Meluncurkan domain OpenSearch Layanan Amazon Anda dalam VPC - OpenSearch Layanan Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Meluncurkan domain OpenSearch Layanan Amazon Anda dalam VPC

Anda dapat meluncurkan AWS sumber daya, seperti domain OpenSearch Layanan Amazon, ke cloud pribadi virtual (VPC). A VPC adalah jaringan virtual yang didedikasikan untuk Anda Akun AWS. VPC diisolasi secara logis dari jaringan virtual lain di AWS Cloud. Menempatkan domain OpenSearch Layanan dalam VPC memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain di dalam VPC tanpa memerlukan gateway internet, NAT perangkat, atau VPN koneksi. Semua lalu lintas tetap aman di dalam AWS Cloud.

catatan

Jika Anda menempatkan domain OpenSearch Layanan Anda di dalam aVPC, komputer Anda harus dapat terhubung ke domainVPC. Koneksi ini sering mengambil bentuk, gateway transitVPN, jaringan terkelola, atau server proxy. Anda tidak dapat langsung mengakses domain Anda dari luar. VPC

VPCversus domain publik

Berikut ini adalah beberapa cara VPC domain berbeda dari domain publik. Setiap perbedaan dijelaskan nanti secara lebih rinci.

  • Karena isolasi logisnya, domain yang berada di dalam a VPC memiliki lapisan keamanan ekstra dibandingkan dengan domain yang menggunakan titik akhir publik.

  • Sementara domain publik dapat diakses dari perangkat yang terhubung ke internet, VPC domain memerlukan beberapa bentuk atau proxy. VPN

  • Dibandingkan dengan domain publik, VPC domain menampilkan lebih sedikit informasi di konsol. Secara khusus, tab kesehatan Cluster tidak menyertakan informasi pecahan, dan tab Indeks tidak ada.

  • Titik akhir domain mengambil bentuk yang berbeda (https://search-domain-namevs.https://vpc-domain-name).

  • Anda tidak dapat menerapkan kebijakan akses berbasis IP ke domain yang berada di dalam domain VPC karena grup keamanan sudah menerapkan kebijakan akses berbasis IP.

Batasan

Mengoperasikan domain OpenSearch Layanan dalam a VPC memiliki batasan sebagai berikut:

  • Jika Anda meluncurkan domain baru dalam aVPC, Anda tidak dapat mengubahnya nanti untuk menggunakan titik akhir publik. Kebalikannya juga benar: Jika Anda membuat domain dengan titik akhir publik, Anda tidak dapat menempatkannya di dalam domain. VPC Sebagai gantinya, Anda harus membuat domain baru dan memigrasi data Anda.

  • Anda dapat meluncurkan domain Anda di dalam VPC atau menggunakan titik akhir publik, tetapi Anda tidak dapat melakukan keduanya. Anda harus memilih satu atau yang lain saat membuat domain.

  • Anda tidak dapat meluncurkan domain Anda dalam domain VPC yang menggunakan penyewaan khusus. Anda harus menggunakan set VPC with tenancy ke Default.

  • Setelah Anda menempatkan domain di dalamVPC, Anda tidak dapat memindahkannya ke yang lainVPC, tetapi Anda dapat mengubah subnet dan pengaturan grup keamanan.

  • Untuk mengakses instalasi default OpenSearch Dasbor untuk domain yang berada di dalamVPC, pengguna harus memiliki akses ke file. VPC Proses ini bervariasi menurut konfigurasi jaringan, tetapi kemungkinan melibatkan koneksi ke VPN atau jaringan yang dikelola atau menggunakan server proxy atau gateway transit. Untuk mempelajari lebih lanjut, lihatTentang kebijakan akses pada VPC domain, Panduan VPC Pengguna Amazon, danMengontrol akses ke Dasbor .

Arsitektur

Untuk mendukungVPCs, OpenSearch Layanan menempatkan titik akhir menjadi satu, dua, atau tiga subnet Anda. VPC Jika Anda mengaktifkan beberapa Availability Zone untuk domain Anda, setiap subnet harus berada di Availability Zone yang berbeda di wilayah yang sama. Jika Anda hanya menggunakan satu Availability Zone, OpenSearch Service menempatkan endpoint ke hanya satu subnet.

Ilustrasi berikut menunjukkan VPC arsitektur untuk satu Availability Zone:

VPC architecture showing subnet with security group connecting to OpenSearch Service data nodes.

