Creazione e gestione di domini Amazon OpenSearch Service - OpenSearch Servizio Amazon
Creazione OpenSearch di domini di servizioConfigurazione delle policy di accessoImpostazioni avanzate del cluster

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione e gestione di domini Amazon OpenSearch Service

Questo capitolo descrive come creare e gestire i domini Amazon OpenSearch Service. Un dominio è l'equivalente AWS fornito di un cluster open source. OpenSearch Quando si crea un dominio, si specificano le impostazioni, i tipi di istanza, il numero di istanze e l'allocazione dello storage. Per ulteriori informazioni sui cluster open source, consulta Creazione di un cluster nella OpenSearch documentazione.

A differenza delle istruzioni nel tutorial relativo alle nozioni di base, in questo capitolo sono descritte tutte le opzioni e sono fornite le informazioni di riferimento rilevanti. È possibile completare ogni procedura utilizzando le istruzioni per la console OpenSearch di servizio, il AWS Command Line Interface (AWS CLI) o il AWS SDKs.

Creazione OpenSearch di domini di servizio

Questa sezione descrive come creare domini OpenSearch di servizio utilizzando la console di OpenSearch servizio o utilizzando il comando AWS CLI with thecreate-domain.

Creazione OpenSearch di domini di servizio (console)

Utilizzare la procedura seguente per creare un dominio OpenSearch di servizio utilizzando la console.

Per creare un dominio OpenSearch di servizio (console)

  1. Vai a https://aws.amazon.com.rproxy.goskope.come scegli Accedi alla console.

  2. In Analytics, scegli Amazon OpenSearch Service.

  3. Scegli Crea dominio.

  4. In Domain name (Nome di dominio), immettere un nome di dominio. Il nome deve soddisfare i seguenti criteri:

    • Unico per il tuo account e Regione AWS

    • Inizia con una lettera minuscola

    • Contiene da 3 a 28 caratteri

    • Contiene solo lettere minuscole a - z, i numeri da 0 a 9 e i trattini (-)

  5. Per il metodo di creazione del dominio, scegli Creazione standard.

  6. Per i modelli, scegli l'opzione più adatta allo scopo del tuo dominio:

    • Domini di produzione per carichi di lavoro che richiedono disponibilità e prestazioni elevate. Questi domini utilizzano Multi-AZ (con o senza standby) e nodi master dedicati per una maggiore disponibilità.

    • Sviluppo/test per lo sviluppo o il test. Questi domini possono utilizzare Multi-AZ (con o senza standby) o una singola zona di disponibilità.

      Importante

      I diversi tipi di distribuzione presentano diverse opzioni su pagine successive. Questi passaggi includono tutte le opzioni.

  7. Per le opzioni di distribuzione, scegli Dominio con standby per configurare un dominio 3-AZ, con i nodi in una delle zone riservati come standby. Questa opzione applica una serie di best practice, come il numero di nodi di dati specificato, il conteggio dei nodi principali, il tipo di istanza, il numero di repliche e le impostazioni di aggiornamento software.

  8. Per Versione, scegli la versione OpenSearch o la versione precedente di Elasticsearch OSS da utilizzare. Ti consigliamo di scegliere la versione più recente di. OpenSearch Per ulteriori informazioni, consulta Versioni supportate di Elasticsearch OpenSearch .

    (Facoltativo) Se hai scelto una OpenSearch versione per il tuo dominio, seleziona Abilita la modalità di compatibilità per OpenSearch segnalare la versione 7.10, che consente a determinati OSS client e plugin di Elasticsearch che controllano la versione prima di connettersi di continuare a utilizzare il servizio.

  9. Per Tipo di istanza, scegliere un tipo di istanza per i nodi di dati. Per ulteriori informazioni, consultare Tipi di istanze supportati in Amazon OpenSearch Service.

    Nota

    Non tutte le zone di disponibilità supportano tutti i tipi di istanze. Se scegli Multi-AZ con o senza Standby, ti consigliamo di scegliere i tipi di istanza della generazione attuale, come R5 o I3.

