為 Amazon OpenSearch 擷取管道設定 VPC 存取 - Amazon OpenSearch 服務
考量事項限制必要條件設定管線的 VPC 存取自我管理的 VPC 端點VPC 存取適用的服務連結角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為 Amazon OpenSearch 擷取管道設定 VPC 存取

您可以使用界面 VPC 端點存取 Amazon OpenSearch 擷取管道。VPC 是一種虛擬網路,專用於您 AWS 帳戶的. 它在邏輯上與 AWS 雲端中的其他虛擬網路隔離。透過 VPC 端點存取管道可在 VPC 內的 OpenSearch 擷取與其他服務之間進行安全通訊,而不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。

OpenSearch 擷取透過建立由技術提供支援的介面端點來建立此私人連線。 AWS PrivateLink我們會在您在管道建立期間指定的每個子網路中建立端點網路介面。這些是由請求者管理的網路介面,可做為輸入管道的流量的進入點。 OpenSearch 您也可以選擇自行建立和管理介面端點。

使用 VPC 可讓您在 VPC 邊界內強制執行資料流通過 OpenSearch 擷取管道,而不是透過公用網際網路。不在 VPC 內的管道會透過公開端點和網際網路傳送和接收資料。

具有 VPC 存取權的管道可以寫入公用或 VPC OpenSearch 服務網域,以及公用或 VPC OpenSearch 無伺服器集合。

考量事項

為管線設定 VPC 存取時,請考慮下列事項。

  • 管道不需要與其接收器位於相同的 VPC 中。您也不需要在兩個 VPC 之間建立連線。 OpenSearch 攝入需要為您連接它們的照顧。

  • 您只能為管線指定一個 VPC。

  • 與公用管線不同,VPC 管線必須與寫入的網域或集合接收器位於相同 AWS 區域 的位置。

  • 您可以選擇將管道部署到 VPC 的一個、兩個或三個子網路中。子網路分佈在您的擷取 OpenSearch 運算單元 (OCU) 部署在相同的可用區域中。

  • 如果您只在一個子網路中部署管線,且可用區域停止運作,您將無法擷取資料。為確保高可用性,建議您使用兩個或三個子網路來設定管線。

  • 指定安全性群組是選擇性的。如果您未提供安全性群組, OpenSearch 擷取會使用 VPC 中指定的預設安全性群組。

限制

具有 VPC 存取權的管線具有下列限制。

  • 建立管道之後,您無法變更管道的網路組態。如果您在 VPC 中啟動管道,則以後無法將其更改為公共端點,反之亦然。

  • 您可以使用介面 VPC 端點或公用端點來啟動管線,但不能同時執行這兩種作業。建立配管時,您必須選擇其中一個。

  • 佈建具有 VPC 存取權的管道後,您無法將其移至其他 VPC,也無法變更其子網路或安全性群組設定。

  • 如果您的管線寫入使用 VPC 存取的網域或集合接收器,則在建立管線之後,您無法稍後返回並變更接收器 (VPC 或 public)。您必須使用新的接收器刪除並重新建立配管。您仍然可以從公共接收器切換到具有 VPC 訪問權限的接收器。

  • 您無法提供對 VPC 管道的跨帳戶擷取存取權

必要條件

您必須先執行下列動作,才能佈建具有 VPC 存取權的管線:

  • 建立 VPC

    若要建立 VPC,您可以使用 Amazon VPC 主控台、 AWS CLI 或其中一個開發套件 AWS 。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用 VPC。如果您已有 VPC,則可以略過此步驟。

  • 預留 IP 地址

    OpenSearch 擷取會在您在管線建立期間指定的每個子網路中放置一個 elastic network interface。每個網路界面都與 IP 地址關聯。您必須為每個子網路為網路介面保留一個 IP 位址。

設定管線的 VPC 存取

您可以在 OpenSearch 服務主控台中為管線啟用 VPC 存取,或使用 AWS CLI.

