Configuración del acceso a la VPC para canalizaciones de Amazon OpenSearch Ingestion - OpenSearch Servicio Amazon
ConsideracionesLimitacionesRequisitos previosConfiguración del acceso mediante VPC para una canalizaciónPuntos de conexión de VPC autogestionadosRoles vinculados a servicios para el acceso mediante VPC

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del acceso a la VPC para canalizaciones de Amazon OpenSearch Ingestion

Puede acceder a las canalizaciones de Amazon OpenSearch Ingestion con un punto de conexión de VPC de interfaz. Una VPC es una red virtual dedicada para Cuenta de AWS. Esta infraestructura en la nube está aislada lógicamente de otras redes virtuales de la nube de AWS. Al acceder a una canalización a través de un punto de conexión de VPC, se consigue una comunicación segura entre OpenSearch Ingestion y los demás servicios dentro de la VPC sin necesidad de utilizar una puerta de enlace de Internet, un dispositivo NAT o una conexión de VPN. Todo el tráfico permanece seguro dentro de la nube de AWS.

OpenSearch Ingestion establece esta conexión privada mediante la creación de un punto de conexión de interfaz alimentado por AWS PrivateLink. Crearemos una interfaz de red de punto de conexión en cada subred que especifique durante la creación de la canalización. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a la canalización de OpenSearch Ingestion. También puede elegir crear y administrar los puntos de conexión de la interfaz.

El uso de una VPC le permite hacer cumplir el flujo de datos a través de sus canalizaciones de OpenSearch Ingestion dentro de los límites de la VPC, en lugar de hacerlo a través de la Internet pública. Las canalizaciones que no están dentro de una VPC envían y reciben datos a través de puntos de conexión públicos e Internet.

Una canalización con acceso a VPC puede escribir en dominios de OpenSearch Service públicos o de VPC y en colecciones de OpenSearch sin servidor públicas o de VPC.

Consideraciones

Tenga en cuenta lo siguiente cuando configure el acceso mediante VPC para una canalización.

  • No es necesario que una canalización esté en la misma VPC que su receptor. Tampoco es necesario establecer una conexión entre las dos VPC. OpenSearch Ingestion se encarga de conectarlas por usted.

  • Solo puede especificar una VPC para la canalización.

  • A diferencia de las canalizaciones públicas, una canalización de VPC debe estar en la misma Región de AWS que el receptor de dominios o colecciones en el que se escribe.

  • Puede elegir implementar una canalización en una, dos o tres subredes de la VPC. Las subredes se distribuyen en las mismas zonas de disponibilidad en las que están implementadas las unidades de cómputo (OCUs) de Ingestion OpenSearch.

  • Si solo implementa una canalización en una subred y la zona de disponibilidad deja de funcionar, no podrá incorporar datos. Para garantizar una alta disponibilidad, le recomendamos que configure las canalizaciones con dos o tres subredes.

  • La especificación de grupos de seguridad es opcional. Si no proporciona un grupo de seguridad, OpenSearch Ingestion usa el grupo de seguridad predeterminado que se especifica en la VPC.

Limitaciones

Las canalizaciones con acceso a la VPC presentan las siguientes limitaciones.

  • No puede cambiar la configuración de red de una canalización después de crearla. Si lanza una canalización dentro de una VPC, no podrá cambiarla posteriormente a un punto de conexión público y viceversa.

  • Puede lanzar la canalización dentro de un punto de conexión de VPC de la interfaz o un punto de conexión público, pero no es posible hacer las dos cosas. Se debe elegir una de ellas al crear una canalización.

  • Después de aprovisionar una canalización con acceso a la VPC, no se puede mover a otra VPC, y no puede cambiar la configuración de sus subredes y grupos de seguridad.

  • Si su canalización escribe en un receptor de dominios o colecciones que usa un acceso de VPC, no podrá volver atrás más adelante y cambiar el receptor (de VPC o público) una vez creada la canalización. Debe eliminar y volver a crear manualmente la canalización con el nuevo receptor. Aún puede cambiar un receptor de público a un receptor con acceso de VPC.

  • No puede proporcionar acceso de incorporación entre cuentas a las canalizaciones de VPC.

Requisitos previos

Antes de poder aprovisionar una canalización con acceso a la VPC, debe hacer lo siguiente:

  • Creación de una VPC

    Para crear una VPC, puede utilizar la consola de Amazon VPC, la CLI de AWS o uno de los SDK de AWS. Para obtener más información, consulte Uso de VPC en la Guía del usuario de Amazon VPC. Si ya tiene una VPC, puede omitir este paso.

  • Reservar direcciones IP

    OpenSearch Ingestion coloca una interfaz de red elástica en cada subred que especifique durante la creación de la canalización. Cada interfaz de red tiene asociada una dirección IP. Debe reservar una dirección IP por subred para las interfaces de red.