Ilustrasi berikut menunjukkan VPC arsitektur untuk dua Availability Zones:

VPC architecture with two Availability Zones, showing security groups, data nodes, and master nodes.

OpenSearch Layanan juga menempatkan elastic network interface (ENI) di VPC untuk setiap node data Anda. OpenSearch Layanan menetapkan masing-masing ENI alamat IP pribadi dari rentang IPv4 alamat subnet Anda. Layanan ini juga memberikan DNS nama host publik (yang merupakan titik akhir domain) untuk alamat IP. Anda harus menggunakan DNS layanan publik untuk menyelesaikan titik akhir (yang merupakan DNS nama host) ke alamat IP yang sesuai untuk node data:

  • Jika Anda VPC menggunakan DNS server yang disediakan Amazon dengan menyetel enableDnsSupport opsi ke true (nilai default), resolusi untuk titik akhir OpenSearch Layanan akan berhasil.

  • Jika Anda VPC menggunakan DNS server pribadi dan server dapat menjangkau server otoritatif DNS publik untuk menyelesaikan DNS nama host, resolusi untuk titik akhir OpenSearch Layanan juga akan berhasil.

Karena alamat IP mungkin berubah, Anda harus menyelesaikan titik akhir domain secara berkala sehingga Anda selalu dapat mengakses simpul data yang benar. Kami menyarankan Anda mengatur interval DNS resolusi menjadi satu menit. Jika Anda menggunakan klien, Anda juga harus memastikan bahwa DNS cache di klien dihapus.

Migrasi dari akses publik ke VPC akses

Saat Anda membuat domain, Anda menentukan apakah domain tersebut harus memiliki titik akhir publik atau berada di dalam domain. VPC Setelah dibuat, Anda tidak dapat beralih dari satu ke yang lain. Sebagai gantinya, Anda harus membuat domain baru dan mengindeks ulang atau memigrasi data Anda secara manual. Snapshots menawarkan cara yang mudah untuk memigrasi data. Untuk informasi tentang mengambil dan memulihkan snapshots, lihat Membuat snapshot indeks di Amazon Service OpenSearch .

Tentang kebijakan akses pada VPC domain

Menempatkan domain OpenSearch Layanan Anda dalam VPC menyediakan lapisan keamanan yang melekat dan kuat. Ketika Anda membuat domain dengan akses publik, titik akhir mengambil bentuk berikut:

https://search-domain-name-identifier.region.es.amazonaws.com

Seperti yang disarankan oleh label “publik”, titik akhir ini dapat diakses dari perangkat apa pun yang terhubung ke internet, meskipun Anda dapat (dan seharusnya) mengontrol akses ke sana. Jika Anda mengakses titik akhir di peramban web, Anda mungkin menerima pesan Not Authorized, tetapi permintaan mencapai domain.

Saat Anda membuat domain dengan VPC akses, titik akhir terlihat mirip dengan titik akhir publik:

https://vpc-domain-name-identifier.region.es.amazonaws.com

Namun, jika Anda mencoba mengakses titik akhir di peramban web, Anda mungkin mendapati bahwa waktu permintaan habis. Untuk melakukan GET permintaan dasar sekalipun, komputer Anda harus dapat terhubung ke fileVPC. Koneksi ini sering mengambil bentuk, gateway transitVPN, jaringan terkelola, atau server proxy. Untuk detail tentang berbagai formulir yang dapat diambil, lihat Contoh untuk VPC di Panduan VPC Pengguna Amazon. Untuk contoh yang terfokus pada pengembangan, lihat Menguji VPC domain.

Selain persyaratan konektivitas ini, VPCs memungkinkan Anda mengelola akses ke domain melalui grup keamanan. Untuk banyak kasus penggunaan, kombinasi fitur keamanan ini sudah cukup, dan Anda mungkin merasa nyaman menerapkan kebijakan akses terbuka ke domain.

