Amazon OpenSearch Service ドメインの作成と管理

この章では、Amazon OpenSearch Service ドメインを作成して管理する方法について説明します。ドメインは、オープンソースの OpenSearch クラスターと同等の AWSがプロビジョニングされたものです。ドメインを作成するときは、その設定、インスタンスタイプ、インスタンス数、ストレージ割り当てを指定します。オープンソースクラスターの詳細については、OpenSearch ドキュメントの「Creating a cluster」を参照してください。

開始方法チュートリアルの簡単な手順とは異なり、この章ではすべてのオプションについて説明し、関連するリファレンス情報を提供します。OpenSearch Service コンソール、 (AWS CLI）、 AWS Command Line Interface または AWS SDKs の手順を使用して、各手順を完了できます。

OpenSearch Service ドメインの作成

このセクションでは、OpenSearch Service コンソールを使用するか、 create-domain コマンド AWS CLI で を使用して OpenSearch Service ドメインを作成する方法について説明します。

OpenSearch Service ドメインの作成 (コンソール)

次の手順に従って、コンソールを使用することで OpenSearch Service ドメインを作成します。

OpenSearch Service ドメインを作成するには (コンソール)

1. https://aws.amazon.com にアクセスし、[コンソールにサインイン] を選択します。

2. [分析] の下で、[Amazon OpenSearch Service] を選択します。

3. [ドメインの作成] を選択します。

4. [ドメイン名] には、ドメイン名を入力します。名前は次の基準を満たしている必要があります。

   • アカウントと に固有 AWS リージョン

   • 先頭が小文字

   • 3～28 文字

   • 小文字の a～z、0～9 の数字、ハイフン (-) のみ含まれる

5. ドメインの作成方法は、[標準作成] を選択します。

6. [テンプレート] で、ドメインの目的に最も一致するオプションを選択します。

   • 高可用性とパフォーマンスを必要とするワークロード向けの [本番] ドメイン。これらのドメインは、可用性を高めるために、マルチ AZ (スタンバイの有無にかかわらず) と専用マスターノードを使用します。

   • 開発またはテスト向けの [開発/テスト]。これらのドメインは、マルチ AZ (スタンバイの有無にかかわらず) または単一のアベイラビリティーゾーンを使用できます。

     重要

     デプロイタイプが異なると、後続のページのオプションが異なります。これらのステップにはすべてのオプションが含まれています。

7. [デプロイオプション] で、[スタンバイが有効のドメイン] を選択して 3-AZ ドメインを設定し、いずれかのゾーンのノードがスタンバイとして予約されます。このオプションでは、指定されたデータノード数、マスターノード数、インスタンスタイプ、レプリカ数、ソフトウェアアップデート設定など、いくつかのベストプラクティスが適用されます。

8. バージョンでは、使用する OpenSearch また従来の Elasticsearch OSS のバージョンを選択します。最新バージョンの OpenSearch を選択することをお勧めします。詳細については、「サポートされているバージョンの OpenSearch および Elasticsearch」を参照してください。

   (オプション) ドメインに OpenSearch バージョンを選択した場合は、[互換モードを有効にする] を選択して OpenSearch のバージョンを 7.10 と報告します。これにより、接続する前にバージョンをチェックする特定の Elasticsearch OSS クライアントおよびプラグインが、サービスとの動作を続行できます。

9. [インスタンスタイプ] では、データノードのインスタンスタイプを選択します。詳細については、「Amazon OpenSearch Service でサポートされるインスタンスタイプ」を参照してください。

   注記

   すべてのアベイラビリティーゾーンですべてのインスタンスタイプがサポートされているわけではありません。スタンバイ付きまたはスタンバイなしのマルチ AZ を選択する場合は、R5 や I3 などの現行世代のインスタンスタイプを選択することをお勧めします。

10. [ノードの数] で、データノードの数を選択します。

    最大値については、「OpenSearch Service のドメインとインスタンスクォータ」を参照してください。単一ノードのクラスターは、開発とテスト用に適切ですが、本稼働のワークロードには使用しないでください。ガイダンスについては、「Amazon OpenSearch Service ドメインのサイジング」および「Amazon OpenSearch Service でのマルチ AZ ドメインの設定」を参照してください。

    注記

    (オプション) 専有コーディネーターノードは、すべての OpenSearch バージョンと ElasticSearch バージョン 6.8～7.10 をサポートしています。専用コーディネーターノードは、専用クラスターマネージャーが有効になっているドメインで使用できます。専用コーディネーターノードを有効にするには、インスタンスのタイプと数を選択します。ベストプラクティスとして、専用コーディネーターノードのインスタンスファミリーをデータノード (Intel ベースのインスタンスまたは Graviton ベースのインスタンス) と同じままにする必要があります。

