Configuración del acceso a la VPC para las canalizaciones de Amazon Ingestion OpenSearch - OpenSearch Servicio Amazon
ConsideracionesLimitacionesRequisitos previosConfiguración del acceso mediante VPC para una canalizaciónTerminales de VPC autogestionadosRoles vinculados a servicios para el acceso mediante VPC

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del acceso a la VPC para las canalizaciones de Amazon Ingestion OpenSearch

Puede acceder a sus canalizaciones de Amazon OpenSearch Ingestion mediante un punto de enlace de VPC de interfaz. Una VPC es una red virtual dedicada a usted. Cuenta de AWS Está aislada de forma lógica de otras redes virtuales de la AWS nube. El acceso a una canalización a través de un punto final de la VPC permite una comunicación segura entre OpenSearch Ingestion y otros servicios de la VPC sin necesidad de una puerta de enlace a Internet, un dispositivo NAT o una conexión VPN. Todo el tráfico permanece seguro en la nube. AWS

OpenSearch Ingestion establece esta conexión privada mediante la creación de un punto final de interfaz, con la tecnología de AWS PrivateLink. Creamos una interfaz de red de puntos finales en cada subred que especifiques durante la creación de la canalización. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a la canalización de ingestión. OpenSearch También puede optar por crear y administrar los puntos finales de la interfaz usted mismo.

El uso de una VPC le permite hacer cumplir el flujo de datos a través de sus canalizaciones de OpenSearch ingestión dentro de los límites de la VPC, en lugar de hacerlo a través de la Internet pública. Las canalizaciones que no están dentro de una VPC envían y reciben datos a través de puntos de conexión públicos e Internet.

Una canalización con acceso a VPC puede escribir en dominios públicos o de OpenSearch servicio de VPC y en colecciones públicas o sin servidor de VPC. OpenSearch

Consideraciones

Tenga en cuenta lo siguiente cuando configure el acceso mediante VPC para una canalización.

  • No es necesario que una canalización esté en la misma VPC que su receptor. Tampoco es necesario establecer una conexión entre las dos VPC. OpenSearch Ingestion se encarga de conectarlos por ti.

  • Solo puede especificar una VPC para la canalización.

  • A diferencia de las canalizaciones públicas, una canalización de VPC debe estar en el Región de AWS mismo lugar que el dominio o el receptor de colección en el que se escribe.

  • Puede elegir implementar una canalización en una, dos o tres subredes de la VPC. Las subredes se distribuyen en las mismas zonas de disponibilidad en las que están desplegadas las unidades de OpenSearch cómputo de ingesta (OCU).

  • Si solo implementa una canalización en una subred y la zona de disponibilidad deja de funcionar, no podrá incorporar datos. Para garantizar una alta disponibilidad, le recomendamos que configure las canalizaciones con dos o tres subredes.

  • La especificación de grupos de seguridad es opcional. Si no proporciona un grupo de seguridad, OpenSearch Ingestion utiliza el grupo de seguridad predeterminado que se especifica en la VPC.

Limitaciones

Las canalizaciones con acceso a VPC tienen las siguientes limitaciones.

  • No puede cambiar la configuración de red de una canalización después de crearla. Si lanza una canalización dentro de una VPC, no podrá cambiarla posteriormente a un punto de conexión público y viceversa.

  • Puedes lanzar tu canalización con un punto final de VPC de interfaz o un punto final público, pero no puedes hacer ambas cosas. Se debe elegir una de ellas al crear una canalización.

  • Después de aprovisionar una canalización con acceso a una VPC, no puede moverla a otra VPC ni cambiar la configuración de sus subredes o grupos de seguridad.

  • Si tu canalización escribe en un dominio o receptor de colección que utiliza el acceso a la VPC, no podrás volver más tarde y cambiar el receptor (de VPC o público) una vez creada la canalización. Debe eliminar y volver a crear manualmente la canalización con el nuevo receptor. Aún puedes cambiar de un sumidero público a uno con acceso a VPC.

  • No puede proporcionar acceso de incorporación entre cuentas a las canalizaciones de VPC.

Requisitos previos

Antes de poder aprovisionar una canalización con acceso a VPC, debes hacer lo siguiente:

  • Creación de una VPC

    Para crear su VPC, puede utilizar la consola de Amazon VPC, la AWS CLI o uno de los SDK. AWS Para obtener más información, consulte Uso de VPC en la Guía del usuario de Amazon VPC. Si ya tiene una VPC, puede omitir este paso.

  • Reservar direcciones IP

    OpenSearch La ingestión coloca una interface de red elástica en cada subred que especifique durante la creación de la canalización. Cada interfaz de red tiene asociada una dirección IP. Debe reservar una dirección IP por subred para las interfaces de red.

