Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione dell'accesso VPC per le pipeline di Amazon Ingestion OpenSearch
Puoi accedere alle tue pipeline di Amazon OpenSearch Ingestion utilizzando un endpoint VPC di interfaccia. Un VPC è una rete virtuale dedicata a te. Account AWSÈ logicamente isolato dalle altre reti virtuali nel AWS cloud. L'accesso a una pipeline tramite un endpoint VPC consente una comunicazione sicura OpenSearch tra Ingestion e altri servizi all'interno del VPC senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del Cloud. AWS
OpenSearch Ingestion stabilisce questa connessione privata creando un endpoint di interfaccia, alimentato da. AWS PrivateLink Creiamo un'interfaccia di rete endpoint in ogni sottorete specificata durante la creazione della pipeline. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato alla pipeline di ingestione. OpenSearch Puoi anche scegliere di creare e gestire tu stesso gli endpoint dell'interfaccia.
L'utilizzo di un VPC consente di imporre il flusso di dati attraverso le pipeline di OpenSearch ingestione entro i confini del VPC, anziché sulla rete Internet pubblica. Le pipeline che non si trovano all'interno di un VPC inviano e ricevono dati su endpoint pubblici e su Internet.
Una pipeline con accesso VPC può scrivere su domini di servizio pubblici o OpenSearch VPC e su raccolte pubbliche o VPC Serverless. OpenSearch
Argomenti
Considerazioni
Considerate quanto segue quando configurate l'accesso VPC per una pipeline.
-
Non è necessario che una pipeline si trovi nello stesso VPC del relativo sink. Inoltre, non è necessario stabilire una connessione tra i due VPC. OpenSearch Ingestion si occupa di collegarli per te.
-
Puoi specificare un solo VPC per la tua pipeline.
-
A differenza delle pipeline pubbliche, una pipeline VPC deve trovarsi nello Regione AWS stesso dominio o sink di raccolta su cui sta scrivendo.
-
Puoi scegliere di implementare una pipeline in una, due o tre sottoreti del tuo VPC. Le sottoreti sono distribuite nelle stesse zone di disponibilità in cui sono distribuite le Ingestion Compute OpenSearch Unit (OCU).
-
Se distribuisci una pipeline solo in una sottorete e la zona di disponibilità non funziona, non sarai in grado di importare dati. Per garantire un'elevata disponibilità, consigliamo di configurare le pipeline con due o tre sottoreti.
-
La specificazione di un gruppo di sicurezza è facoltativa. Se non fornisci un gruppo di sicurezza, OpenSearch Ingestion utilizza il gruppo di sicurezza predefinito specificato nel VPC.
Limitazioni
Le pipeline con accesso VPC presentano le seguenti limitazioni.
-
Non è possibile modificare la configurazione di rete di una pipeline dopo averla creata. Se avvii una pipeline all'interno di un VPC, non puoi modificarla successivamente in un endpoint pubblico e viceversa.
-
Puoi avviare la tua pipeline con un endpoint VPC di interfaccia o un endpoint pubblico, ma non puoi fare entrambe le cose. È necessario scegliere l'uno o l'altro quando si crea una pipeline.
-
Dopo aver effettuato il provisioning di una pipeline con accesso VPC, non è possibile spostarla su un altro VPC e non è possibile modificarne le sottoreti o le impostazioni del gruppo di sicurezza.
-
Se la pipeline scrive su un dominio o un sink di raccolta che utilizza l'accesso VPC, non puoi tornare indietro in un secondo momento e modificare il sink (VPC o pubblico) dopo la creazione della pipeline. È necessario eliminare e ricreare la pipeline con un nuovo sink. Puoi comunque passare da un lavandino pubblico a un lavandino con accesso VPC.
-
Non puoi fornire l'accesso di importazione tra account diversi alle pipeline VPC.
Prerequisiti
Prima di poter effettuare il provisioning di una pipeline con accesso VPC, è necessario effettuare le seguenti operazioni:
-
Crea un VPC
Per creare il tuo VPC, puoi utilizzare la console Amazon VPC, la AWS CLI o uno degli SDK. AWS Per ulteriori informazioni, consultare Utilizzo dei VPC nella Guida per l'utente di Amazon VPC. Se hai già un VPC, questa fase può essere ignorata.
-
Prenota indirizzi IP
OpenSearch L'ingestione inserisce un'interfaccia elastica di rete in ogni sottorete specificata durante la creazione della pipeline. Ogni interfaccia di rete è associata a un indirizzo IP. È necessario riservare un indirizzo IP per sottorete per le interfacce di rete.
Configurazione dell'accesso VPC per una pipeline
È possibile abilitare l'accesso VPC per una pipeline all'interno della console di OpenSearch servizio o utilizzando il. AWS CLI
L'accesso al VPC viene configurato durante la creazione della pipeline. In Rete, scegli Accesso VPC e configura le seguenti impostazioni:
| Impostazione | Descrizione |
|---|---|
| Gestione degli endpoint |
Scegliete se volete creare voi stessi gli endpoint VPC o lasciateli creare da OpenSearch Ingestion per voi. |
| VPC |
Scegli l'ID per il cloud privato virtuale (VPC) da utilizzare. Il VPC e la pipeline devono trovarsi nello stesso ambiente. Regione AWS |
| Sottoreti |
Scegli una o più sottoreti. OpenSearch Il servizio inserirà un endpoint VPC e interfacce di rete elastiche nelle sottoreti. |
| Gruppi di sicurezza |
Scegli uno o più gruppi di sicurezza VPC che consentano all'applicazione richiesta di raggiungere la pipeline di OpenSearch ingestione sulle porte (80 o 443) e sui protocolli (HTTP o HTTPS) esposti dalla pipeline. |
| Opzioni di collegamento VPC |
Se la tua fonte è un endpoint autogestito, collega la pipeline a un VPC. Scegli una delle opzioni CIDR predefinite fornite o utilizza un CIDR personalizzato. |
Per configurare l'accesso al VPC utilizzando AWS CLI, specificare il --vpc-options parametro:
aws osis create-pipeline \ --pipeline-namevpc-pipeline\ --min-units 4 \ --max-units 10 \ --vpc-options SecurityGroupIds={sg-12345678,sg-9012345},SubnetIds=subnet-1212234567834asdf\ --pipeline-configuration-body "file://pipeline-config.yaml"
Endpoint VPC autogestiti
Quando crei una pipeline, puoi utilizzare la gestione degli endpoint per creare una pipeline con endpoint autogestiti o endpoint gestiti dal servizio. La gestione degli endpoint è facoltativa e per impostazione predefinita utilizza gli endpoint gestiti da Ingestion. OpenSearch
Per creare una pipeline con un endpoint VPC autogestito in AWS Management Console, consulta Creazione di pipeline con la console di servizio. OpenSearch Per creare una pipeline con un endpoint VPC autogestito in AWS CLI, puoi utilizzare il --vpc-options parametro nel comando create-pipeline:
--vpc-options SubnetIds=subnet-abcdef01234567890,VpcEndpointManagement=CUSTOMER
Puoi creare tu stesso un endpoint per la tua pipeline quando specifichi il tuo servizio endpoint. Per trovare il tuo servizio endpoint, usa il comando get-pipeline, che restituisce una risposta simile alla seguente:
"vpcEndpointService" : "com.amazonaws.osis.us-east-1.pipeline-id-1234567890abcdef1234567890", "vpcEndpoints" : [ { "vpcId" : "vpc-1234567890abcdef0", "vpcOptions" : { "subnetIds" : [ "subnet-abcdef01234567890", "subnet-021345abcdef6789" ], "vpcEndpointManagement" : "CUSTOMER" } }
Usa il vpcEndpointService from the response per creare un endpoint VPC con o. AWS Management Console AWS CLI
Se utilizzi endpoint VPC autogestiti, devi abilitare gli attributi DNS enableDnsSupport e enableDnsHostnames nel tuo VPC. Tieni presente che se disponi di una pipeline con un endpoint autogestito che interrompi e riavvii, devi ricreare l'endpoint VPC nel tuo account.
Ruolo collegato ai servizi per l'accesso VPC
Un ruolo collegato ai servizi è un tipo specifico di ruolo IAM che delega le autorizzazioni a un servizio così che possa creare e gestire le risorse per conto dell'utente. Se scegli un endpoint VPC gestito dal servizio, OpenSearch Ingestion richiede un ruolo collegato al servizio chiamato AWSServiceRoleForAmazonOpenSearchIngestionServiceper accedere al tuo VPC, creare l'endpoint della pipeline e posizionare le interfacce di rete in una sottorete del VPC.
Se scegli un endpoint VPC autogestito OpenSearch , Ingestion richiede un ruolo collegato al servizio chiamato. AWSServiceRoleForOpensearchIngestionSelfManagedVpce Per ulteriori informazioni su questi ruoli, le relative autorizzazioni e su come eliminarli, consulta. Utilizzo di ruoli collegati ai servizi per creare pipeline di ingestione OpenSearch
OpenSearch Ingestion crea automaticamente il ruolo quando si crea una pipeline di ingestione. Affinché questa creazione automatica abbia esito positivo, l'utente che crea la prima pipeline in un account deve disporre delle autorizzazioni per l'azione. iam:CreateServiceLinkedRole Per ulteriori informazioni, consultare Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM. Puoi visualizzare il ruolo nella console AWS Identity and Access Management (IAM) dopo la sua creazione.
