本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配 Amazon OpenSearch Service 使用儀表板 (與叢集共同定位)
儀表板 (與叢集共置) 是開放原始碼視覺化工具,旨在與 搭配使用 OpenSearch。Amazon OpenSearch Service 為每個 OpenSearch Service 網域提供 Dashboards 的安裝。儀表板會在網域中的常用資料節點上執行。如果您要尋找在一個端點支援多個資料來源的新集中式 OpenSearch 使用者介面上的文件,請參閱集中式 OpenSearch 使用者介面 (儀表板)。
您可以在 OpenSearch 服務主控台中找到網域儀表板上的儀表板連結。對於執行 的網域 OpenSearch, URL是 domain-endpoint/_dashboards/domain-endpoint/_plugin/kibana
使用此預設 Dashboards 安裝的查詢具有 300 秒的逾時。
注意
本文件討論 Amazon OpenSearch Service 內容中的儀表板,包括不同的連線方式。如需完整文件,包括入門指南、建立儀表板的指示、儀表板管理和儀表板查詢語言 (DQL),請參閱開放原始碼 OpenSearch 文件中OpenSearch 的儀表板
控制儀表板的存取
儀表板不會原生支援IAM使用者和角色,但 OpenSearch Service 提供數種控制儀表板存取的解決方案:
-
透過HTTP基本身分驗證使用精細存取控制。
-
對於VPC存取網域,請使用使用或不使用代理伺服器的開放存取政策,以及安全群組來控制存取。如需進一步了解,請參閱 關於VPC網域上的存取政策。
使用代理從儀表板存取 OpenSearch 服務
注意
此程序僅當您的網域使用公有存取而您不想使用 Cognito 身分驗證時才適用。請參閱 控制儀表板的存取 。
由於 Dashboards 是 JavaScript 應用程式,請求源自使用者的 IP 地址。以 IP 為基礎的存取控制可能不切實際,因為您為了每個使用者可以存取 Dashboards,而需要允許的 IP 地址相當龐大。解決方法是在 Dashboards OpenSearch 和服務之間放置代理伺服器。然後,您可以新增 IP 為基礎的存取政策,允許僅從一個 IP 地址 (代理的) 發出請求。下圖顯示此組態。
-
這是您的 OpenSearch 服務網域。IAM 提供此網域的授權存取。額外的 IP 為基礎的存取政策提供代理伺服器的存取。
-
這是代理伺服器,在 Amazon EC2執行個體上執行。
-
其他應用程式可以使用 Signature 第 4 版簽署程序,將已驗證的請求傳送至 OpenSearch Service。
-
Dashboards 用戶端會透過代理連線至您的 OpenSearch Service 網域。
若要啟用此排序的組態,您需要以資源為基礎的政策,來指定角色和 IP 地址。以下是範例政策:
{ "Version":"2012-10-17", "Statement":[ { "Resource":"arn:aws:es:us-west-2:111111111111:domain/my-domain/*", "Principal":{ "AWS":"arn:aws:iam::111111111111:role/allowedrole1" }, "Action":[ "es:ESHttpGet" ], "Effect":"Allow" }, { "Effect":"Allow", "Principal":{ "AWS":"*" }, "Action":"es:*", "Condition":{ "IpAddress":{ "aws:SourceIp":[ "203.0.113.0/24", "2001:DB8:1234:5678::/64" ] } }, "Resource":"arn:aws:es:us-west-2:111111111111:domain/my-domain/*" } ] }
建議您使用彈性 IP 地址設定執行代理伺服器的EC2執行個體。如此,您可以在必要時更換執行個體,同時連接相同的公有 IP 地址。若要進一步了解,請參閱 Amazon EC2使用者指南 中的彈性 IP 地址。
如果您使用代理伺服器和 Cognito 身分驗證,您可能需要新增 Dashboards 和 Amazon Cognito 的設定,以避免發生 redirect_mismatch 錯誤。請參閱以下 nginx.conf 範例:
server { listen 443; server_name $host; rewrite ^/$ https://$host/_plugin/_dashboards redirect; ssl_certificate /etc/nginx/cert.crt; ssl_certificate_key /etc/nginx/cert.key; ssl on; ssl_session_cache builtin:1000 shared:SSL:10m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4; ssl_prefer_server_ciphers on; location /_plugin/_dashboards { # Forward requests to Dashboards proxy_pass https://$dashboards_host/_plugin/_dashboards; # Handle redirects to Cognito proxy_redirect https://$cognito_host https://$host; # Update cookie domain and path proxy_cookie_domain $dashboards_host $host; proxy_cookie_path / /_plugin/_dashboards/; # Response buffer settings proxy_buffer_size 128k; proxy_buffers 4 256k; proxy_busy_buffers_size 256k; } location ~ \/(log|sign|fav|forgot|change|saml|oauth2) { # Forward requests to Cognito proxy_pass https://$cognito_host; # Handle redirects to Dashboards proxy_redirect https://$dashboards_host https://$host; # Update cookie domain proxy_cookie_domain $cognito_host $host; } }