  10. In Number of nodes (Numero di nodi), scegliere il numero di nodi di dati.

    Per i valori massimi, consulta Quote di dominio e istanza del servizio. OpenSearch I cluster a nodo singolo sono ideali per lo sviluppo e i test, ma non devono essere utilizzati per i carichi di lavoro di produzione. Per ulteriori linee guida, consulta Dimensionamento dei domini Amazon OpenSearch Service e Configurazione di un dominio Multi-AZ in Amazon Service OpenSearch .

    Nota

    (Facoltativo) I nodi coordinatori dedicati supportano tutte le OpenSearch versioni e ElasticSearch le versioni dalla 6.8 alla 7.10. I nodi coordinatori dedicati sono disponibili per l'uso con domini con un gestore di cluster dedicato abilitato. Per abilitare i nodi coordinatori dedicati, dovrai selezionare il tipo e il numero di istanze. Come procedura ottimale, è consigliabile mantenere la stessa famiglia di istanze per il nodo coordinatore dedicato e i nodi dati (istanze basate su Intel o istanze basate su Graviton).

  11. Per Tipo di archiviazione, seleziona AmazonEBS. I tipi di volume disponibili nell'elenco dipendono dal tipo di istanza scelta. Per istruzioni su come creare domini di grandi dimensioni, consultare Scalabilità in petabyte in Amazon Service OpenSearch .

  12. Per EBSlo spazio di archiviazione, configura le seguenti impostazioni aggiuntive. Alcune impostazioni potrebbero non essere visualizzate a seconda del tipo di volume scelto.

    Impostazione Descrizione
    EBStipo di volume

    Scegliete tra General Purpose (SSD) - gp3 e General Purpose (SSD) - gp2 o la generazione precedente Provisioned IOPS (SSD) e Magnetic (standard).
    EBSdimensione di archiviazione per nodo

    Inserisci la dimensione del EBS volume che desideri collegare a ciascun nodo di dati.

    EBSla dimensione del volume è per nodo. È possibile calcolare la dimensione totale del cluster per il dominio del OpenSearch servizio moltiplicando il numero di nodi di dati per la dimensione del EBS volume. La dimensione minima e massima di un EBS volume dipende sia dal tipo di EBS volume specificato che dal tipo di istanza a cui è collegato. Per ulteriori informazioni, consulta Limiti delle dimensioni del EBS volume.
    Fornito IOPS

    Se avete selezionato un tipo di IOPS SSD volume Provisioned, inserite il numero di operazioni di I/O al secondo (IOPS) che il volume può supportare.

  13. (Facoltativo) Se hai selezionato un tipo di gp3 volume, espandi le Impostazioni avanzate e specifica ulteriori IOPS (fino a 16.000 per ogni dimensione di volume da 3 TiB fornita per nodo di dati) e velocità effettiva (fino a 1.000 MiB/s per ogni dimensione di volume da 3 TiB fornita per nodo di dati) oltre a quanto incluso nel prezzo dello storage, a un costo aggiuntivo. Per ulteriori informazioni, consulta i prezzi OpenSearch di Amazon Service.

  14. (Facoltativo) Per abilitare UltraWarm lo storage, scegli Abilita nodi di UltraWarm dati. Ogni tipo di istanza ha una quantità massima di spazio di archiviazione che può indirizzare. Moltiplicare tale importo per il numero di nodi di dati a caldo per l'archiviazione a caldo indirizzabile totale.

  15. (Facoltativo) Per abilitare l'archiviazione a freddo, scegliere Abilita archiviazione a freddo. È necessario abilitare UltraWarm per abilitare la conservazione a freddo.

