to Dashboards
        proxy_redirect https://$dashboards_host https://$host;

        # Update cookie domain
        proxy_cookie_domain $cognito_host $host;
    }
}

Configuración de OpenSearch paneles para usar un servidor de WMS mapas

La instalación predeterminada de OpenSearch Dashboards for OpenSearch Service incluye un servicio de mapas, excepto para los dominios de las regiones de India y China. El servicio de mapas admite hasta 10 niveles de acercamiento/alejamiento.

Independientemente de su región, puede configurar los paneles de control para que utilicen un servidor del Servicio de Mapas Web (WMS) diferente para las visualizaciones de mapas de coordenadas. Las visualizaciones de mapas de región solo admiten el servicio de mapas predeterminado.

Para configurar los paneles de control para que utilicen un WMS servidor de mapas:

  1. Abra Dashboards.

  2. Seleccione Stack Management (Gestión de pilas).

  3. Seleccione Advanced Settings (Configuración avanzada).

  4. Visualización de ubicaciones:tileMap: WMSdefaults.

  5. Cambie enabled a true y url a un servidor URL de WMS mapas válido:

    {
  "enabled": true,
  "url": "wms-server-url",
  "options": {
    "format": "image/png",
    "transparent": true
  }
}

  6. Elija Guardar cambios.

Para aplicar el nuevo valor predeterminado a las visualizaciones, es posible que deba volver a cargar Dashboards. Si guardó visualizaciones, elija Options (Opciones) después de abrir la visualización. Compruebe que WMSel servidor de mapas esté activado y que WMSla URL contenga su servidor de mapas preferido y, a continuación, seleccione Aplicar cambios.

nota

Los servicios de mapa suelen estar sujetos a restricciones o cuotas de licencias. El usuario es responsable de todas estas consideraciones en cualquier servidor de mapas que especifique. Los servicios de mapa de U.S. Geological Survey podrían resultarle útiles para hacer pruebas.

Conexión de un servidor de Dashboards local al servicio OpenSearch

Si ya ha invertido una cantidad considerable de tiempo en configurar su propia instancia de OpenSearch Dashboards, puede utilizarla en lugar de (o además de) la instancia de Dashboards predeterminada que OpenSearch proporciona Service. El siguiente procedimiento sirve para dominios que utilicen el control de acceso detallado con una política de acceso abierto.

Para conectar un servidor de OpenSearch Dashboards local a Service OpenSearch

  1. En su dominio OpenSearch de servicio, cree un usuario con los permisos adecuados:

    1. En Dashboards, vaya a Security (Seguridad), Internal users (Usuarios internos) y elija Create internal user (Crear usuario interno).

    2. Proporcione un nombre de usuario y una contraseña y elija Create (Crear).

    3. Vaya a Roles (Roles) y elija un rol.

    4. Seleccione Mapped users (Usuarios asignados) y Seleccione Manage mapping (Gestión de mapas).

    5. En Users (Usuarios), agregue el nombre de usuario y elija Map (Asignar).

  2. Descargue e instale la versión adecuada del complemento de OpenSearch seguridad en su instalación de Dashboards OSS autogestionada.

  3. En su servidor de Dashboards local, abra el config/opensearch_dashboards.yml archivo y añada su terminal de OpenSearch servicio con el nombre de usuario y la contraseña que creó anteriormente:

    opensearch.hosts: ['https://domain-endpoint']
opensearch.username: 'username'
opensearch.password: 'password'

    Puede utilizar el siguiente ejemplo de archivo opensearch_dashboards.yml:

    server.host: '0.0.0.0'

opensearch.hosts: ['https://domain-endpoint']

opensearchDashboards.index: ".username"

opensearch.ssl.verificationMode: none # if not using HTTPS

opensearch_security.auth.type: basicauth
opensearch_security.auth.anonymous_auth_enabled: false
opensearch_security.cookie.secure: false # set to true when using HTTPS
opensearch_security.cookie.ttl: 3600000
opensearch_security.session.ttl: 3600000
opensearch_security.session.keepalive: false
opensearch_security.multitenancy.enabled: false
opensearch_security.readonly_mode.roles: ['opensearch_dashboards_read_only']
opensearch_security.auth.unauthenticated_routes: []
opensearch_security.basicauth.login.title: 'Please log in using your username and password'

opensearch.username: 'username'
opensearch.password: 'password'
opensearch.requestHeadersWhitelist: [authorization, securitytenant, security_tenant]

Para ver sus índices OpenSearch de servicio, inicie su servidor de Dashboards local, vaya a Dev Tools y ejecute el siguiente comando:

GET _cat/indices

Administrar los índices en los paneles OpenSearch

La instalación de OpenSearch Dashboards en su dominio de OpenSearch servicio proporciona una interfaz de usuario útil para administrar los índices en los diferentes niveles de almacenamiento de su dominio. Seleccione Administración de índices en el menú principal del panel de mandos para ver todos los índices almacenados en caliente y en frío UltraWarm, así como los índices gestionados por las políticas de Index State Management (). ISM Utilice la administración de índices para mover índices entre el almacenamiento en frío y el almacenamiento en caliente y para monitorear las migraciones entre los tres niveles.

Index management interface showing cold indices with options to move to warm storage.

Tenga en cuenta que no verá las opciones de índice de calor, calor y frío a menos que tenga activado UltraWarm o activado el almacenamiento en frío.

Características adicionales

La instalación predeterminada de OpenSearch Dashboards en cada dominio OpenSearch de servicio tiene algunas funciones adicionales: