Amazon OpenSearch Ingestion 파이프라인에 대한 VPC 액세스 구성 - Amazon OpenSearch 서비스
고려 사항제한 사항사전 조건파이프라인에 대한 VPC 액세스 구성자체 관리형 VPC 엔드포인트VPC 액세스를 위한 서비스 연결 역할

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon OpenSearch Ingestion 파이프라인에 대한 VPC 액세스 구성

인터페이스 VPC 엔드포인트를 사용하여 Amazon OpenSearch Ingestion 파이프라인에 액세스할 수 있습니다. VPC는 사용자의 AWS 계정 전용 가상 네트워크입니다. VPC는 AWS 클라우드에서 다른 가상 네트워크와 논리적으로 분리되어 있습니다. VPC 엔드포인트를 통해 파이프라인에 액세스하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN을 연결하지 않아도 VPC 내부에서 OpenSearch Ingestion과 다른 서비스 간에 보안 통신이 가능합니다. 모든 트래픽이 AWS 클라우드 내에서 안전하게 보호됩니다.

OpenSearch Ingestion은 AWS PrivateLink에서 지원하는 인터페이스 엔드포인트를 생성하여 이 프라이빗 연결을 설정합니다. 파이프라인 생성 중에 지정한 각 서브넷에서 엔드포인트 네트워크 인터페이스를 생성합니다. 이는 OpenSearch Ingestion 파이프라인으로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 네트워크 인터페이스입니다. 인터페이스 엔드포인트를 직접 생성하고 관리하도록 선택할 수도 있습니다.

VPC를 사용하면 공용 인터넷을 통하지 않고 VPC의 경계 내에서 OpenSearch Ingestion 파이프라인을 통해 데이터 흐름을 적용할 수 있습니다. VPC 내에 있지 않은 파이프라인은 공용 엔드포인트와 인터넷을 통해 데이터를 보내고 받습니다.

VPC 액세스 권한이 있는 파이프라인은 퍼블릭 또는 VPC OpenSearch Service 도메인과 퍼블릭 또는 VPC OpenSearch Serverless 컬렉션에 쓸 수 있습니다.

고려 사항

파이프라인에 대한 VPC 액세스를 구성할 때 다음 사항을 고려하세요.

  • 파이프라인은 싱크와 동일한 VPC에 있지 않아도 됩니다. 또한 두 VPC 간에 연결을 설정할 필요도 없습니다. OpenSearch Ingestion이 이들을 연결해 줍니다.

  • 파이프라인에는 하나의 VPC만 지정할 수 있습니다.

  • 퍼블릭 파이프라인과 달리 VPC 파이프라인은 쓰기 대상 도메인 또는 컬렉션 싱크와 동일한 AWS 리전에 있어야 합니다.

  • 파이프라인을 사용자의 VPC의 서브넷 1개, 2개 또는 3개에 배포하도록 선택할 수 있습니다. 서브넷은 통합 OpenSearch Compute Units(OCU)가 배포된 동일한 가용 영역에 분산되어 있습니다.

  • 하나의 서브넷에만 파이프라인을 배포하고 가용 영역이 다운되면 데이터를 수집할 수 없습니다. 고가용성을 보장하려면 2개 또는 3개의 서브넷으로 파이프라인을 구성하는 것이 좋습니다.

  • 보안 그룹 지정은 선택 사항입니다. 보안 그룹을 제공하지 않는 경우 OpenSearch Ingestion은 VPC에서 지정된 기본 보안 그룹을 사용합니다.

제한 사항

VPC 내 파이프라인에는 다음과 같은 제한 사항이 있습니다.

  • 파이프라인 네트워크 구성을 생성한 후에는 해당 구성을 변경할 수 없습니다. VPC 내에서 파이프라인을 시작하는 경우 나중에 퍼블릭 엔드포인트로 변경할 수 없으며 그 반대의 경우도 마찬가지입니다.

  • 인터페이스 VPC 엔드포인트 또는 퍼블릭 엔드포인트에서 파이프라인을 시작할 수도 있지만 두 방법을 동시에 사용할 수는 없습니다. 파이프라인을 만들 때 한 가지를 선택해야 합니다.

  • VPC 액세스 권한이 있는 파이프라인을 프로비저닝한 후 다른 VPC로 이동할 수 없지만 해당 서브넷과 보안 그룹 설정은 변경할 수 있습니다.

  • 파이프라인이 VPC 액세스를 사용하는 도메인 또는 컬렉션 싱크에 쓰는 경우, 파이프라인이 생성된 후에는 나중에 돌아가서 싱크(VPC 또는 퍼블릭)를 변경할 수 없습니다. 파이프라인을 삭제하고 새 싱크로 재생성해야 합니다. 여전히 퍼블릭 싱크에서 VPC 액세스를 사용하는 싱크로 전환할 수 있습니다.

  • VPC 파이프라인에 계정 간 수집 액세스를 제공할 수 없습니다.

사전 조건

VPC 액세스 권한이 있는 파이프라인을 프로비저닝하려면 먼저 다음을 수행해야 합니다.

  • VPC 생성

    VPC를 만들려면, Amazon VPC 콘솔, AWS CLI를 사용하거나 또는 AWS SDK 중 하나를 사용할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서VPC 작업을 참조하세요. VPC가 이미 있는 경우에는 이 단계를 건너뛸 수 있습니다.

  • IP 주소 예약

    OpenSearch Ingestion은 파이프라인 생성 중에 지정한 각 서브넷에 탄력적 네트워크 인터페이스를 배치합니다. 각 네트워크 인터페이스에는 IP 주소가 연결됩니다. 서브넷당 네트워크 인터페이스용 IP 주소 하나를 예약해야 합니다.

파이프라인에 대한 VPC 액세스 구성

OpenSearch Service 콘솔 내에서 또는 AWS CLI를 사용한 파이프라인에 대한 VPC 액세스 기능을 활성화할 수 있습니다.

파이프라인 생성 중에 VPC 액세스를 구성합니다. 네트워크에서 VPC 액세스를 선택하는 경우 다음 설정을 구성하세요.

설정 설명
엔드포인트 관리

VPC 엔드포인트를 직접 생성할지 아니면 OpenSearch Ingestion에서 자동으로 생성할지 선택합니다.
VPC

사용하려는 Virtual Private Cloud(VPC)를 선택합니다. VPC와 파이프라인의 AWS 리전(은)는 동일해야 합니다.
서브넷

서브넷을 하나 이상 선택합니다. OpenSearch Service가 서브넷에 VPC 엔드포인트와 탄력적 네트워크 인터페이스를 배치합니다.
보안 그룹

필요한 애플리케이션이 파이프라인에 의해 노출된 포트(80 또는 443) 및 프로토콜(HTTP 또는 HTTPS)에서 OpenSearch Ingestion 파이프라인에 도달하도록 허용하는 VPC 보안 그룹을 하나 이상 선택합니다.
VPC 연결 옵션

소스가 자체 관리형 엔드포인트인 경우 파이프라인을 VPC에 연결합니다. 제공된 기본 CIDR 옵션 중 하나를 선택하거나 사용자 지정 CIDR을 사용합니다.

AWS CLI(을)를 사용하여 VPC 액세스를 구성하려면 --vpc-options 파라미터를 지정합니다.

aws osis create-pipeline \
  --pipeline-name vpc-pipeline \
  --min-units 4 \
  --max-units 10 \
  --vpc-options SecurityGroupIds={sg-12345678,sg-9012345},SubnetIds=subnet-1212234567834asdf \
  --pipeline-configuration-body "file://pipeline-config.yaml"

자체 관리형 VPC 엔드포인트

파이프라인을 생성할 때 엔드포인트 관리를 사용하여 자체 관리형 엔드포인트 또는 서비스 관리형 엔드포인트가 있는 파이프라인을 생성할 수 있습니다. 엔드포인트 관리는 선택 사항이며, 기본적으로 OpenSearch Ingestion에서 관리하는 엔드포인트로 설정됩니다.

AWS Management Console에서 자체 관리형 VPC 엔드포인트를 포함하는 파이프라인을 생성하려면 OpenSearch Service 콘솔을 사용하여 파이프라인 생성을 참조하세요. AWS CLI에서 자체 관리형 VPC 엔드포인트를 포함하는 파이프라인을 생성하려면 create-pipeline 명령의 --vpc-options 파라미터를 사용할 수 있습니다.

--vpc-options SubnetIds=subnet-abcdef01234567890,VpcEndpointManagement=CUSTOMER

엔드포인트 서비스를 지정할 때 파이프라인에 대해 엔드포인트를 직접 생성할 수 있습니다. 엔드포인트 서비스를 찾으려면 다음과 유사한 응답을 반환하는 get-pipeline 명령을 사용합니다.

"vpcEndpointService" : "com.amazonaws.osis.us-east-1.pipeline-id-1234567890abcdef1234567890",
"vpcEndpoints" : [ 
  {
    "vpcId" : "vpc-1234567890abcdef0",
    "vpcOptions" : {
      "subnetIds" : [ "subnet-abcdef01234567890", "subnet-021345abcdef6789" ],
      "vpcEndpointManagement" : "CUSTOMER"
    }
  }

응답의 vpcEndpointService를 사용하여 AWS Management Console 또는 AWS CLI를 통해 VPC 엔드포인트를 생성합니다.

자체 관리형 VPC 엔드포인트를 사용하는 경우 VPC에서 DNS 속성 enableDnsSupportenableDnsHostnames를 활성화해야 합니다. 중지 후 다시 시작하는 자체 관리형 엔드포인트를 포함하는 파이프라인가 있으면 계정에서 VPC 엔드포인트를 다시 생성해야 합니다.

VPC 액세스를 위한 서비스 연결 역할

서비스 연결 역할은 서비스가 사용자를 대신하여 리소스를 생성하고 관리할 수 있도록 서비스에 권한을 위임하는 고유한 유형의 IAM 역할입니다. 서비스 관리형 VPC 엔드포인트를 선택하는 경우 OpenSearch Ingestion에서 VPC에 액세스하고, 파이프라인 엔드포인트를 생성하며, VPC의 서브넷에 네트워크 인터페이스를 배치하려면 AWSServiceRoleForAmazonOpenSearchIngestionService라고 하는 서비스 연결 역할이 필요합니다.

자체 관리형 VPC 엔드포인트를 선택하는 경우 OpenSearch Ingestion에는 AWSServiceRoleForOpensearchIngestionSelfManagedVpce라고 하는 서비스 연결 역할이 필요합니다. 이 역할, 해당 권한 및 삭제 방법에 대한 자세한 내용은 서비스 연결 역할을 사용하여 OpenSearch Ingestion 파이프라인 생성 섹션을 참조하세요.

수집 파이프라인을 생성할 때 OpenSearch Ingestion이 자동으로 역할을 생성합니다. 이 자동 생성이 성공하려면 계정에서 첫 번째 파이프라인을 생성하는 사용자에게 iam:CreateServiceLinkedRole 작업에 대한 권한이 있어야 합니다. 자세히 알아보려면 IAM 사용 설명서서비스 연결 역할 권한을 참조하세요. 역할이 생성되면 AWS Identity and Access Management (IAM) 콘솔에서 이 역할을 볼 수 있습니다.