  16. Se si utilizza Multi-AZ con Standby, tre nodi master dedicati sono già abilitati. Scegli il tipo di nodi master che desideri. Se hai scelto un dominio Multi-AZ senza Standby, seleziona Abilita nodi master dedicati e scegli il tipo e il numero di nodi master che desideri. I nodi master dedicati aumentano la stabilità del cluster e sono richiesti per domini con un conteggio istanze superiore a 10. Per i domini di produzione consigliamo tre nodi master dedicati.

    Nota

    È possibile scegliere tra tipi di istanze differenti per nodi master dedicati e nodi di dati. Ad esempio, è possibile selezionare istanze generiche o ottimizzate per l'archiviazione per i nodi di dati e scegliere istanze ottimizzate per l'elaborazione per i nodi principali dedicati.

  17. (Facoltativo) Per i domini che eseguono OpenSearch Elasticsearch 5.3 e versioni successive, la configurazione Snapshot è irrilevante. Per ulteriori informazioni sugli snapshot automatici, consulta Creazione di istantanee dell'indice in Amazon Service OpenSearch .

  18. Se si desidera utilizzare un endpoint personalizzato anziché quello standard di https://search-mydomain-1a2a3a4a5a6a7a8a9a0a9a8a7a.us-east-1.es.amazonaws.com, scegliere Abilita endpoint personalizzato e fornire un nome e un certificato. Per ulteriori informazioni, consulta Creazione di un endpoint personalizzato per Amazon Service OpenSearch .

  19. In Rete, scegli Accesso o Accesso pubblico. VPC Se si sceglie Public access (Accesso pubblico), andare al passaggio successivo. Se scegli VPCl'accesso, assicurati di soddisfare i prerequisiti, quindi configura le seguenti impostazioni:

    Impostazione Descrizione
    VPC

    Scegli l'ID del cloud privato virtuale (VPC) che desideri utilizzare. Il dominio VPC and deve essere nello stesso Regione AWS ed è necessario selezionarne uno VPC con la tenancy impostata su Default. OpenSearch Il servizio non supporta VPCs ancora l'utilizzo della locazione dedicata.
    Sottorete

    Scegli una sottorete. Se hai abilitato Multi-AZ, devi scegliere due o tre sottoreti. OpenSearch Il servizio inserirà un VPC endpoint e interfacce di rete elastiche nelle sottoreti.

    È necessario riservare un numero sufficiente di indirizzi IP per le interfacce di rete nelle sottoreti. Per ulteriori informazioni, vedere Prenotazione degli indirizzi IP in una sottorete. VPC
    Gruppi di sicurezza

    Scegli uno o più gruppi VPC di sicurezza che consentano all'applicazione richiesta di raggiungere il dominio del OpenSearch servizio sulle porte (80 o 443) e sui protocolli (HTTPoHTTPS) esposti dal dominio. Per ulteriori informazioni, consulta Avvio dei domini Amazon OpenSearch Service all'interno di un VPC.
    IAMRuolo

    Mantieni il ruolo predefinito. OpenSearch Il servizio utilizza questo ruolo predefinito (noto anche come ruolo collegato al servizio) per accedere all'utente e collocare un VPC endpoint VPC e le interfacce di rete nella sottorete di. VPC Per ulteriori informazioni, consulta Ruolo collegato ai servizi per l'accesso. VPC
    Tipo di indirizzo IP

    Scegli tra dual stack o IPv4 come tipo di indirizzo IP. Il dual stack consente di condividere le risorse di dominio tra diversi tipi di IPv6 indirizzi IPv4 ed è l'opzione consigliata. Se imposti il tipo di indirizzo IP su dual stack, non puoi modificare il tipo di indirizzo in un secondo momento.

  20. Abilitare o disabilitare il controllo granulare degli accessi:

    • Se desideri utilizzarlo IAM per la gestione degli utenti, scegli Imposta IAM ARN come utente principale e specifica ARN il IAM ruolo.

    • Se desideri utilizzare il database utenti interno, scegli Crea utente principale e specifica un nome utente e una password.

    Qualunque opzione tu scelga, l'utente principale può accedere a tutti gli indici del cluster e a tutto il resto. OpenSearch APIs Per informazioni su quale opzione scegliere, vedere Concetti chiave.

