Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Lanzar tus dominios OpenSearch de Amazon Service dentro de un VPC

Modo de enfoque

En esta página

Lanzar tus dominios OpenSearch de Amazon Service dentro de un VPC - OpenSearch Servicio Amazon

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Puede lanzar AWS recursos, como dominios de Amazon OpenSearch Service, en una nube privada virtual (VPC). A VPC es una red virtual dedicada a su Cuenta de AWS. Esta infraestructura en la nube está aislada lógicamente de otras redes virtuales de la nube de AWS . Colocar un dominio de OpenSearch servicio dentro de un OpenSearch servicio VPC permite una comunicación segura entre el Servicio y otros servicios VPC internos sin necesidad de una puerta de enlace, NAT dispositivo o VPN conexión a Internet. Todo el tráfico permanece seguro dentro de la AWS nube.

nota

Si coloca su dominio de OpenSearch servicio dentro de unVPC, su ordenador debe poder conectarse alVPC. Esta conexión suele adoptar la forma de una puerta de enlace de tránsitoVPN, una red gestionada o un servidor proxy. No puedes acceder directamente a tus dominios desde fuera delVPC.

VPCfrente a los dominios públicos

Las siguientes son algunas de las diferencias entre VPC los dominios y los dominios públicos. Cada diferencia se describe más adelante con más detalle.

  • Debido a su aislamiento lógico, los dominios que residen dentro de un VPC tienen un nivel de seguridad adicional en comparación con los dominios que utilizan puntos finales públicos.

  • Si bien se puede acceder a los dominios públicos desde cualquier dispositivo conectado a Internet, VPC los dominios requieren algún tipo de VPN proxy.

  • En comparación con los dominios públicos, VPC los dominios muestran menos información en la consola. En concreto, la pestaña Cluster health (Estado del clúster) no incluye información de particiones y la pestaña Indices (Índices) no aparece.

  • Los puntos de conexión del dominio adoptan formas diferentes (https://search-domain-name frente a https://vpc-domain-name).

  • No puede aplicar políticas de acceso basadas en IP a los dominios que residen dentro de un VPC porque los grupos de seguridad ya aplican las políticas de acceso basadas en IP.

Limitaciones

El funcionamiento de un dominio OpenSearch de servicio dentro de a VPC tiene las siguientes limitaciones:

  • Si lanzas un nuevo dominio dentro de unVPC, no podrás cambiarlo posteriormente para que utilice un punto final público. También ocurre lo contrario: si creas un dominio con un punto final público, no podrás colocarlo más adelante dentro de unVPC. En lugar de ello, se debe crear un dominio nuevo y migrar los datos.

  • Puedes lanzar tu dominio en un punto final público VPC o utilizar uno público, pero no puedes hacer ambas cosas. Se debe elegir una de ellas al crear un dominio.

  • No puedes lanzar tu dominio dentro de un dominio VPC que utilice un arrendamiento exclusivo. Debes usar un VPC con la tenencia configurada como Predeterminada.

  • Después de colocar un dominio dentro de unVPC, no puede moverlo a otroVPC, pero puede cambiar la configuración de las subredes y los grupos de seguridad.

  • Para acceder a la instalación predeterminada de los OpenSearch paneles de control de un dominio que reside en unVPC, los usuarios deben tener acceso al. VPC Este proceso varía según la configuración de la red, pero es probable que implique conectarse a una red gestionada VPN o utilizar un servidor proxy o una puerta de enlace de tránsito. Para obtener más informaciónAcerca de las políticas de acceso a VPC los dominios, consulta la Guía del VPC usuario de Amazon yControlar el acceso a los paneles .

Arquitectura

Para brindar soporteVPCs, el OpenSearch Servicio coloca un punto final en una, dos o tres subredes de suVPC. Si habilita varias zonas de disponibilidad para su dominio, cada subred debe estar en una zona de disponibilidad diferente de la misma región. Si solo usa una zona de disponibilidad, OpenSearch Service coloca un punto final en una sola subred.