Beroperasi dengan kebijakan akses terbuka tidak berarti bahwa siapa pun di internet dapat mengakses domain OpenSearch Layanan. Sebaliknya, ini berarti bahwa jika permintaan mencapai domain OpenSearch Layanan dan grup keamanan terkait mengizinkannya, domain menerima permintaan tersebut. Satu-satunya pengecualian adalah jika Anda menggunakan kontrol akses berbutir halus atau kebijakan akses yang menentukan peran. IAM Dalam situasi ini, agar domain menerima permintaan, grup keamanan harus mengizinkannya dan itu harus ditandatangani dengan kredensial yang valid.

catatan

Karena grup keamanan sudah menerapkan kebijakan akses berbasis IP, Anda tidak dapat menerapkan kebijakan akses berbasis IP ke domain OpenSearch Layanan yang berada di dalam domain. VPC Jika Anda menggunakan akses publik, kebijakan berbasis IP masih tersedia.

Sebelum Anda mulai: prasyarat untuk akses VPC

Sebelum Anda dapat mengaktifkan koneksi antara domain Layanan VPC dan domain OpenSearch Layanan baru Anda, Anda harus melakukan hal berikut:

  • Buat VPC

    Untuk membuatnyaVPC, Anda dapat menggunakan VPC konsol Amazon, konsol AWS CLI, atau salah satu AWS SDKs. Untuk informasi selengkapnya, lihat Bekerja dengan VPCs di Panduan VPC Pengguna Amazon. Jika Anda sudah memilikiVPC, Anda dapat melewati langkah ini.

  • Cadangan alamat IP

    OpenSearch Layanan memungkinkan koneksi dari a VPC ke domain dengan menempatkan antarmuka jaringan dalam subnet dari domain. VPC Setiap antarmuka jaringan dikaitkan dengan alamat IP. Anda harus menyimpan alamat IP dalam jumlah yang cukup di subnet untuk antarmuka jaringan. Untuk informasi selengkapnya, lihat Reservasi alamat IP di VPC subnet.

Menguji VPC domain

Keamanan yang ditingkatkan VPC dapat membuat koneksi ke domain Anda dan menjalankan tes dasar menjadi tantangan. Jika Anda sudah memiliki VPC domain OpenSearch Layanan dan lebih suka tidak membuat VPN server, coba proses berikut:

  1. Untuk kebijakan akses domain Anda, pilih Hanya gunakan kontrol akses berbutir halus. Anda selalu dapat memperbarui pengaturan ini setelah Anda menyelesaikan pengujian.

  2. Buat EC2 instans Amazon Linux Amazon di grup subnetVPC, dan keamanan yang sama dengan domain OpenSearch Layanan Anda.

    Karena instans ini adalah untuk tujuan pengujian dan perlu melakukan sedikit pekerjaan, pilih tipe instans yang murah seperti t2.micro. Tetapkan alamat IP publik instans dan buat pasangan kunci baru atau pilih yang sudah ada. Jika Anda membuat kunci baru, unduh ke direktori ~/.ssh Anda.

    Untuk mempelajari lebih lanjut tentang membuat instance, lihat Memulai instans Amazon EC2 Linux.

  3. Tambahkan gateway internet ke AndaVPC.

  4. Di tabel rute untuk AndaVPC, tambahkan rute baru. Untuk Tujuan, tentukan CIDRblok yang berisi alamat IP publik komputer Anda. Untuk Target, tentukan gateway internet yang baru saja Anda buat.

    Misalnya, Anda dapat menentukan 123.123.123.123/32 hanya untuk komputer Anda atau 123.123.123.0/24 untuk berbagai komputer.

  5. Untuk grup keamanan, tentukan dua aturan masuk:

    Tipe Protokol Baris Port Sumber
    SSH(22) TCP(6) 22 your-cidr-block
    HTTPS(443) TCP(6) 443 your-security-group-id

    Aturan pertama memungkinkan Anda SSH masuk ke EC2 instance Anda. Yang kedua memungkinkan EC2 instance untuk berkomunikasi dengan domain OpenSearch Layanan di atasHTTPS.

  6. Dari terminal, jalankan perintah berikut:

    ssh -i ~/.ssh/your-key.pem ec2-user@your-ec2-instance-public-ip -N -L 9200:vpc-domain-name.region.es.amazonaws.com:443

    Perintah ini membuat SSH terowongan yang meneruskan permintaan ke https://localhost:9200 ke domain OpenSearch Layanan Anda melalui EC2 instance. Menentukan port 9200 dalam perintah mensimulasikan OpenSearch instalasi lokal, tetapi gunakan port mana pun yang Anda inginkan. OpenSearch Layanan hanya menerima koneksi melalui port 80 (HTTP) atau 443 (HTTPS).

