Meluncurkan domain OpenSearch Layanan Amazon Anda dalam VPC - OpenSearch Layanan Amazon
VPC versus domain publikBatasanArsitektur

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Meluncurkan domain OpenSearch Layanan Amazon Anda dalam VPC

Anda dapat meluncurkan AWS sumber daya, seperti domain OpenSearch Layanan Amazon, ke cloud pribadi virtual (VPC). VPC adalah jaringan virtual yang didedikasikan untuk Anda. Akun AWSVPC diisolasi secara logis dari jaringan virtual lain di AWS Cloud. Menempatkan domain OpenSearch Layanan dalam VPC memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud.

catatan

Jika Anda menempatkan domain OpenSearch Layanan Anda dalam VPC, komputer Anda harus dapat terhubung ke VPC. Sambungan ini sering berupa VPN, transit gateway, jaringan terkelola, atau server proksi. Anda tidak dapat langsung mengakses domain Anda dari luar VPC.

VPC versus domain publik

Berikut ini adalah beberapa cara domain VPC berbeda dari domain publik. Setiap perbedaan dijelaskan nanti secara lebih rinci.

  • Karena isolasi logisnya, domain yang berada di dalam VPC memiliki lapisan keamanan ekstra dibandingkan dengan domain yang menggunakan titik akhir publik.

  • Meskipun domain publik dapat diakses dari perangkat apa pun yang terhubung ke internet, domain VPC memerlukan beberapa bentuk VPN atau proxy.

  • Dibandingkan dengan domain publik, domain VPC menampilkan lebih sedikit informasi di konsol. Secara khusus, tab kesehatan Cluster tidak menyertakan informasi pecahan, dan tab Indeks tidak ada.

  • Titik akhir domain mengambil bentuk yang berbeda (https://search-domain-namevs.https://vpc-domain-name).

  • Anda tidak dapat menerapkan kebijakan akses berbasis IP ke domain yang berada dalam VPC karena grup keamanan sudah menerapkan kebijakan akses berbasis IP.

Batasan

Mengoperasikan domain OpenSearch Layanan dalam VPC memiliki batasan sebagai berikut:

  • Jika Anda meluncurkan domain baru dalam VPC, Anda tidak dapat kemudian beralih untuk menggunakan titik akhir publik. Kebalikannya juga benar: Jika Anda membuat domain dengan titik akhir publik, Anda tidak dapat kemudian menempatkannya dalam VPC. Sebagai gantinya, Anda harus membuat domain baru dan memigrasi data Anda.

  • Anda dapat meluncurkan domain Anda dalam VPC atau menggunakan titik akhir publik, tetapi Anda tidak dapat melakukan keduanya. Anda harus memilih satu atau yang lain saat membuat domain.

  • Anda tidak dapat meluncurkan domain Anda dalam VPC yang menggunakan penyewaan terdedikasi. Anda harus menggunakan VPC dengan penyewaan diatur ke Default.

  • Setelah Anda menempatkan domain dalam VPC, Anda tidak dapat memindahkannya ke VPC lain, tetapi Anda dapat mengubah subnet dan pengaturan grup keamanan.

  • Untuk mengakses instalasi default OpenSearch Dasbor untuk domain yang berada dalam VPC, pengguna harus memiliki akses ke VPC. Proses ini bervariasi menurut konfigurasi jaringan, tetapi mungkin melibatkan koneksi ke VPN atau jaringan terkelola atau menggunakan server proksi atau transit gateway. Untuk mempelajari selengkapnya, lihat Tentang kebijakan akses pada domain VPC, Panduan Pengguna Amazon VPC, dan Mengontrol akses ke OpenSearch Dasbor.

Arsitektur

Untuk mendukung VPC, OpenSearch Service menempatkan titik akhir menjadi satu, dua, atau tiga subnet VPC Anda. Jika Anda mengaktifkan beberapa Availability Zone untuk domain Anda, setiap subnet harus berada di Availability Zone yang berbeda di wilayah yang sama. Jika Anda hanya menggunakan satu Availability Zone, OpenSearch Service menempatkan endpoint ke hanya satu subnet.