Configuración del acceso mediante VPC para una canalización

Puede habilitar el acceso a la VPC para una canalización desde la consola OpenSearch de servicio o mediante. AWS CLI

El acceso a la VPC se configura durante la creación de la canalización. En Red, seleccione el Acceso a la VPC y realice los siguientes ajustes:

Opción Descripción
Administración de terminales

Elija si quiere crear sus puntos de conexión de VPC usted mismo o dejar que OpenSearch Ingestion los cree por usted.
VPC

Seleccione el ID de la nube privada virtual (VPC) que desee utilizar. La VPC y la canalización deben estar en la misma Región de AWS.
Subredes

Elija una o más subredes. OpenSearch El servicio colocará un punto final de VPC e interfaces de red elásticas en las subredes.
Grupos de seguridad

Elija uno o más grupos de seguridad de VPC que permitan que la aplicación requerida llegue a la canalización de OpenSearch ingestión en los puertos (80 o 443) y protocolos (HTTP o HTTPs) expuestos por la canalización.
Opciones de fijación de VPC

Si tu fuente es un punto final autogestionado, conecta tu canalización a una VPC. Elija una de las opciones de CIDR predeterminadas que se proporcionan o utilice un CIDR personalizado.

Para configurar el acceso a la VPC mediante AWS CLI, especifique el --vpc-options parámetro:

aws osis create-pipeline \
  --pipeline-name vpc-pipeline \
  --min-units 4 \
  --max-units 10 \
  --vpc-options SecurityGroupIds={sg-12345678,sg-9012345},SubnetIds=subnet-1212234567834asdf \
  --pipeline-configuration-body "file://pipeline-config.yaml"

Terminales de VPC autogestionados

Al crear una canalización, puede utilizar la gestión de puntos finales para crear una canalización con puntos de conexión autogestionados o puntos de conexión gestionados por el servicio. La administración de puntos finales es opcional y, de forma predeterminada, son los puntos finales administrados por Ingestion. OpenSearch

Para crear una canalización con un punto final de VPC autogestionado en, consulte Crear canalizaciones con AWS Management Console OpenSearch la consola de servicio. Para crear una canalización con un punto final de VPC autogestionado en, puedes usar AWS CLI el parámetro --vpc-options del comando create-pipeline:

--vpc-options SubnetIds=subnet-abcdef01234567890,VpcEndpointManagement=CUSTOMER

Puedes crear tú mismo un punto final para tu canalización cuando especifiques tu servicio de punto final. Para encontrar tu servicio de punto final, usa el comando get-pipeline, que devuelve una respuesta similar a la siguiente:

"vpcEndpointService" : "com.amazonaws.osis.us-east-1.pipeline-id-1234567890abcdef1234567890",
"vpcEndpoints" : [ 
  {
    "vpcId" : "vpc-1234567890abcdef0",
    "vpcOptions" : {
      "subnetIds" : [ "subnet-abcdef01234567890", "subnet-021345abcdef6789" ],
      "vpcEndpointManagement" : "CUSTOMER"
    }
  }

Utilice la respuesta vpcEndpointService de la respuesta para crear un punto final de VPC con o. AWS Management Console AWS CLI

Si utiliza puntos de enlace de VPC autogestionados, debe habilitar los enableDnsSupport atributos DNS y enableDnsHostnames en su VPC. Ten en cuenta que si tienes una canalización con un punto de conexión autogestionado que debes detener y reiniciar, debes volver a crear el punto de enlace de VPC en tu cuenta.

Roles vinculados a servicios para el acceso mediante VPC

Un rol vinculado a un servicio es un tipo único de rol de IAM; que delega permisos en un servicio para que pueda crear y administrar recursos en nombre del usuario. Si elige un punto de enlace de VPC gestionado por un servicio, OpenSearch Ingestion requiere un rol vinculado al servicio llamado para AWSServiceRoleForAmazonOpenSearchIngestionServiceacceder a su VPC, crear el punto de enlace de canalización y colocar las interfaces de red en una subred de su VPC.

Si eliges un endpoint de VPC autogestionado OpenSearch , Ingestion requiere un rol vinculado a un servicio denominado. AWSServiceRoleForOpensearchIngestionSelfManagedVpce Para obtener más información sobre estos roles, sus permisos y cómo eliminarlos, consulte. Uso de roles vinculados a servicios para crear canalizaciones de ingestión OpenSearch

OpenSearch La ingesta crea automáticamente la función al crear una canalización de ingestión. Para que esta creación automática se realice correctamente, el usuario que cree la primera canalización en una cuenta debe tener permisos para realizar la acción iam:CreateServiceLinkedRole. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM. Puede ver el rol en la consola AWS Identity and Access Management (IAM) una vez creado.