11. [ストレージタイプ] で、[Amazon EBS] を選択します。一覧で利用できるボリュームタイプは、選択したインスタンスタイプに応じて異なります。特に大きなドメインを作成する際のガイダンスについては、「Amazon OpenSearch Service 用ペタバイトスケール」を参照してください。

12. [EBS] ストレージでは、次の追加設定を行います。選択したボリュームのタイプによっては、一部の設定が表示されない場合があります。

    設定	説明
    EBS ボリュームタイプ	汎用 (SSD) - gp3 および 汎用 (SSD) - gp2、または前世代の プロビジョンド IOPS (SSD) および マグネティック (標準) から選択します。
    ノードあたりの EBS ストレージサイズ	各データノードに接続する EBS ボリュームのサイズを入力します。 [EBS ボリュームサイズ] はノードあたりのサイズです。OpenSearch Service ドメインの合計クラスターサイズは、データノードの数を EBS ボリュームサイズで乗算して計算できます。EBS ボリュームの最小サイズと最大サイズは、指定された EBS ボリュームタイプとそれがアタッチされるインスタンスタイプの両方によって異なります。詳細については、「EBS ボリュームサイズの制限」を参照してください。
    プロビジョンド IOPS	Provisioned IOPS SSD ボリュームタイプを選択した場合は、ボリュームがサポートできる I/O オペレーション/秒 (IOPS) を入力します。

13. (オプション) gp3 ボリュームタイプを選択した場合は、[詳細設定] を展開し、ストレージの料金に含まれるものを超えて、追加の IOPS (データノードあたりプロビジョニングされる 3 TiB ボリュームサイズそれぞれに対して最大 16,000 MiB/秒) とスループット (データノードあたりプロビジョニングされる 3 TiB ボリュームサイズそれぞれに対して最大 1,000) を指定します。これには追加料金がかかります。詳細については、「Amazon OpenSearch Service の料金」を参照してください。

14. (オプション) UltraWarm ストレージを有効にするには、[UltraWarm データノードを有効にする] を選択します。各インスタンスタイプには、アドレス可能なストレージの最大容量があります。この量に、アドレス可能なウォームストレージの合計のウォームデータノードの数を乗算します。

15. (オプション) [コールドストレージ] を有効にするには、[コールドストレージを有効にする] を選択します。コールドストレージを有効にするには、UltraWarm を有効にする必要があります。

16. スタンバイ付きマルチ AZ を使用する場合、3 つの専用マスターノードが既に有効になっています。必要なマスターノードのタイプを選択します。スタンバイなしのマルチ AZ のドメインを選択した場合は、[専用マスターノードを有効にする] を選択し、必要なマスターノードのタイプと数を選択します。専用マスターノードは、クラスターの安定性を高めます。また、インスタンス数が 10 を超えるドメインに必要です。本番稼働用ドメインには、3 つの専用マスターノードをお勧めします。

    注記

    専用マスターノードおよびデータノードの異なるインスタンスタイプを選択できます。たとえば、データノードの汎用またはストレージ最適化インスタンスを選択できますが、専用マスターノードのコンピューティング最適化インスタンスは選択できません。

17. (オプション) OpenSearch または Elasticsearch 5.3 以降を実行しているドメインでは、[スナップショット設定] は無関係です。自動化されたスナップショットの詳細については、「Amazon OpenSearch Service でのインデックススナップショットの作成」を参照してください。

18. 標準エンドポイントの https://search-mydomain-1a2a3a4a5a6a7a8a9a0a9a8a7a.us-east-1.es.amazonaws.com ではなく、カスタムエンドポイントを使用する場合、[カスタムエンドポイントを有効にする] を選択し、名前と証明書を入力します。詳細については、「Amazon OpenSearch Service 用のカスタムエンドポイントの作成」を参照してください。

19. [ネットワーク] セクションで、[VPC アクセス] または [パブリックアクセス] を選択します。[パブリックアクセス] を選択した場合は、次のステップに進みます。[VPC access] (VPC アクセス) を選択する場合は、[prerequisites] (前提条件) を満たしていることを確認してから、次の設定を行います。

