Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de l'accès VPC pour les pipelines Amazon Ingestion OpenSearch
Vous pouvez accéder à vos pipelines Amazon OpenSearch Ingestion à l'aide d'un point de terminaison VPC d'interface. Un VPC est un réseau virtuel qui vous est dédié. Compte AWS Il est logiquement isolé des autres réseaux virtuels du AWS cloud. L'accès à un pipeline via un point de terminaison VPC permet une communication sécurisée entre OpenSearch Ingestion et les autres services du VPC sans avoir besoin d'une passerelle Internet, d'un périphérique NAT ou d'une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud.
OpenSearch L'ingestion établit cette connexion privée en créant un point de terminaison d'interface, alimenté par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous spécifiez lors de la création du pipeline. Il s'agit d'interfaces réseau gérées par les demandeurs qui servent de point d'entrée pour le trafic destiné au pipeline d' OpenSearch ingestion. Vous pouvez également choisir de créer et de gérer vous-même les points de terminaison de l'interface.
L'utilisation d'un VPC vous permet d'appliquer le flux de données à travers vos pipelines d' OpenSearch ingestion dans les limites du VPC, plutôt que sur Internet public. Les pipelines qui ne font pas partie d'un VPC envoient et reçoivent des données via des points de terminaison publics et Internet.
Un pipeline avec accès VPC peut écrire dans des domaines publics ou de OpenSearch service VPC, ainsi que dans des collections publiques ou VPC sans serveur. OpenSearch
Rubriques
Considérations
Tenez compte des points suivants lorsque vous configurez l'accès VPC pour un pipeline.
-
Il n'est pas nécessaire qu'un pipeline se trouve dans le même VPC que son récepteur. Il n'est pas non plus nécessaire d'établir une connexion entre les deux VPC. OpenSearch Ingestion se charge de les connecter pour vous.
-
Vous ne pouvez spécifier qu'un seul VPC pour votre pipeline.
-
Contrairement aux pipelines publics, un pipeline VPC doit se trouver dans le même emplacement Région AWS que le domaine ou le récepteur de collection dans lequel il écrit.
-
Vous pouvez choisir de déployer un pipeline dans un, deux ou trois sous-réseaux de votre VPC. Les sous-réseaux sont répartis dans les mêmes zones de disponibilité dans lesquelles vos unités de OpenSearch calcul d'ingestion (OCU) sont déployées.
-
Si vous déployez un pipeline uniquement dans un sous-réseau et que la zone de disponibilité tombe en panne, vous ne pourrez pas ingérer de données. Pour garantir une haute disponibilité, nous vous recommandons de configurer des pipelines avec deux ou trois sous-réseaux.
-
La spécification d'un groupe de sécurité est facultative. Si vous ne fournissez pas de groupe de sécurité, OpenSearch Ingestion utilise le groupe de sécurité par défaut spécifié dans le VPC.
Limites
Les pipelines dotés d'un accès VPC présentent les limites suivantes.
-
Vous ne pouvez pas modifier la configuration réseau d'un pipeline après l'avoir créé. Si vous lancez un pipeline au sein d'un VPC, vous ne pourrez pas le transformer ultérieurement en point de terminaison public, et vice versa.
-
Vous pouvez lancer votre pipeline avec un point de terminaison VPC d'interface ou un point de terminaison public, mais vous ne pouvez pas faire les deux. Vous devez choisir l'un ou l'autre lorsque vous créez un pipeline.
-
Une fois que vous avez configuré un pipeline avec un accès VPC, vous ne pouvez pas le déplacer vers un autre VPC et vous ne pouvez pas modifier ses sous-réseaux ou ses paramètres de groupe de sécurité.
-
Si votre pipeline écrit vers un récepteur de domaine ou de collection qui utilise un accès VPC, vous ne pouvez pas revenir en arrière plus tard et modifier le récepteur (VPC ou public) une fois le pipeline créé. Vous devez supprimer et recréer le pipeline avec un nouveau récepteur. Vous pouvez toujours passer d'un récepteur public à un récepteur avec accès VPC.
-
Vous ne pouvez pas fournir un accès d'ingestion entre comptes aux pipelines VPC.
Prérequis
Avant de pouvoir provisionner un pipeline avec un accès VPC, vous devez effectuer les opérations suivantes :
-
Créer un VPC
Pour créer votre VPC, vous pouvez utiliser la console Amazon VPC, la AWS CLI ou l'un des SDK. AWS Pour plus d'informations, consultez Utilisation de VPC dans le Guide de l'utilisateur Amazon VPC. Si vous avez déjà un VPC, vous pouvez ignorer cette étape.
-
Réserver des adresses IP
OpenSearch L'ingestion place une interface Elastic network dans chaque sous-réseau que vous spécifiez lors de la création du pipeline. Chaque interface réseau est associée à une adresse IP. Vous devez réserver une adresse IP par sous-réseau pour les interfaces réseau.
