本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 OpenSearch OpenSearch 服务管理的 VPC 终端节点访问亚马逊服务 ()AWS PrivateLink
您可以通过设置 OpenSearch 服务 OpenSearch 托管 VPC 终端节点(由提供支持 AWS PrivateLink)来访问亚马逊服务域。这些终端节点在您的 VPC 和 Amazon OpenSearch 服务之间创建私有连接。无需使用互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接,即可像访问您的 VPC OpenSearch 服务域一样访问服务 VPC 域。您的 VPC 中的实例不需要公有 IP 地址即可访问 OpenSearch 服务。
您可以将 OpenSearch 服务域配置为公开在同一 VPC、不同 VPC 或不同的 VPC 中的公有或私有子网上运行的其他终端节点。 AWS 账户这使您能为访问您的域(无论这些域在何处运行)增加一层额外的安全保护,而无需管理基础架构。下图说明了同一 VPC 中的 OpenSearch 服务托管 VPC 终端节点:
![\[VPC diagram showing Amazon PrivateLink in public subnet connecting to OpenSearch Service in private subnet.\]](http://docs.aws.amazon.com/zh_cn/opensearch-service/latest/developerguide/images/Privatelink-Diagram.png)
您可以通过创建由提供支持的 OpenSearch 服务管理*接口 VPC 终端节点*来 AWS PrivateLink建立此私有连接。我们将在您为接口 VPC 端点启用的每个子网中创建一个端点网络接口。这些是服务管理的网络接口,是发往服务的流量的入口点。 OpenSearch 标准[AWS PrivateLink 接口终端节点定价](https://aws.amazon.com/privatelink/pricing/)适用于计费的 OpenSearch 服务托管 VPC 终端节点。 AWS PrivateLink
您可以为运行所有版本 OpenSearch 和旧版 Elasticsearch 的域创建 VPC 终端节点。有关更多信息,请参阅《AWS PrivateLink 指南》**中的[通过 AWS PrivateLink访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。
## OpenSearch 服务的注意事项和限制
在为 OpenSearch 服务设置接口 VPC 终端节点之前,请查看*AWS PrivateLink 指南*中的[使用接口 VPC 终端节点访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。
使用 OpenSearch 服务管理的 VPC 终端节点时,请考虑以下几点:
+ 您只能使用接口 VPC 端点连接到 [VPC 域](vpc.md)。不支持公共域。
+ VPC 端点只能连接到同一 AWS 区域内的域。
+ HTTPS 是 VPC 端点唯一支持的协议。不允许使用 HTTP。
+ OpenSearch 服务支持通过接口 VPC 终端节点调用所有[支持的 OpenSearch API 操作](supported-operations.md)。
+ 每个账户最多可以配置 50 个端点,每个域最多可以配置 10 个端点。一个域最多可以有 10 个[授权主体](#vpc-endpoint-access)。
+ 您目前无法使用 AWS CloudFormation 创建接口 VPC 终端节点。
+ 您只能通过 OpenSearch 服务控制台或使用[OpenSearch 服务 API](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/Welcome.html) 创建接口 VPC 终端节点。您无法使用 Amazon VPC 控制台为 OpenSearch 服务创建接口 VPC 终端节点。
+ OpenSearch 无法通过互联网访问服务管理的 VPC 终端节点。在路由表和安全组允许的情况下, OpenSearch 服务管理的 VPC 终端节点只能在配置了终端节点的 VPC 内或 VPCs 与配置终端节点的 VPC 建立对等关系的 VPC 内进行访问。
+ OpenSearch 服务不支持 VPC 终端节点策略。您可以将安全组与终端节点网络接口关联,以控制通过接口 VPC 终端节点流向 OpenSearch 服务的流量。
+ 您的[服务相关角色必须与](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/slr.html)您用于创建 VPC 终端节点的 AWS 账户相同。
+ 要创建、更新和删除 OpenSearch 服务 VPC 终端节点,除了亚马逊 OpenSearch 服务权限外,您还必须拥有以下 Amazon EC2 权限:
+ `ec2:CreateVpcEndpoint`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:ModifyVpcEndpoint`