Configuración del acceso mediante VPC para una canalización

Puede habilitar el acceso mediante VPC para una canalización desde la consola de OpenSearch Service o mediante el AWS CLI.

El acceso a la VPC se configura durante la creación de la canalización. En Red, seleccione el Acceso a la VPC y realice los siguientes ajustes:

Opción Descripción
Administración de puntos de conexión

Elija si quiere crear sus puntos de conexión de VPC o dejar que OpenSearch Ingestion los cree.
VPC

Seleccione el ID de la nube privada virtual (VPC) que desee utilizar. La VPC y la canalización deben estar en la misma Región de AWS.
Subredes

Seleccione una o varias subredes. OpenSearch Service colocará un punto de conexión de VPC e interfaces de red elásticas en las subredes.
Grupos de seguridad

Seleccione uno o más grupos de seguridad de VPC que permitan que la aplicación requerida llegue a la canalización de OpenSearch Ingestion en los puertos (80 o 443) y protocolos (HTTP o HTTPS) que expone la canalización.
Opciones de adjunción de VPC

Si el origen es un punto de conexión autogestionado, adjunte la canalización a una VPC. Elija una de las opciones de CIDR predeterminadas que se proporcionan o utilice un CIDR personalizado.

Para configurar el acceso a la VPC mediante el AWS CLI, especifique el parámetro --vpc-options:

aws osis create-pipeline \
  --pipeline-name vpc-pipeline \
  --min-units 4 \
  --max-units 10 \
  --vpc-options SecurityGroupIds={sg-12345678,sg-9012345},SubnetIds=subnet-1212234567834asdf \
  --pipeline-configuration-body "file://pipeline-config.yaml"

Puntos de conexión de VPC autogestionados

Al crear una canalización, puede utilizar la administración de puntos de conexión para crear una canalización con puntos de conexión autogestionados o puntos de conexión administrados por el servicio. La administración de puntos de conexión es opcional y utiliza de forma predeterminada los puntos de conexión administrados por OpenSearch Ingestion.

Para crear una canalización con un punto de conexión de VPC autogestionado en la AWS Management Console, consulte Creating pipelines with the OpenSearch Service console. Para crear una canalización con un punto de conexión de VPC autogestionado en la AWS CLI, puede usar el parámetro --vpc-options en el comando create-pipeline:

--vpc-options SubnetIds=subnet-abcdef01234567890,VpcEndpointManagement=CUSTOMER

Puede crear un punto de conexión para la canalización al especificar el servicio del punto de conexión. Para encontrar el servicio del punto de conexión, use el comando get-pipeline, que devuelve una respuesta similar a la siguiente:

"vpcEndpointService" : "com.amazonaws.osis.us-east-1.pipeline-id-1234567890abcdef1234567890",
"vpcEndpoints" : [ 
  {
    "vpcId" : "vpc-1234567890abcdef0",
    "vpcOptions" : {
      "subnetIds" : [ "subnet-abcdef01234567890", "subnet-021345abcdef6789" ],
      "vpcEndpointManagement" : "CUSTOMER"
    }
  }

Utilice el vpcEndpointService de la respuesta para crear un punto de conexión de VPC con la AWS Management Console o la AWS CLI.

Si utiliza puntos de conexión de VPC autogestionados, debe habilitar los atributos de DNS enableDnsSupport y enableDnsHostnames en su VPC. Tenga en cuenta que, si tiene una canalización con un punto de conexión autogestionado que debe detener y reiniciar, debe volver a crear el punto de conexión de VPC en tu cuenta.

Roles vinculados a servicios para el acceso mediante VPC

Un rol vinculado a un servicio es un tipo único de rol de IAM; que delega permisos en un servicio para que pueda crear y administrar recursos en nombre del usuario. Si elige un punto de conexión de VPC administrado por el servicio, OpenSearch Ingestion requiere un rol vinculado a un servicio denominado AWSServiceRoleForAmazonOpenSearchIngestionService para acceder a la VPC, crear el punto de conexión de la canalización y situar interfaces de red en una subred de la VPC.

Si elige un punto de conexión de VPC autogestionado, OpenSearch Ingestion requiere un rol vinculado a un servicio denominado AWSServiceRoleForOpensearchIngestionSelfManagedVpce. Para obtener más información sobre estos roles, sus permisos y cómo se eliminan, consulte Uso de roles vinculados a servicios para crear canalizaciones de ingestión OpenSearch .

OpenSearch Ingestion crea automáticamente el rol al crear una canalización de incorporación. Para que esta creación automática se realice correctamente, el usuario que cree la primera canalización en una cuenta debe tener permisos para realizar la acción iam:CreateServiceLinkedRole. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM. Puede ver el rol en la consola (IAM) de AWS Identity and Access Management una vez creado.