La siguiente ilustración muestra la VPC arquitectura de una zona de disponibilidad:

VPC architecture showing subnet with security group connecting to OpenSearch Service data nodes.

La siguiente ilustración muestra la VPC arquitectura de dos zonas de disponibilidad:

VPC architecture with two Availability Zones, showing security groups, data nodes, and master nodes.

OpenSearch El servicio también coloca una interface de red elástica (ENI) VPC para cada uno de sus nodos de datos. OpenSearch El servicio asigna a cada uno ENI una dirección IP privada del rango de IPv4 direcciones de su subred. El servicio también asigna un DNS nombre de host público (que es el punto final del dominio) para las direcciones IP. Debe utilizar un DNS servicio público para convertir el punto final (que es un DNS nombre de host) en las direcciones IP adecuadas para los nodos de datos:

  • Si utilizas VPC el DNS servidor proporcionado por Amazon configurando la enableDnsSupport opción en true (el valor predeterminado), la resolución del punto final del OpenSearch servicio se realizará correctamente.

  • Si VPC utiliza un DNS servidor privado y el servidor puede acceder a los DNS servidores públicos autorizados para resolver los DNS nombres de host, la resolución para el punto final del OpenSearch servicio también se realizará correctamente.

Dado que las direcciones IP podrían cambiar, conviene resolver periódicamente el punto de conexión del dominio para no dejar de tener acceso a los nodos de datos correctos. Le recomendamos que establezca el intervalo de DNS resolución en un minuto. Si utiliza un cliente, también debe asegurarse de que se DNS borre la memoria caché del cliente.

Migrar de un acceso público a otro VPC

Al crear un dominio, debe especificar si debe tener un punto final público o residir dentro de unVPC. Una vez creado, no se puede cambiar de un tipo a otro. Lo que hay que hacer es crear un dominio nuevo y migrar los datos o reindexarlo manualmente. Las instantáneas son un método cómodo para migrar los datos. Para obtener información sobre cómo tomar instantáneas y restaurarlas, consulte Crear instantáneas de índice en Amazon OpenSearch Service.

Acerca de las políticas de acceso a VPC los dominios

Colocar su dominio de OpenSearch servicio dentro de un VPC proporciona una capa de seguridad sólida e inherente. Cuando crea un dominio con el acceso público, el punto de conexión adopta la siguiente forma:

https://search-domain-name-identifier.region.es.amazonaws.com

Como sugiere la etiqueta “público”, esto es punto de conexión es accesible desde cualquier dispositivo conectado a Internet, aunque puede (y debería) controlar el acceso al mismo. Si accede al punto de conexión en un navegador web, es posible que reciba un mensaje Not Authorized, pero la solicitud llega al dominio.

Al crear un dominio con VPC acceso, el punto final tiene un aspecto similar al de un punto final público:

https://vpc-domain-name-identifier.region.es.amazonaws.com

Si intenta acceder al punto de conexión en un navegador web, sin embargo, podría encontrar que la solicitud agota el tiempo de espera. Para realizar incluso GET las solicitudes más básicas, el ordenador debe poder conectarse alVPC. Esta conexión suele adoptar la forma de una puerta de enlace de tránsitoVPN, una red gestionada o un servidor proxy. Para obtener más información sobre las distintas formas que puede adoptar, consulta los ejemplos de VPC la Guía del VPC usuario de Amazon. Para un ejemplo de desarrollo detallado, consulte Probar dominios VPC.

Además de este requisito de conectividad, le VPCs permiten administrar el acceso al dominio a través de grupos de seguridad. Para muchos casos de uso, esta combinación de características de seguridad es suficiente, y es posible que se sienta cómodo aplicando una política de acceso abierto al dominio.