+ `ec2:DeleteVpcEndpoints`
+ `ec2:CreateTags`
+ `ec2:DescribeTags`
+ `ec2:DescribeSubnets`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeVpcs`
**注意**
目前,您不能将 VPC 终端节点的创建限制为 OpenSearch 服务。我们正在努力,希望在未来的更新中做到这一点。
## 提供针对域的访问权限
如果您要访问您的域的 VPC 位于另一个域中 AWS 账户,则需要先通过所有者的账户对其进行授权,然后才能创建接口 VPC 终端节点。
**允许另一个 VPC 中的一个 VPC AWS 账户 访问您的域**
1. 在家中打开亚马逊 OpenSearch 服务控制台 [https://console.aws.amazon.com/aos//](https://console.aws.amazon.com/aos/home/)。
1. 在导航窗格中,选择 **Domains**(域),然后打开您要为其提供访问权限的域。
1. 前往 **VPC 终端节点**选项卡,其中显示了有权访问您的域 VPCs 的账户和相应账户。
1. 选择 **Authorize principal**(为主体授权)。
1. 输入将访问您的域名的账户的 AWS 账户 ID。此步骤将为指定账户授权,以针对域创建 VPC 端点。
1. 选择**授权**。
## 为 VPC 域创建接口 VPC 端点
您可以使用服务控制台或 AWS Command Line Interface (AWS CLI) 为 OpenSearch 服务创建接口 VPC 终端节点。 OpenSearch
**为 OpenSearch 服务域创建接口 VPC 终端节点**
1. 在家中打开亚马逊 OpenSearch 服务控制台 [https://console.aws.amazon.com/aos//](https://console.aws.amazon.com/aos/home/)。
1. 在左侧导航窗格中,选择 **VPC endpoints**(VPC 端点)。
1. 选择**创建端点**。
1. 选择是连接当前域 AWS 账户 还是其他域 AWS 账户。
1. 选择您使用此端点连接的域。如果域名在当前域名中 AWS 账户,请使用下拉列表选择该域。如果域位于另一个账户中,请输入要连接的域的 Amazon 资源名称(ARN)。要在其他账户中选择域名,所有者需要向[您提供该域名的访问权限](#vpc-endpoint-access)。要选择位于另一个账户中的域,所有者需要为您提供访问该域的权限。
1. 对于 **VPC**,请选择您将从中访问 OpenSearch 服务的 VPC。
1. 对于**子网**,请选择一个或多个要从中访问服务的 OpenSearch 子网。
1. 对于**安全组**,选择要与端点网络接口关联的安全组。这是一个关键步骤,您可以在该步骤中限制您授权进入端点的入站流量的端口、协议和源。安全组规则必须允许将使用 VPC 终端节点与 OpenSearch 服务通信的资源与终端节点网络接口通信。
1. 选择**创建端点**。该端点应在 2 至 5 分钟内处于活动状态。
## 使用配置 API 使用 OpenSearch 服务管理的 VPC 终端节点
使用以下 API 操作创建和管理 OpenSearch 服务管理的 VPC 终端节点。
+ [CreateVpcEndpoint](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_CreateVpcEndpoint.html)
+ [ListVpcEndpoints](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_ListVpcEndpoints.html)
+ [UpdateVpcEndpoint](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateVpcEndpoint.html)
+ [DeleteVpcEndpoint](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DeleteVpcEndpoint.html)
使用以下 API 操作来管理针对 VPC 域的端点访问:
+ [AuthorizeVpcEndpointAccess](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_AuthorizeVpcEndpointAccess.html)
+ [ListVpcEndpointAccess](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_ListVpcEndpointAccess.html)
+ [ListVpcEndpointsForDomain](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_ListVpcEndpointsForDomain.html)
+ [RevokeVpcEndpointAccess](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_RevokeVpcEndpointAccess.html)