Creación y administración de dominios OpenSearch de Amazon Service - OpenSearch Servicio Amazon
Creación de dominios OpenSearch de servicioConfigurar políticas de accesoConfiguración avanzada de clústeres

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación y administración de dominios OpenSearch de Amazon Service

En este capítulo se describe cómo crear y gestionar los dominios OpenSearch de Amazon Service. Un dominio es el equivalente AWS aprovisionado de un clúster de código OpenSearch abierto. Cuando creas un dominio, especificas su configuración, los tipos de instancias, el número de instancias y la asignación de almacenamiento. Para obtener más información sobre los clústeres de código abierto, consulta Cómo crear un clúster en la OpenSearch documentación.

A diferencia de las breves instrucciones incluidas en el tutorial de introducción, en este capítulo se describen todas las opciones y se proporciona información de referencia relevante. Puede completar cada procedimiento siguiendo las instrucciones de la consola de OpenSearch servicio, el AWS Command Line Interface (AWS CLI) o los AWS SDK.

Creación de dominios OpenSearch de servicio

En esta sección se describe cómo crear OpenSearch dominios de OpenSearch servicio mediante la consola de servicio o mediante el AWS CLI create-domain comando with.

Creación OpenSearch de dominios de servicio (consola)

Utilice el siguiente procedimiento para crear un dominio de OpenSearch servicio mediante la consola.

Para crear un dominio OpenSearch de servicio (consola)

  1. Visite https://aws.amazon.com y elija Iniciar sesión en la consola.

  2. En Analytics, selecciona Amazon OpenSearch Service.

  3. Seleccione Create domain (Crear un dominio).

  4. Para el Nombre de dominio, escriba un nombre de dominio. El nombre debe cumplir los siguientes criterios:

    • Único para su cuenta y Región de AWS

    • Comenzar por una letra minúscula.

    • Contener entre 3 y 28 caracteres.

    • Contiene únicamente letras minúsculas a-z, números de 0-9 y un guion (-).

  5. Seleccione Creación estándar para el método de creación del dominio.

  6. En Plantillas, seleccione la opción que mejor se ajuste a la finalidad del dominio:

    • Dominios de producción para cargas de trabajo que necesitan alta disponibilidad y rendimiento. Estos dominios utilizan Multi-AZ (con o sin modo de espera) y nodos principales dedicados para una mayor disponibilidad.

    • Desarrollo/pruebas para desarrollo o pruebas. Estos dominios pueden usar Multi-AZ (con o sin modo de espera) o una única zona de disponibilidad.

      importante

      Los diversos tipos de implementación presentarán opciones distintas en las páginas siguientes. Estos pasos incluyen todas las opciones.

  7. En cuanto a las Opciones de implementación, seleccione Dominio con modo de espera para configurar un dominio 3-AZ, con los nodos de una de las zonas reservados como don modo de espera. Esta opción aplica una serie de prácticas recomendadas, como un recuento de nodos de datos específico, un recuento de nodos maestros, un tipo de instancia, un recuento de réplicas y una configuración de actualización de software.

  8. En Versión, elija la versión del OSS Elasticsearch anterior OpenSearch o la versión anterior que desee utilizar. Le recomendamos que elija la versión más reciente de. OpenSearch Para obtener más información, consulte Versiones compatibles de OpenSearch Elasticsearch.

    (Opcional) Si has elegido una OpenSearch versión para tu dominio, selecciona Habilitar el modo de compatibilidad para que su versión se OpenSearch muestre como 7.10, lo que permite que determinados clientes y complementos de Elasticsearch OSS que comprueben la versión antes de conectarse puedan seguir trabajando con el servicio.

  9. En Instance type (Tipo de instancia), elija un tipo de instancia para los nodos de datos. Para obtener más información, consulte Tipos de instancias compatibles en Amazon OpenSearch Service.

    nota

    No todas las zonas de disponibilidad admiten todos los tipos de instancias. Si elige Multi-AZ con o sin modo de espera, recomendamos elegir tipos de instancias de la generación actual, como R5 o I3.

  10. Para el Número de nodos, elija el número de nodos de datos.

    Para ver los valores máximos, consulta Cuotas de dominios e OpenSearch instancias del servicio. Los clústeres de un solo nodo son adecuados para desarrollo y pruebas, pero no deben utilizarse para cargas de trabajo de producción. Para obtener más información, consulte Dimensionamiento de los dominios de Amazon OpenSearch Service y Configuración de un dominio Multi-AZ en Amazon Service OpenSearch .