Ilustrasi berikut menunjukkan arsitektur VPC untuk satu Availability Zone:

Ilustrasi berikut menunjukkan arsitektur VPC untuk dua Availability Zone:

OpenSearch Layanan juga menempatkan elastic network interface (ENI) di VPC untuk setiap node data Anda. OpenSearch Layanan memberikan setiap ENI alamat IP pribadi dari rentang alamat IPv4 subnet Anda. Layanan ini juga memberikan nama host DNS publik (yang merupakan titik akhir domain) untuk alamat IP. Anda harus menggunakan layanan DNS publik untuk menyelesaikan titik akhir (yang merupakan nama host DNS) ke alamat IP yang sesuai untuk simpul data:

  • Jika VPC Anda menggunakan server DNS yang disediakan Amazon dengan menyetel enableDnsSupport opsi ke true (nilai default), resolusi untuk titik akhir Layanan akan OpenSearch berhasil.

  • Jika VPC Anda menggunakan server DNS pribadi dan server dapat menjangkau server DNS otoritatif publik untuk menyelesaikan nama host DNS, resolusi untuk titik akhir Layanan juga akan berhasil. OpenSearch

Karena alamat IP mungkin berubah, Anda harus menyelesaikan titik akhir domain secara berkala sehingga Anda selalu dapat mengakses simpul data yang benar. Kami menyarankan Anda mengatur interval resolusi DNS ke satu menit. Jika Anda menggunakan klien, Anda juga harus memastikan bahwa cache DNS di klien dihapus.

Migrasi dari akses publik ke akses VPC

Ketika Anda membuat domain, Anda menentukan apakah itu harus memiliki titik akhir publik atau berada dalam VPC. Setelah dibuat, Anda tidak dapat beralih dari satu ke yang lain. Sebagai gantinya, Anda harus membuat domain baru dan mengindeks ulang atau memigrasi data Anda secara manual. Snapshots menawarkan cara yang mudah untuk memigrasi data. Untuk informasi tentang mengambil dan memulihkan snapshots, lihat Membuat snapshot indeks di Amazon Service OpenSearch .

Tentang kebijakan akses pada domain VPC

Menempatkan domain OpenSearch Layanan Anda dalam VPC memberikan lapisan keamanan yang melekat dan kuat. Ketika Anda membuat domain dengan akses publik, titik akhir mengambil bentuk berikut:

https://search-domain-name-identifier.region.es.amazonaws.com

Seperti yang disarankan oleh label “publik”, titik akhir ini dapat diakses dari perangkat apa pun yang terhubung ke internet, meskipun Anda dapat (dan seharusnya) mengontrol akses ke sana. Jika Anda mengakses titik akhir di peramban web, Anda mungkin menerima pesan Not Authorized, tetapi permintaan mencapai domain.

Saat Anda membuat domain dengan akses VPC, titik akhirnya terlihat mirip dengan titik akhir publik:

https://vpc-domain-name-identifier.region.es.amazonaws.com

Namun, jika Anda mencoba mengakses titik akhir di peramban web, Anda mungkin mendapati bahwa waktu permintaan habis. Untuk melakukan bahkan permintaan GET dasar, komputer Anda harus dapat terhubung ke VPC. Sambungan ini sering berupa VPN, transit gateway, jaringan terkelola, atau server proksi. Untuk detail tentang berbagai formulir yang dapat diambil, lihat Contoh untuk VPC di Panduan Pengguna Amazon VPC. Untuk contoh yang terfokus pada pengembangan, lihat Menguji domain VPC.

Selain persyaratan konektivitas ini, VPC memungkinkan Anda mengelola akses ke domain melalui grup keamanan. Untuk banyak kasus penggunaan, kombinasi fitur keamanan ini sudah cukup, dan Anda mungkin merasa nyaman menerapkan kebijakan akses terbuka ke domain.