Operar con una política de acceso abierto no significa que cualquier usuario de Internet pueda acceder al dominio del OpenSearch Servicio. Más bien, significa que si una solicitud llega al dominio del OpenSearch servicio y los grupos de seguridad asociados lo permiten, el dominio la acepta. La única excepción es si utilizas un control de acceso detallado o una política de acceso que especifique las funciones. IAM En estas situaciones, para que el dominio acepte una solicitud, los grupos de seguridad deben permitirla y debe estar firmada con credenciales válidas.

nota

Como los grupos de seguridad ya aplican políticas de acceso basadas en IP, no puede aplicar políticas de acceso basadas en IP a los dominios de OpenSearch servicio que residen dentro de un. VPC Si utiliza acceso público, las políticas basadas en IP siguen estando disponibles.

Antes de empezar: requisitos previos para el acceso VPC

Antes de poder habilitar una conexión entre un dominio de OpenSearch servicio VPC y su nuevo dominio, debe hacer lo siguiente:

  • Cree un VPC

    Para crear tuVPC, puedes usar la VPC consola de Amazon AWS CLI, la o una de las AWS SDKs. Para obtener más información, consulta Cómo trabajar con VPCs en la Guía del VPC usuario de Amazon. Si ya tienes unaVPC, puedes saltarte este paso.

  • Reservar direcciones IP

    OpenSearch El servicio permite la conexión de un VPC a un dominio al colocar las interfaces de red en una subred delVPC. Cada interfaz de red tiene asociada una dirección IP. Debe reservar un número suficiente de direcciones IP en la subred para las interfaces de red. Para obtener más información, consulte Reservar direcciones IP en una VPC subred.

Probar dominios VPC

La seguridad mejorada de un VPC puede hacer que conectarse a tu dominio y ejecutar pruebas básicas sea todo un desafío. Si ya tienes un VPC dominio de OpenSearch servicio y prefieres no crear un VPN servidor, prueba el siguiente proceso:

  1. Para la política de acceso del dominio, elija Only use fine-grained access control (Utilizar únicamente control de acceso detallado). Siempre puede actualizar esta configuración después de finalizar las pruebas.

  2. Cree una EC2 instancia Amazon de Amazon Linux en la misma VPC subred y grupo de seguridad que su dominio de OpenSearch servicio.

    Dado que esta instancia es para fines de prueba con muy poco trabajo, elija un tipo de instancia económica como t2.micro. Asigne a la instancia una dirección IP pública y cree un nuevo par de claves o elija uno existente. Si crea una nueva clave, descárguela en su directorio ~/.ssh.

    Para obtener más información sobre la creación de instancias, consulte Introducción a las instancias de Amazon EC2 Linux.

  3. Agregue una puerta de enlace de Internet a suVPC.

  4. En la tabla de rutas de su propiedadVPC, añada una nueva ruta. En Destino, especifique un CIDRbloque que contenga la dirección IP pública de su ordenador. En Target (Destino), especifique el gateway de Internet que acaba de crear.

    Por ejemplo, puede especificar solo 123.123.123.123/32 para su equipo o 123.123.123.0/24 para varios equipos.

  5. Para el grupo de seguridad, especifique dos reglas de entrada:

    Tipo Protocolo Rango de puertos Origen
    SSH(22) TCP(6) 22 your-cidr-block
    HTTPS(443) TCP(6) 443 your-security-group-id

    La primera regla te permite SSH entrar en tu EC2 instancia. La segunda permite que la EC2 instancia se comunique con el dominio del OpenSearch servicioHTTPS.

  6. En el terminal ejecute el comando siguiente:

    ssh -i ~/.ssh/your-key.pem ec2-user@your-ec2-instance-public-ip -N -L 9200:vpc-domain-name.region.es.amazonaws.com:443

    Este comando crea un SSH túnel que reenvía las solicitudes a https://localhost:9200 a tu dominio de OpenSearch servicio a través de la EC2 instancia. Si especificas el puerto 9200 en el comando, se simula una OpenSearch instalación local, pero usa el puerto que desees. OpenSearch El servicio solo acepta conexiones a través del puerto 80 (HTTP) o 443 (HTTPS).