Configuration de l'accès VPC pour un pipeline
Vous pouvez activer l'accès VPC pour un pipeline dans la console de OpenSearch service ou à l'aide du. AWS CLI
Vous configurez l'accès au VPC lors de la création du pipeline. Sous Réseau, choisissez l'accès VPC et configurez les paramètres suivants :
| Paramètre | Description |
|---|---|
| Gestion des terminaux |
Choisissez si vous souhaitez créer vous-même vos points de terminaison VPC ou laisser Ingestion les créer OpenSearch pour vous. |
| VPC |
Choisissez le cloud privé virtuel (VPC) que vous souhaitez utiliser. Le VPC et le pipeline doivent être identiques. Région AWS |
| Sous-réseaux |
Choisissez un ou plusieurs sous-réseaux. OpenSearch Le service placera un point de terminaison VPC et des interfaces réseau élastiques dans les sous-réseaux. |
| Groupes de sécurité |
Choisissez un ou plusieurs groupes de sécurité VPC qui permettent à l'application requise d'atteindre le pipeline d' OpenSearch ingestion sur les ports (80 ou 443) et les protocoles (HTTP ou HTTPS) exposés par le pipeline. |
| Options de fixation en VPC |
Si votre source est un point de terminaison autogéré, attachez votre pipeline à un VPC. Choisissez l'une des options d'adresse CIDR par défaut fournies ou utilisez une adresse CIDR personnalisée. |
Pour configurer l'accès au VPC à l'aide du AWS CLI, spécifiez le --vpc-options paramètre :
aws osis create-pipeline \ --pipeline-namevpc-pipeline\ --min-units 4 \ --max-units 10 \ --vpc-options SecurityGroupIds={sg-12345678,sg-9012345},SubnetIds=subnet-1212234567834asdf\ --pipeline-configuration-body "file://pipeline-config.yaml"
Points de terminaison VPC autogérés
Lorsque vous créez un pipeline, vous pouvez utiliser la gestion des terminaux pour créer un pipeline avec des points de terminaison autogérés ou des points de terminaison gérés par des services. La gestion des terminaux est facultative et par défaut, ce sont les points de terminaison gérés par OpenSearch Ingestion.
Pour créer un pipeline avec un point de terminaison VPC autogéré dans AWS Management Console le, consultez la section Création de pipelines avec OpenSearch la console de service. Pour créer un pipeline avec un point de terminaison VPC autogéré dans AWS CLI le, vous pouvez utiliser le paramètre de --vpc-options la commande create-pipeline :
--vpc-options SubnetIds=subnet-abcdef01234567890,VpcEndpointManagement=CUSTOMER
Vous pouvez créer vous-même un point de terminaison pour votre pipeline lorsque vous spécifiez votre service de point de terminaison. Pour trouver votre service de point de terminaison, utilisez la commande get-pipeline, qui renvoie une réponse similaire à la suivante :
"vpcEndpointService" : "com.amazonaws.osis.us-east-1.pipeline-id-1234567890abcdef1234567890", "vpcEndpoints" : [ { "vpcId" : "vpc-1234567890abcdef0", "vpcOptions" : { "subnetIds" : [ "subnet-abcdef01234567890", "subnet-021345abcdef6789" ], "vpcEndpointManagement" : "CUSTOMER" } }
Utilisez le vpcEndpointService from de la réponse pour créer un point de terminaison VPC avec le AWS Management Console ou. AWS CLI
Si vous utilisez des points de terminaison VPC autogérés, vous devez activer les enableDnsSupport attributs DNS enableDnsHostnames dans votre VPC. Notez que si vous avez un pipeline avec un point de terminaison autogéré que vous arrêtez et redémarrez, vous devez recréer le point de terminaison VPC dans votre compte.
Rôle lié à un service pour l'accès VPC
Un rôle lié à un service est un type unique de rôle IAM qui délègue des autorisations à un service afin qu'il puisse créer et gérer des ressources en votre nom. Si vous choisissez un point de terminaison VPC géré par un service, OpenSearch Ingestion nécessite un rôle lié à un service appelé pour AWSServiceRoleForAmazonOpenSearchIngestionServiceaccéder à votre VPC, créer le point de terminaison du pipeline et placer les interfaces réseau dans un sous-réseau de votre VPC.
Si vous choisissez un point de terminaison VPC autogéré OpenSearch , Ingestion nécessite un rôle lié à un service appelé. AWSServiceRoleForOpensearchIngestionSelfManagedVpce Pour plus d'informations sur ces rôles, leurs autorisations et la procédure à suivre pour les supprimer, consultezUtilisation de rôles liés à un service pour créer des pipelines d'ingestion OpenSearch .
OpenSearch L'ingestion crée automatiquement le rôle lorsque vous créez un pipeline d'ingestion. Pour que cette création automatique réussisse, l'utilisateur qui crée le premier pipeline dans un compte doit disposer des autorisations nécessaires pour effectuer cette iam:CreateServiceLinkedRole action. Pour en savoir plus, consultez Autorisations de rôles liés à un service dans le Guide de l'utilisateur IAM. Vous pouvez consulter le rôle dans la console AWS Identity and Access Management (IAM) une fois qu'il a été créé.