    Se disabiliti il controllo granulare degli accessi, puoi comunque controllare l'accesso al tuo dominio inserendolo all'interno di unVPC, applicando una politica di accesso restrittiva o entrambi. È necessario abilitare la node-to-node crittografia e la crittografia a riposo per utilizzare un controllo granulare degli accessi.

    Nota

    Si consiglia fortemente di abilitare il controllo granulare degli accessi per proteggere i dati sul dominio. Il controllo granulare degli accessi fornisce protezione a livello di cluster, indice, documento e campo.

  21. (Facoltativo) Se desideri utilizzare l'SAMLautenticazione per le OpenSearch dashboard, scegli Abilita l'SAMLautenticazione e configura SAML le opzioni per il dominio. Per istruzioni, consulta SAMLautenticazione per OpenSearch dashboard.

  22. (Facoltativo) Se desideri utilizzare l'autenticazione Amazon Cognito per OpenSearch dashboard, scegli Abilita l'autenticazione Amazon Cognito. Quindi scegli il pool di utenti e il pool di identità di Amazon Cognito che desideri utilizzare per l'autenticazione di OpenSearch Dashboards. Per ulteriori informazioni sulla creazione di queste risorse, consultare Configurazione dell'autenticazione Amazon Cognito per dashboard OpenSearch.

  23. Per la policy di accesso, scegli una policy di accesso o configurane una personalizzata. Se si sceglie di creare una policy personalizzata, è possibile configurarla manualmente o importarne una da un altro dominio. Per ulteriori informazioni, consulta Identity and Access Management in Amazon OpenSearch Service.

    Nota

    Se hai abilitato VPC l'accesso, non puoi utilizzare criteri basati su IP. Invece è possibile utilizzare i gruppi di sicurezza per controllare gli indirizzi IP che possono accedere al dominio. Per ulteriori informazioni, consulta Informazioni sulle politiche di accesso sui domini VPC.

  24. (Facoltativo) Per richiedere che tutte le richieste al dominio arrivinoHTTPS, seleziona Richiedi HTTPS per tutto il traffico verso il dominio. Per abilitare node-to-node la crittografia, seleziona ode-to-nodela crittografia N. Per ulteriori informazioni, consulta Node-to-node crittografia per Amazon OpenSearch Service. Per abilitare la crittografia dei dati inattivi, seleziona Abilita la crittografia dei dati inattivi. Queste opzioni sono preselezionate se hai scelto l'opzione di implementazione Multi-AZ with Standby.

  25. (Facoltativo) Seleziona Usa chiave AWS proprietaria per fare in modo che OpenSearch Service crei una chiave di AWS KMS crittografia per tuo conto (o utilizzi quella che ha già creato). Altrimenti, scegli la tua KMS chiave. Per ulteriori informazioni, consulta Crittografia dei dati inattivi per Amazon OpenSearch Service.

  26. Per la finestra non di punta, seleziona un orario di inizio per pianificare gli aggiornamenti del software di servizio e le ottimizzazioni Auto-Tune che richiedono un'implementazione blu/verde. Gli aggiornamenti non di punta aiutano a ridurre al minimo il carico sui nodi master dedicati di un cluster durante i periodi di traffico elevato.

  27. Per Auto-Tune, scegli se consentire al OpenSearch Servizio di suggerire modifiche alla configurazione relative alla memoria del tuo dominio per migliorare la velocità e la stabilità. Per ulteriori informazioni, consulta Auto-Tune per Amazon Service OpenSearch .

    (Facoltativo) Seleziona Finestra Off-peak per pianificare una finestra ricorrente durante la quale Auto-Tune aggiorna il dominio.

  28. (Facoltativo) Seleziona Aggiornamento automatico del software per abilitare gli aggiornamenti software automatici.