    設定	説明
    VPC	使用する仮想プライベートクラウド (VPC) の ID を選択します。VPC とドメインが同じ AWS リージョンに存在している必要があり、テナントが [デフォルト] に設定されている VPC を選択する必要があります。OpenSearch Service は専有テナントを使用する VPC をまだサポートしていません。
    サブネット	サブネットを選択します。マルチ AZ を有効にした場合、2 つまたは 3 つのサブネットを選択する必要があります。OpenSearch Service は VPC エンドポイントと Elastic Network Interface (ENI) をサブネットに配置します。 サブネット内のネットワークインターフェイス用に十分な IP アドレスを予約する必要があります。詳細については、「VPC サブネットで IP アドレスをリザーブする」を参照してください。
    セキュリティグループ	必要なアプリケーションが、ドメインによって公開されているポート (80 または 443) およびプロトコル (HTTP または HTTPS) で OpenSearch Service ドメインにアクセスできるようにする、1 つ以上の VPC セキュリティグループを選択します。詳細については、「VPC 内で Amazon OpenSearch Service ドメインを起動する」を参照してください。
    IAM ロール	デフォルトのロールを維持します。OpenSearch Service では、この事前定義されたロール (サービスにリンクされたロールとも呼ばれる) を使用して VPC にアクセスし、VPC のサブネットに VPC エンドポイントとネットワークインターフェースを配置します。詳細については、「VPC アクセス用のサービスにリンクされたロール」を参照してください。
    IP アドレスタイプ	IP アドレスタイプとして、デュアルスタックまたは IPv4 を選択します。デュアルスタックでは、IPv4 と IPv6 のアドレスタイプ間でドメインリソースを共有できます。これが推奨オプションです。IP アドレスタイプをデュアルスタックに設定した場合、後でアドレスタイプを変更することはできません。

20. きめ細かなアクセスコントロールを有効または無効にします。

    • ユーザー管理に IAM を使用する場合は、[IAM ARN をマスターユーザーとして設定] を選択し、IAM ロールの ARN を指定します。

    • 内部ユーザーデータベースを使用する場合は、[マスターユーザーの作成] を選択し、ユーザー名とパスワードを指定します。

    どちらのオプションを選択しても、マスターユーザーはクラスター内のすべてのインデックスとすべての OpenSearch API にアクセスできます。選択するオプションのガイダンスについては、「主要なコンセプト」を参照してください。

    きめ細かなアクセスコントロールを無効にしても、ドメインを VPC 内に配置するか、制限付きアクセスポリシーを適用するか、またはその両方を行うことで、ドメインへのアクセスをコントロールできます。きめ細かなアクセスコントロールを使用するには、ノード間の暗号化と保存時の暗号化を有効にする必要があります。

    注記

    ドメイン上のデータを保護するために、きめ細かなアクセスコントロールを有効にすることを強くお勧めします。きめ細かなアクセスコントロールにより、クラスター、インデックス、ドキュメント、フィールドの各レベルでセキュリティが提供されます。

21. (オプション) OpenSearch Dashboards で SAML 認証を使用する場合は、[SAML 認証を有効にする] を選択して、ドメインの SAML オプションを設定します。手順については、OpenSearch Dashboards の SAML 認証 を参照してください。

22. (オプション) OpenSearch Dashboards の Amazon Cognito 認証を使用する場合は、[Amazon Cognito 認証を有効にする] を選択します。次に、OpenSearch Dashboards の認証に使用する Amazon Cognito ユーザープールと ID プールを選択します。これらのリソースの作成のガイダンスについては、「OpenSearch Dashboards の Amazon Cognito 認証の設定」を参照してください。

23. [アクセスポリシー] で、アクセスポリシーを選択するか、独自のポリシーを設定します。カスタムポリシーを作成することを選択した場合は、自分で設定することも、別のドメインからインポートすることもできます。詳細については、「Amazon OpenSearch Service での Identity and Access Management」を参照してください。

    注記

    VPC アクセスを有効にした場合、IP ベースのポリシーは使用できません。代わりに、どの IP アドレスがドメインにアクセスできるかを制御するセキュリティグループを使用できます。詳細については、「VPC ドメインのアクセスポリシーについて」を参照してください。

24. (オプション) ドメインへのすべてのリクエストが HTTPS 経由で到着することを要求するには、[ドメインへのすべてのトラフィックに HTTPS が必要] を選択します。ノード間の暗号化を有効にするには、[ノード間の暗号化] を選択します。詳細については、「Amazon OpenSearch Service のノード間の暗号化」を参照してください。保管中のデータの暗号化を有効にするには、[保管時のデータの暗号化を有効にする] を選択します。スタンバイ付きマルチ AZ デプロイオプションを選択した場合、これらのオプションは既に選択されています。