    El comando no proporciona comentarios y se ejecuta de forma indefinida. Para detenerlo, presione Ctrl + C.

  7. Navegue hasta https://localhost:9200/_dashboards/ en su navegador web. Es posible que tenga que reconocer una excepción de seguridad.

    Si lo desea, puede enviar solicitudes a https://localhost:9200 mediante curl, Postman o su lenguaje de programación favorito.

    sugerencia

    Si detecta errores de curl debido a que los certificados no coinciden, pruebe con la marca --insecure.

Reservar direcciones IP en una subred VPC

OpenSearch El servicio conecta un dominio a un VPC mediante la colocación de las interfaces de red en una subred VPC (o en varias subredes VPC si se habilitan varias zonas de disponibilidad). Cada interfaz de red tiene asociada una dirección IP. Antes de crear su dominio de OpenSearch servicio, debe tener un número suficiente de direcciones IP disponibles en cada subred para dar cabida a las interfaces de red.

Esta es la fórmula básica: la cantidad de direcciones IP que el OpenSearch Servicio reserva en cada subred es tres veces la cantidad de nodos de datos, dividida por la cantidad de zonas de disponibilidad.

Ejemplos

  • Si un dominio tiene diez nodos de datos en tres zonas de disponibilidad, el recuento de direcciones IP por cada subred será 9 * 3 / 3 = 9.

  • Si un dominio tiene ocho nodos de datos en dos zonas de disponibilidad, el recuento de direcciones IP por cada subred será 8 * 3 / 2 = 12.

  • Si un dominio tiene seis nodos de datos en una zona de disponibilidad, el recuento de direcciones IP por cada subred será 6 * 3 / 1 = 18.

Al crear el dominio, el OpenSearch Servicio reserva las direcciones IP, utiliza algunas para el dominio y reserva el resto para despliegues azules o verdes. Puedes ver las interfaces de red y sus direcciones IP asociadas en la sección Interfaces de red de la EC2 consola de Amazon. La columna Descripción muestra el dominio OpenSearch de servicio al que está asociada la interfaz de red.

sugerencia

Se recomienda crear subredes dedicadas para las direcciones IP reservadas del OpenSearch Servicio. Mediante el uso de subredes dedicadas, evitará solapamientos con otras aplicaciones y servicios, y se asegurará de que podrá reservar direcciones IP adicionales si necesita escalar el clúster en el futuro. Para obtener más información, consulte Crear una subred en su. VPC

También puede considerar la posibilidad de aprovisionar nodos coordinadores dedicados para reducir la cantidad de reservas de direcciones IP privadas necesarias para su VPC dominio. OpenSearchconecta una elastic network interface (ENI) a los nodos coordinadores dedicados en lugar de a los nodos de datos. Los nodos coordinadores dedicados suelen representar alrededor del 10 % del total de nodos de datos. Como resultado, se reservará un número menor de direcciones IP privadas para los VPC dominios.

Función de acceso vinculada al servicio VPC

Un rol vinculado a un servicio es un tipo único de IAM rol que delega permisos a un servicio para que pueda crear y administrar recursos en su nombre. OpenSearch El servicio requiere un rol vinculado al servicio para acceder a su servidorVPC, crear el punto final del dominio y colocar las interfaces de red en una subred de su red. VPC

OpenSearch El servicio crea automáticamente el rol cuando usas la consola de OpenSearch servicio para crear un dominio dentro de un. VPC Para que esta creación automática se realice correctamente, es necesario disponer de permisos para la acción iam:CreateServiceLinkedRole. Para obtener más información, consulte los permisos de los roles vinculados a un servicio en la Guía del IAMusuario.

Una vez que el OpenSearch servicio haya creado el rol, podrá verlo (AWSServiceRoleForAmazonOpenSearchService) mediante la IAM consola.

Para obtener más información acerca de los permisos de este rol y como eliminarlo, consulte Uso de roles vinculados a servicios para Amazon Service OpenSearch .

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.