  29. (Facoltativo) Aggiungere i tag per descrivere il dominio in modo da poter categorizzare e filtrare in base a tali informazioni. Per ulteriori informazioni, consultare Taggare i domini Amazon OpenSearch Service.

  30. (Facoltativo) Espandi e configura Impostazioni avanzate del cluster. Per un riepilogo di queste opzioni, vedere Impostazioni avanzate del cluster.

  31. Scegli Create (Crea) .

Creazione OpenSearch di domini di servizio ()AWS CLI

Invece di creare un dominio di OpenSearch servizio utilizzando la console, è possibile utilizzare il AWS CLI. Per la sintassi, consulta Amazon OpenSearch Service nel riferimento ai AWS CLI comandi a.

Comandi di esempio

Questo primo esempio dimostra la seguente configurazione del dominio OpenSearch di servizio:

  • Crea un dominio OpenSearch di servizio denominato mylogs con la versione 1.2 OpenSearch

  • Popola il dominio con due istanze del tipo r6g.large.search

  • Utilizza un gp3 EBS volume General Purpose (SSD) da 100 GiB per l'archiviazione per ogni nodo di dati

  • Consente l'accesso anonimo, ma solo da un solo indirizzo IP: 192.0.2.0/32

aws opensearch create-domain \
    --domain-name mylogs \
    --engine-version OpenSearch_1.2 \
    --cluster-config  InstanceType=r6g.large.search,InstanceCount=2 \
    --ebs-options EBSEnabled=true,VolumeType=gp3,VolumeSize=100,Iops=3500,Throughput=125 \
    --access-policies '{"Version": "2012-10-17", "Statement": [{"Action": "es:*", "Principal":"*","Effect": "Allow", "Condition": {"IpAddress":{"aws:SourceIp":["192.0.2.0/32"]}}}]}'

L'esempio successivo mostra la seguente configurazione del dominio OpenSearch di servizio:

  • Crea un dominio di OpenSearch servizio denominato mylogs con Elasticsearch versione 7.10

  • Popola il dominio con sei istanze del tipo r6g.large.search

  • Utilizza un gp2 EBS volume General Purpose (SSD) da 100 GiB per l'archiviazione per ogni nodo di dati

  • Limita l'accesso al servizio a un singolo utente, identificato dall' Account AWS ID dell'utente: 5555

  • Distribuisce istanze in tre zone di disponibilità

aws opensearch create-domain \
    --domain-name mylogs \
    --engine-version Elasticsearch_7.10 \
    --cluster-config  InstanceType=r6g.large.search,InstanceCount=6,ZoneAwarenessEnabled=true,ZoneAwarenessConfig={AvailabilityZoneCount=3} \
    --ebs-options EBSEnabled=true,VolumeType=gp2,VolumeSize=100 \
    --access-policies '{"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:root" }, "Action":"es:*", "Resource": "arn:aws:es:us-east-1:555555555555:domain/mylogs/*" } ] }'

L'esempio successivo mostra la seguente configurazione del dominio di OpenSearch servizio:

  • Crea un dominio OpenSearch di servizio denominato mylogs con la versione 1.0 OpenSearch

  • Popola il dominio con dieci istanze del tipo r6g.xlarge.search

  • Popola il dominio con tre istanze del tipo r6g.large.search per fungere come nodi master dedicati

  • Utilizza un IOPS EBS volume Provisioned da 100 GiB per lo storage, configurato con prestazioni di base di 1000 IOPS per ogni nodo di dati

  • Limita l'accesso a un singolo utente e a una singola sottorisorsa, il _search API

aws opensearch create-domain \
    --domain-name mylogs \
    --engine-version OpenSearch_1.0 \
    --cluster-config  InstanceType=r6g.xlarge.search,InstanceCount=10,DedicatedMasterEnabled=true,DedicatedMasterType=r6g.large.search,DedicatedMasterCount=3 \
    --ebs-options EBSEnabled=true,VolumeType=io1,VolumeSize=100,Iops=1000 \
    --access-policies '{"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::555555555555:root" }, "Action": "es:*", "Resource": "arn:aws:es:us-east-1:555555555555:domain/mylogs/_search" } ] }'
Nota

Se si tenta di creare un dominio di OpenSearch servizio ed esiste già un dominio con lo stesso nome, CLI non riporta alcun errore. Restituisce invece i dettagli per il dominio esistente.