Beroperasi dengan kebijakan akses terbuka tidak berarti bahwa siapa pun di internet dapat mengakses domain OpenSearch Layanan. Sebaliknya, ini berarti bahwa jika permintaan mencapai domain OpenSearch Layanan dan grup keamanan terkait mengizinkannya, domain menerima permintaan tersebut. Satu-satunya pengecualian adalah jika Anda menggunakan kontrol akses berbutir halus atau kebijakan akses yang menentukan peran IAM. Dalam situasi ini, agar domain menerima permintaan, grup keamanan harus mengizinkannya dan itu harus ditandatangani dengan kredensial yang valid.

catatan

Karena grup keamanan sudah menerapkan kebijakan akses berbasis IP, Anda tidak dapat menerapkan kebijakan akses berbasis IP ke domain OpenSearch Layanan yang berada dalam VPC. Jika Anda menggunakan akses publik, kebijakan berbasis IP masih tersedia.

Sebelum Anda memulai: prasyarat untuk akses VPC

Sebelum Anda dapat mengaktifkan koneksi antara VPC dan domain OpenSearch Layanan baru Anda, Anda harus melakukan hal berikut:

  • Buat VPC

    Untuk membuat VPC, Anda dapat menggunakan konsol VPC Amazon, AWS CLI, atau salah satu SDK. AWS Untuk informasi lebih lanjut, lihat Bekerja dengan VPC di Panduan Pengguna Amazon VPC. Jika Anda sudah memiliki VPC, Anda dapat melewati langkah ini.

  • Cadangan alamat IP

    OpenSearch Layanan memungkinkan koneksi VPC ke domain dengan menempatkan antarmuka jaringan di subnet VPC. Setiap antarmuka jaringan dikaitkan dengan alamat IP. Anda harus menyimpan alamat IP dalam jumlah yang cukup di subnet untuk antarmuka jaringan. Untuk informasi selengkapnya, lihat Menyimpan alamat IP di subnet VPC.

Menguji domain VPC

Keamanan VPC yang ditingkatkan dapat membuat koneksi ke domain Anda dan menjalankan tes dasar menjadi tantangan. Jika Anda sudah memiliki domain VPC OpenSearch Layanan dan lebih suka tidak membuat server VPN, coba proses berikut:

  1. Untuk kebijakan akses domain Anda, pilih Hanya gunakan kontrol akses berbutir halus. Anda selalu dapat memperbarui pengaturan ini setelah Anda menyelesaikan pengujian.

  2. Buat instans Amazon EC2 Amazon Linux di VPC, subnet, dan grup keamanan yang sama dengan domain Layanan Anda. OpenSearch

    Karena instans ini adalah untuk tujuan pengujian dan perlu melakukan sedikit pekerjaan, pilih tipe instans yang murah seperti t2.micro. Tetapkan alamat IP publik instans dan buat pasangan kunci baru atau pilih yang sudah ada. Jika Anda membuat kunci baru, unduh ke direktori ~/.ssh Anda.

    Untuk mempelajari lebih lanjut tentang membuat instans, lihat Memulai instans Amazon EC2 Linux.

  3. Tambahkan sebuah gateway internet ke VPC Anda.

  4. Di tabel rute untuk VPC Anda, tambahkan rute baru. Untuk Tujuan, tentukan sebuah Blok CIDR yang berisi alamat IP publik komputer Anda. Untuk Target, tentukan gateway internet yang baru saja Anda buat.

    Misalnya, Anda dapat menentukan 123.123.123.123/32 hanya untuk komputer Anda atau 123.123.123.0/24 untuk berbagai komputer.

  5. Untuk grup keamanan, tentukan dua aturan masuk:

    Tipe Protokol Baris Port Sumber
    SSH (22) TCP (6) 22 your-cidr-block
    HTTPS (443) TCP (6) 443 your-security-group-id

    Aturan pertama memungkinkan Anda SSH ke instans EC2 Anda. Yang kedua memungkinkan instans EC2 untuk berkomunikasi dengan domain OpenSearch Layanan melalui HTTPS.

  6. Dari terminal, jalankan perintah berikut:

    ssh -i ~/.ssh/your-key.pem ec2-user@your-ec2-instance-public-ip -N -L 9200:vpc-domain-name.region.es.amazonaws.com:443

    Perintah ini membuat terowongan SSH yang meneruskan permintaan ke https://localhost:9200 ke domain OpenSearch Layanan Anda melalui instans EC2. Menentukan port 9200 dalam perintah mensimulasikan OpenSearch instalasi lokal, tetapi gunakan port mana pun yang Anda inginkan. OpenSearch Layanan hanya menerima koneksi melalui port 80 (HTTP) atau 443 (HTTPS).