25. （オプション) AWS 所有キーを使用する を選択して、OpenSearch Service がユーザーに代わって AWS KMS 暗号化キーを作成する (または作成済みのキーを使用する) ようにします。それ以外の場合は、独自の KMS キーを選択します。詳細については、「Amazon OpenSearch Service の保管中のデータの暗号化」を参照してください。

26. [オフピークウィンドウ] で、ブルー/グリーンデプロイを必要とするサービスソフトウェアの更新と自動調整の最適化をスケジュールする開始時刻を選択します。オフピークの時間帯に更新を行うことにより、トラフィックの多い時間帯にクラスターの専用マスターノードにかかる負荷を、最小限に抑えることができます。

27. Auto-Tune では、速度と安定性を向上させるために、OpenSearch Service がドメインに対するメモリ関連の設定変更を提案できるようにするかどうかを選択します。詳細については、「Amazon OpenSearch Service の Auto-Tune」を参照してください。

    (オプション) [オフピークウィンドウ] を選択すると、自動調整によってドメインが更新される定期的なウィンドウがスケジュールされます。

28. (オプション) [自動ソフトウェア更新] を選択して、自動ソフトウェア更新を有効にします。

29. (オプション) ドメインを説明するタグを追加して、その情報を分類およびフィルタリングできるようにします。詳細については、「Amazon OpenSearch Service ドメインのタグ付け」を参照してください。

30. (オプション) クラスターの 詳細設定 を展開して設定します。これらのオプションの概要については、「高度なクラスター設定」を参照してください。

31. [Create] (作成) を選択します。

OpenSearch Service ドメインの作成 (AWS CLI)

コンソールを使用して OpenSearch Service ドメインを作成する代わりに、 AWS CLIを使用できます。構文については、AWS CLI コマンドリファレンスの「Amazon OpenSearch Service」を参照してください。

コマンド例

この最初の例は、以下の OpenSearch Service ドメイン設定を示しています。

• OpenSearch バージョン 1.2 で、mylogs という名前の OpenSearch Service ドメインを作成します。

• r6g.large.search インスタンスタイプの 2 つのインスタンスをドメインに追加する

• 各データノードのストレージに 100 GiB 汎用 (SSD) gp3 EBS ボリュームを使用する

• 単一の IP アドレス 192.0.2.0/32 からのみ匿名アクセスを許可する

aws opensearch create-domain \
    --domain-name mylogs \
    --engine-version OpenSearch_1.2 \
    --cluster-config  InstanceType=r6g.large.search,InstanceCount=2 \
    --ebs-options EBSEnabled=true,VolumeType=gp3,VolumeSize=100,Iops=3500,Throughput=125 \
    --access-policies '{"Version": "2012-10-17", "Statement": [{"Action": "es:*", "Principal":"*","Effect": "Allow", "Condition": {"IpAddress":{"aws:SourceIp":["192.0.2.0/32"]}}}]}'

次の例は、以下の OpenSearch Service ドメイン設定を示しています。

• Elasticsearch バージョン 7.10 で、mylogs という名前の OpenSearch Service ドメインを作成します。

• r6g.large.search インスタンスタイプの 6 つのインスタンスをドメインに追加する

• 各データノードのストレージに 100 GiB 汎用 (SSD) gp2 EBS ボリュームを使用する

• サービスへのアクセスを、ユーザーの AWS アカウント ID で識別される単一のユーザーに制限します。 555555555555

• 3 つのアベイラビリティーゾーンへのインスタンスを分散する

aws opensearch create-domain \
    --domain-name mylogs \
    --engine-version Elasticsearch_7.10 \
    --cluster-config  InstanceType=r6g.large.search,InstanceCount=6,ZoneAwarenessEnabled=true,ZoneAwarenessConfig={AvailabilityZoneCount=3} \
    --ebs-options EBSEnabled=true,VolumeType=gp2,VolumeSize=100 \
    --access-policies '{"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:root" }, "Action":"es:*", "Resource": "arn:aws:es:us-east-1:555555555555:domain/mylogs/*" } ] }'

次の例は、以下の OpenSearch Service ドメイン設定を示しています。

• OpenSearch バージョン 1.0 で、mylogs という名前の OpenSearch Service ドメインを作成します。

• r6g.xlarge.search インスタンスタイプの 10 個のインスタンスをドメインに追加する

• 専用マスターノードとして機能する r6g.large.search インスタンスタイプの 3 つのインスタンスをドメインに追加する

• ストレージに 100 GiB プロビジョンド IOPS EBS ボリュームを使用し、各データノードに 1000 IOPS のベースラインパフォーマンスを設定する