Creazione OpenSearch di domini di servizio ()AWS SDKs

AWS SDKs(eccetto Android e iOSSDKs) supportano tutte le azioni definite in Amazon OpenSearch Service API Reference, tra cuiCreateDomain. Per il codice di esempio, consulta Usando ilAWSSDK per interagire con AmazonOpenSearchServizio. Per ulteriori informazioni sull'installazione e l'utilizzo di AWS SDKs, consulta AWS Software Development Kits.

Creazione OpenSearch di domini di servizio ()AWS CloudFormation

OpenSearch Il servizio è integrato con AWS CloudFormation, un servizio che consente di modellare e configurare le AWS risorse in modo da dedicare meno tempo alla creazione e alla gestione delle risorse e dell'infrastruttura. Crei un modello che descrive il OpenSearch dominio che desideri creare e CloudFormation predispone e configura il dominio per te. Per ulteriori informazioni, inclusi esempi JSON e YAML modelli per OpenSearch domini, consulta il riferimento al tipo di risorsa Amazon OpenSearch Service nella Guida per l'AWS CloudFormation utente.

Configurazione delle policy di accesso

Amazon OpenSearch Service offre diversi modi per configurare l'accesso ai tuoi domini OpenSearch di servizio. Per ulteriori informazioni, consulta Identity and Access Management in Amazon OpenSearch Service e Controllo granulare degli accessi in Amazon Service OpenSearch .

La console offre le policy d'accesso preconfigurate che è possibile personalizzare per le esigenze specifiche del dominio. Puoi anche importare politiche di accesso da altri domini OpenSearch di servizio. Per informazioni su come queste politiche di accesso interagiscono con VPC l'accesso, consultaInformazioni sulle politiche di accesso sui domini VPC.

Per configurare le policy d'accesso (console)

  1. Vai a https://aws.amazon.com, quindi scegli Accedi alla console.

  2. In Analytics, scegli Amazon OpenSearch Service.

  3. Nel pannello di navigazione, in Domini, scegli il dominio che desideri aggiornare.

  4. Scegli Operazioni, quindi Modifica configurazione di sicurezza.

  5. Modifica la politica JSON di accesso o importa un'opzione preconfigurata.

  6. Scegli Save changes (Salva modifiche).

Impostazioni avanzate del cluster

Utilizzare le opzioni avanzate per configurare:

Indici nei corpi delle richieste

Speciifica se i riferimenti espliciti agli indici sono consentiti all'interno del corpo delle richieste. HTTP L'impostazione di questa proprietà su false impedisce agli utenti di aggirare il controllo degli accessi per le risorse secondarie. Per impostazione predefinita, il valore è true. Per ulteriori informazioni, consultare Opzioni e considerazioni avanzate API.

Allocazione della cache dei dati di campo

Specifica la percentuale di spazio heap Java allocata ai dati del campo. Per impostazione predefinita, questa impostazione è pari al 20% dell'heap. JVM

Nota

Molte query dei clienti effettuano la rotazione degli indici giornalieri. Ti consigliamo di iniziare i test di benchmark con una indices.fielddata.cache.size configurazione al 40% dell'JVMheap per la maggior parte di questi casi d'uso. Tuttavia, se si dispone di indici di grandi dimensioni, potrebbe essere necessaria una cache dei dati del campo di grandi dimensioni.

Numero massimo di clausole

Specifica il numero massimo di clausole permesse in una query booleana Lucene. Il valore di default è 1.024. Le query con un numero di clausole superiore a quello permesso generano un errore TooManyClauses. Per ulteriori informazioni, consultare la documentazione di Lucene.