    Perintah tidak memberikan umpan balik dan berjalan tanpa batas waktu. Untuk menghentikannya, tekan Ctrl + C.

  7. Arahkan ke https://localhost:9200/_dashboards/ di browser web Anda. Anda mungkin perlu menyatakan pengecualian keamanan.

    Sebagai alternatif, Anda dapat mengirim permintaan ke https://localhost:9200 menggunakan curl, Postman, atau bahasa pemrograman favorit Anda.

    Tip

    Jika Anda mengalami kesalahan curl karena ketidakcocokan sertifikat, coba flag --insecure.

Menyimpan alamat IP di subnet VPC

OpenSearch Layanan menghubungkan domain ke VPC dengan menempatkan antarmuka jaringan di subnet VPC (atau beberapa subnet VPC jika Anda mengaktifkan beberapa Availability Zone). Setiap antarmuka jaringan dikaitkan dengan alamat IP. Sebelum Anda membuat domain OpenSearch Layanan Anda, Anda harus memiliki cukup banyak alamat IP yang tersedia di setiap subnet untuk mengakomodasi antarmuka jaringan.

Berikut rumus dasarnya: Jumlah alamat IP yang dicadangkan OpenSearch Layanan di setiap subnet adalah tiga kali jumlah node data, dibagi dengan jumlah Availability Zones.

Contoh

  • Jika domain memiliki sembilan node data di tiga Availability Zone, jumlah IP per subnet adalah 9 * 3/3 = 9.

  • Jika domain memiliki delapan node data di dua Availability Zone, jumlah IP per subnet adalah 8 * 3/2 = 12.

  • Jika domain memiliki enam node data dalam satu Availability Zone, jumlah IP per subnet adalah 6 * 3/1 = 18.

Saat Anda membuat domain, OpenSearch Layanan menyimpan alamat IP, menggunakan beberapa untuk domain, dan menyimpan sisanya untuk penerapan biru/hijau. Anda dapat melihat antarmuka jaringan dan alamat IP terkaitnya di bagian Antarmuka Jaringan dari konsol Amazon EC2. Kolom Deskripsi menunjukkan domain OpenSearch Layanan mana yang terkait dengan antarmuka jaringan.

Tip

Kami menyarankan Anda membuat subnet khusus untuk alamat IP yang dicadangkan OpenSearch Layanan. Dengan menggunakan subnet terdedikasi, Anda menghindari tumpang tindih dengan aplikasi dan layanan lain dan memastikan bahwa Anda dapat menyimpan alamat IP tambahan jika Anda perlu untuk menskalakan klaster Anda di masa mendatang. Untuk mempelajari selengkapnya, lihat Membuat subnet di VPC Anda.

Peran yang terhubung dengan layanan untuk akses VPC

Peran terkait layanan adalah jenis peran IAM unik yang mendelegasikan izin ke layanan sehingga dapat membuat dan mengelola sumber daya atas nama Anda. OpenSearch Layanan memerlukan peran terkait layanan untuk mengakses VPC Anda, membuat titik akhir domain, dan menempatkan antarmuka jaringan di subnet VPC Anda.

OpenSearch Layanan secara otomatis membuat peran saat Anda menggunakan konsol OpenSearch Layanan untuk membuat domain dalam VPC. Agar pembuatan otomatis ini berhasil, Anda harus memiliki izin untuk iam:CreateServiceLinkedRole tindakan tersebut. Untuk mempelajari selengkapnya, lihat Izin peran terkait layanan di Panduan Pengguna IAM.

Setelah OpenSearch Layanan membuat peran, Anda dapat melihatnya (AWSServiceRoleForAmazonOpenSearchService) menggunakan konsol IAM.

Untuk informasi lengkap tentang izin peran ini dan cara menghapusnya, lihat Menggunakan peran terkait layanan untuk Amazon Service OpenSearch .