• アクセスを単一のユーザーと単一のサブリソース _search API に制限する

aws opensearch create-domain \
    --domain-name mylogs \
    --engine-version OpenSearch_1.0 \
    --cluster-config  InstanceType=r6g.xlarge.search,InstanceCount=10,DedicatedMasterEnabled=true,DedicatedMasterType=r6g.large.search,DedicatedMasterCount=3 \
    --ebs-options EBSEnabled=true,VolumeType=io1,VolumeSize=100,Iops=1000 \
    --access-policies '{"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::555555555555:root" }, "Action": "es:*", "Resource": "arn:aws:es:us-east-1:555555555555:domain/mylogs/_search" } ] }'

注記

OpenSearch Service ドメインを作成する際に、同じ名前のドメインが既に存在しても、CLI からエラーは報告されません。その代わりに、既存ドメインの詳細が返されます。

OpenSearch Service ドメイン (AWS SDKsの作成

AWS SDKs (Android および iOS SDKs を除く) は、 を含む Amazon OpenSearch Service API リファレンスで定義されているすべてのアクションをサポートしますCreateDomain。サンプルコードについては、「AWS SDKs を使用して Amazon OpenSearch Service を操作する」を参照してください。 AWS SDKsAWS 「 Software Development Kits」を参照してください。

OpenSearch Service ドメインの作成 (AWS CloudFormation)

OpenSearch Service は と統合されています。これは AWS CloudFormation、 AWS リソースとインフラストラクチャの作成と管理に費やす時間を短縮できるように、リソースのモデル化とセットアップを支援するサービスです。作成する OpenSearch ドメインを説明するテンプレートを作成すれば、CloudFormation がユーザーに向けてドメインのプロビジョニングと設定を自動的に行います。OpenSearch ドメインの JSON テンプレートと YAML テンプレートの例を含む詳細については、AWS CloudFormation ユーザーガイドの「Amazon OpenSearch Service リソースタイプのリファレンス」を参照してください。

アクセスポリシーの設定

Amazon OpenSearch Service には、OpenSearch Service ドメインへのアクセスを設定するいくつかの方法が用意されています。詳細については、Amazon OpenSearch Service での Identity and Access ManagementおよびAmazon OpenSearch Service のきめ細かなアクセスコントロールを参照してください。

コンソールは、ドメインの特定のニーズに対応してカスタマイズできる事前定義のアクセスポリシーを提供します。他の OpenSearch Service ドメインからアクセスポリシーをインポートすることもできます。上記のアクセスポリシーが VPC アクセスを操作する方法についての詳細は、「VPC ドメインのアクセスポリシーについて」を参照してください。

アクセスポリシーを設定するには (コンソール)

1. https://aws.amazon.com にアクセスし、[コンソールにサインイン] を選択します。

2. [分析] の下で、[Amazon OpenSearch Service] を選択します。

3. ナビゲーションペインの [ドメイン] で、更新するドメインを選択します。

4. [アクション] から [セキュリティ設定の編集] を選択します。

5. アクセスポリシーの JSON を編集するか、事前設定済みのオプションをインポートします。

6. [Save changes] (変更の保存) をクリックします。

高度なクラスター設定

詳細オプションを使用して、次のように設定します。

リクエストボディのインデックス

HTTP リクエストボディ内で、インデックスへの明示参照を許可するかどうかを指定します。このプロパティを false に設定すると、ユーザーがサブリソースのアクセスコントロールをバイパスできなくなります。デフォルトでは、値は true に設定されます。詳細については、「詳細オプションと API に関する考慮事項」を参照してください。

フィールドデータのキャッシュ割り当て

フィールドデータに割り当てられる Java ヒープスペースの割合を指定します。デフォルトでは、この設定は JVM ヒープの 20% です。

注記

多くのお客様が、ローテーションするインデックスのクエリを毎日実行しています。indices.fielddata.cache.size を使用してベンチマークテストを始めることをお勧めします。これらのほとんどのユースケースでは JVM ヒープを 40% に設定してください。非常に大きいインデックスでは、さらに大きいフィールドデータキャッシュが必要になることがあります。

句の最大数

Lucene のブールクエリで許可される句の最大数を指定します。デフォルト値は 1,024 です。クエリに含まれる句の数が最大数を超えていると、TooManyClauses エラーが発生します。詳細については、Lucene のドキュメントを参照してください。