您可以在管線建立期間設定 VPC 存取。在 [網路] 下,選擇 [VPC 存取] 並設定下列設定:

設定 描述
端點管理

選擇是要自行建立 VPC 端點,還是要讓 OpenSearch 擷取為您建立這些端點。
VPC

選擇您想使用的虛擬私有雲端 (VPC) ID。VPC 和管線必須在相同 AWS 區域的位置。
子網

選擇一或多個子網路。 OpenSearch 服務會在子網路中放置 VPC 端點和彈性網路介面
安全群組

選擇一或多個 VPC 安全性群組,以允許所需的應用程式在管線公開的連接埠 (80 或 443) 和通訊協定 (HTTP 或 HTTPS) 上連接到 OpenSearch 擷取管線。
VPC 附件選項

如果您的來源是自我管理的端點,請將管道連接到 VPC。選擇其中一個提供的預設 CIDR 選項,或使用自訂 CIDR。

若要使用設定 VPC 存取 AWS CLI,請指定--vpc-options參數:

aws osis create-pipeline \
  --pipeline-name vpc-pipeline \
  --min-units 4 \
  --max-units 10 \
  --vpc-options SecurityGroupIds={sg-12345678,sg-9012345},SubnetIds=subnet-1212234567834asdf \
  --pipeline-configuration-body "file://pipeline-config.yaml"

自我管理的 VPC 端點

建立管道時,您可以使用端點管理來建立具有自我管理端點或服務管理端點的管道。端點管理是選用的,預設為由 OpenSearch 擷取管理的端點。

若要在中建立具有自我管理 VPC 端點的管道 AWS Management Console,請參閱使用 OpenSearch Service 主控台建立管道。若要在中建立具有自我管理 VPC 端點的管線 AWS CLI,您可以使用建管線命令中的--vpc-options參數:

--vpc-options SubnetIds=subnet-abcdef01234567890,VpcEndpointManagement=CUSTOMER

當您指定端點服務時,您可以自行建立管道的端點。若要尋找您的端點服務,請使用 get-pipeline 指令,該命令會傳回類似下列內容的回應:

"vpcEndpointService" : "com.amazonaws.osis.us-east-1.pipeline-id-1234567890abcdef1234567890",
"vpcEndpoints" : [ 
  {
    "vpcId" : "vpc-1234567890abcdef0",
    "vpcOptions" : {
      "subnetIds" : [ "subnet-abcdef01234567890", "subnet-021345abcdef6789" ],
      "vpcEndpointManagement" : "CUSTOMER"
    }
  }

使用來vpcEndpointService自回應的來建立具有 AWS Management Console 或 AWS CLI的 VPC 端點。

如果您使用自我管理的 VPC 端點,則必須在 VPC enableDnsHostnames 中啟用 DNS 屬性enableDnsSupport。請注意,如果您的管道具有已停止並重新啟動的自我管理端點,則必須在帳戶中重新建立 VPC 端點。

VPC 存取適用的服務連結角色

服務連結角色是一個唯一的 IAM 角色類型,它將許可委派給服務,以便服務可代表您建立和管理資源。如果您選擇服務管理的 VPC 端點, OpenSearch 擷取需要一個服務連結角色 (稱為),AWSServiceRoleForAmazonOpenSearchIngestionService才能存取您的 VPC、建立管線端點,以及將網路介面放置在 VPC 子網路中。

如果您選擇自我管理的 VPC 端點, OpenSearch 擷取需要名為的服務連結角色。AWSServiceRoleForOpensearchIngestionSelfManagedVpce如需這些角色、其權限以及如何刪除這些角色的詳細資訊,請參閱使用服務連結角色建立 OpenSearch 擷取管道

OpenSearch 當您建立擷取管線時,擷取會自動建立角色。若要成功建立此自動建立,在帳戶中建立第一個管道的使用者必須具有iam:CreateServiceLinkedRole動作的權限。如需進一步了解,請參閱 IAM 使用者指南中的服務連結角色許可。建立角色後,您可以在 AWS Identity and Access Management (IAM) 主控台中檢視該角色。