注意
(選用) 如果您選擇佈建專用協調器節點,則會自動開始託管 OpenSearch 儀表板。因此, CPU和 記憶體等資料節點資源的可用性會提高。增加資料節點資源的可用性有助於改善網域的整體彈性。
設定儀表板以使用WMS地圖伺服器
OpenSearch 服務儀表板的預設安裝包含地圖服務,印度和中國區域中的網域除外。地圖服務最多支援 10 個縮放比例。
無論您的區域為何,都可以將 Dashboards 設定為使用不同的 Web Map Service (WMS) 伺服器來協調地圖視覺化。區域地圖視覺化僅支援預設地圖服務。
若要設定儀表板以使用WMS地圖伺服器:
-
開啟 Dashboards。
-
選擇 Stack Management (堆疊管理)。
-
選擇 Advanced Settings (進階設定)。
-
尋找視覺化:tileMap:WMSdefaults。
-
enabled變更為有效WMS映射伺服器的urlURLtrue和 :{ "enabled": true, "url": "wms-server-url", "options": { "format": "image/png", "transparent": true } } -
選擇 Save changes (儲存變更)。
若要將新的預設值套用到視覺化,您可能需要重新載入 Dashboards。如果您已儲存視覺化,請在開啟視覺化後選擇 Options (選項)。確認WMS地圖伺服器已啟用,WMS且 URL 包含您偏好的地圖伺服器,然後選擇套用變更 。
注意
地圖服務通常需要授權費或限制。您要對您指定在任何地圖伺服器負責所有這類考量。您可能會發現美國地質調查局
將本機 Dashboards 伺服器連線至 OpenSearch Service
如果您已投入大量時間來設定自己的 Dashboards 執行個體,您可以使用它,而不是 (或除了) OpenSearch Service 提供的預設 Dashboards 執行個體。下列程序適用於搭配使用精細的存取控制與開放存取政策的網域。
將本機 Dashboards 伺服器連線至 OpenSearch Service
-
在 OpenSearch 服務網域上,建立具有適當許可的使用者:
-
在 Dashboards 中,移至 Security (安全性)、Internal users (內部使用者),然後選擇 Create internal user (建立內部使用者)。
-
提供使用者名稱和密碼,然後選擇 Create (建立)。
-
移至 Roles (角色),然後選取角色。
-
選取 Mapped users (映射的使用者),然後選擇 Manage mapping (管理映射)。
-
在 Users (使用者) 中,新增您的使用者名稱並選擇 Map (映射)。
-
-
在自我管理的 Dashboards OSS 安裝上下載並安裝適當的 OpenSearch 安全外掛程式
版本。 -
在本機 Dashboards 伺服器上,開啟
config/opensearch_dashboards.yml檔案,並使用您先前建立的使用者名稱和密碼新增您的 OpenSearch 服務端點:opensearch.hosts: ['https://domain-endpoint'] opensearch.username: 'username' opensearch.password: 'password'您可以使用以下範例
opensearch_dashboards.yml檔案:server.host: '0.0.0.0' opensearch.hosts: ['https://domain-endpoint'] opensearchDashboards.index: ".username" opensearch.ssl.verificationMode: none # if not using HTTPS opensearch_security.auth.type: basicauth opensearch_security.auth.anonymous_auth_enabled: false opensearch_security.cookie.secure: false # set to true when using HTTPS opensearch_security.cookie.ttl: 3600000 opensearch_security.session.ttl: 3600000 opensearch_security.session.keepalive: false opensearch_security.multitenancy.enabled: false opensearch_security.readonly_mode.roles: ['opensearch_dashboards_read_only'] opensearch_security.auth.unauthenticated_routes: [] opensearch_security.basicauth.login.title: 'Please log in using your username and password' opensearch.username: 'username' opensearch.password: 'password' opensearch.requestHeadersWhitelist: [authorization, securitytenant, security_tenant]
若要查看您的 OpenSearch 服務索引,請啟動本機 Dashboards 伺服器,前往開發工具並執行下列命令:
GET _cat/indices
在儀表板中管理索引
在 OpenSearch 服務網域上安裝的儀表板提供有用的使用者介面,用於管理網域上不同儲存層的索引。從儀表板主功能表中選擇索引管理,以檢視熱、 UltraWarm和冷儲存中的所有索引,以及索引狀態管理 (ISM) 政策管理的索引。使用索引管理在暖儲存和冷儲存之間移動索引,並監控三個層級之間的遷移。
請注意,除非您已啟用 UltraWarm 和/或冷儲存,否則不會看到熱、暖和冷索引選項。
額外功能
在每個 OpenSearch 服務網域上安裝的預設儀表板具有一些其他功能:
-
各種OpenSearch外掛程式的使用者介面
-
使用報告功能表,從探索頁面產生隨需CSV報告,以及PDF儀表板或視覺化PNG的報告。CSV 報告有 10,000 列的限制。