    Perintah tidak memberikan umpan balik dan berjalan tanpa batas waktu. Untuk menghentikannya, tekan Ctrl + C.

  7. Arahkan ke https://localhost:9200/_dashboards/ di browser web Anda. Anda mungkin perlu menyatakan pengecualian keamanan.

    Sebagai alternatif, Anda dapat mengirim permintaan ke https://localhost:9200 menggunakan curl, Postman, atau bahasa pemrograman favorit Anda.

    Tip

    Jika Anda mengalami kesalahan curl karena ketidakcocokan sertifikat, coba flag --insecure.

Reservasi alamat IP di subnet VPC

OpenSearch Layanan menghubungkan domain ke a VPC dengan menempatkan antarmuka jaringan di subnet VPC (atau beberapa subnet VPC jika Anda mengaktifkan beberapa Availability Zone). Setiap antarmuka jaringan dikaitkan dengan alamat IP. Sebelum Anda membuat domain OpenSearch Layanan Anda, Anda harus memiliki cukup banyak alamat IP yang tersedia di setiap subnet untuk mengakomodasi antarmuka jaringan.

Berikut rumus dasarnya: Jumlah alamat IP yang dicadangkan OpenSearch Layanan di setiap subnet adalah tiga kali jumlah node data, dibagi dengan jumlah Availability Zones.

Contoh

  • Jika domain memiliki sembilan node data di tiga Availability Zone, jumlah IP per subnet adalah 9 * 3/3 = 9.

  • Jika domain memiliki delapan node data di dua Availability Zone, jumlah IP per subnet adalah 8 * 3/2 = 12.

  • Jika domain memiliki enam node data dalam satu Availability Zone, jumlah IP per subnet adalah 6 * 3/1 = 18.

Saat Anda membuat domain, OpenSearch Layanan menyimpan alamat IP, menggunakan beberapa untuk domain, dan menyimpan sisanya untuk penerapan biru/hijau. Anda dapat melihat antarmuka jaringan dan alamat IP terkaitnya di bagian Antarmuka Jaringan di konsol AmazonEC2. Kolom Deskripsi menunjukkan domain OpenSearch Layanan mana yang terkait dengan antarmuka jaringan.

Tip

Kami menyarankan Anda membuat subnet khusus untuk alamat IP yang dicadangkan OpenSearch Layanan. Dengan menggunakan subnet terdedikasi, Anda menghindari tumpang tindih dengan aplikasi dan layanan lain dan memastikan bahwa Anda dapat menyimpan alamat IP tambahan jika Anda perlu untuk menskalakan klaster Anda di masa mendatang. Untuk mempelajari selengkapnya, lihat Membuat subnet di. VPC

Anda juga dapat mempertimbangkan penyediaan node koordinator khusus untuk mengurangi jumlah reservasi alamat IP pribadi yang diperlukan untuk domain Anda. VPC OpenSearchmelampirkan elastic network interface (ENI) ke node koordinator khusus Anda, bukan node data Anda. Node koordinator khusus biasanya mewakili sekitar 10% dari total node data. Akibatnya, sejumlah kecil alamat IP pribadi akan dicadangkan untuk VPC domain.

Peran terkait layanan untuk akses VPC

Peran terkait layanan adalah jenis IAM peran unik yang mendelegasikan izin ke layanan sehingga dapat membuat dan mengelola sumber daya atas nama Anda. OpenSearch Layanan memerlukan peran terkait layanan untuk mengakses AndaVPC, membuat titik akhir domain, dan menempatkan antarmuka jaringan di subnet Anda. VPC

OpenSearch Layanan secara otomatis membuat peran saat Anda menggunakan konsol OpenSearch Layanan untuk membuat domain dalam fileVPC. Agar pembuatan otomatis ini berhasil, Anda harus memiliki izin untuk iam:CreateServiceLinkedRole tindakan tersebut. Untuk mempelajari selengkapnya, lihat Izin peran terkait layanan di Panduan Pengguna. IAM

Setelah OpenSearch Service membuat peran, Anda dapat melihatnya (AWSServiceRoleForAmazonOpenSearchService) menggunakan IAM konsol.

Untuk informasi lengkap tentang izin peran ini dan cara menghapusnya, lihat Menggunakan peran terkait layanan untuk Amazon Service OpenSearch .