  11. Para Tipo de almacenamiento, seleccione Amazon EBS. Los tipos de volumen disponibles en la lista dependen del tipo de instancia que haya elegido. Para obtener instrucciones sobre cómo crear dominios especialmente grandes, consulte Escala de petabytes en Amazon Service OpenSearch .

  12. Para el almacenamiento EBS, configure los siguientes ajustes adicionales. Es posible que algunos ajustes no aparezcan en función del tipo de volumen que elija.

    Opción Descripción
    Tipo de volumen de EBS

    Seleccione entre General Purpose (SSD) - gp3 (Uso general) y General Purpose (SSD) - gp2 (Uso general), o la generación anterior Provisioned IOPS (SSD) (IOPS aprovisionadas), y Magnetic (Magnético) (estándar).
    Tamaño de almacenamiento de EBS por nodo

    Ingrese el tamaño del volumen de EBS que desea adjuntar a cada nodo de datos.

    Tamaño de volumen de EBS es por cada nodo. Puede calcular el tamaño total del clúster del dominio de OpenSearch servicio multiplicando el número de nodos de datos por el tamaño del volumen de EBS. El tamaño mínimo y máximo de un volumen de EBS depende tanto del tipo de volumen de EBS especificado como del tipo de instancia al que se ha adjuntado. Para obtener más información, consulte las restricciones de tamaño del volumen de EBS.
    Provisioned IOPS (IOPS aprovisionadas)

    Si ha seleccionado un tipo de volumen IOPS aprovisionadas de SSD, ingrese el número de operaciones de E/S por segundo (IOPS) que puede soportar el volumen.

  13. (Opcional) Si seleccionó un tipo de gp3 volumen, amplíe la configuración avanzada y especifique IOPS adicionales (hasta 16 000 por cada tamaño de volumen de 3 TiB aprovisionado por nodo de datos) y rendimiento (hasta 1000 MiB/s por cada tamaño de volumen de 3 TiB aprovisionado por nodo de datos) además de lo que se incluye en el precio del almacenamiento, por un costo adicional. Para obtener más información, consulta los precios OpenSearch de Amazon Service.

  14. (Opcional) Para habilitar el UltraWarm almacenamiento, selecciona Habilitar nodos UltraWarm de datos. Cada tipo de instancia tiene una cantidad máxima de almacenamiento que puede poner a disposición. Multiplique esa cantidad por el número de nodos de datos templados para obtener el almacenamiento templado total a disposición.

  15. (Opcional) Para habilitar el almacenamiento en frío, seleccione Habilitar almacenamiento en frío. Debe habilitarlo UltraWarm para habilitar el almacenamiento en frío.

  16. Si utiliza Multi-AZ con modo de espera, ya hay tres nodos maestros dedicados habilitados. Seleccione el tipo de nodos maestros que desee. Si eligió un dominio Multi-AZ sin modo de espera, seleccione Habilitar nodos maestros dedicados y elija el tipo y la cantidad de nodos maestros que desee. Los nodos maestros dedicados aumentan la estabilidad de los clústeres y son necesarios en los dominios que tienen un número de instancias mayor de 10. Recomendamos utilizar tres nodos maestros dedicados en los dominios de producción.

    nota

    Puede elegir tipos de instancias diferentes para los nodos maestros dedicados y los nodos de datos. Por ejemplo, para los nodos de datos, puede elegir instancias de uso general u optimizadas para el almacenamiento y, para los nodos maestros dedicados, instancias optimizadas para computación.

  17. (Opcional) En el caso de los dominios que ejecutan Elasticsearch 5.3 OpenSearch o versiones posteriores, la configuración de Snapshot es irrelevante. Para obtener más información sobre las instantáneas automatizadas, consulte Creación de instantáneas de índices en Amazon Service OpenSearch .

  18. Si desea utilizar un punto de conexión personalizado en lugar del estándar de https://search-mydomain-1a2a3a4a5a6a7a8a9a0a9a8a7a.us-east-1.es.amazonaws.com, seleccione Habilitar punto de enlace personalizado y proporcione un nombre y un certificado. Para obtener más información, consulte Crear un punto de conexión personalizado para Amazon OpenSearch Service.

  19. En Red, seleccione Acceso a la VPC o Acceso público. Si elige Acceso público, vaya al siguiente paso. Si elige Acceso a la VPC, asegúrese de que se cumplen los requisitos previos y, a continuación, haga lo siguiente:

    Opción Descripción
    VPC

    Seleccione el ID de la nube privada virtual (VPC) que desee utilizar. La VPC y el dominio deben estar en el mismo Región de AWS lugar y debe seleccionar una VPC con la tenencia configurada como Predeterminada. OpenSearch El servicio aún no admite las VPC que utilizan un arrendamiento dedicado.
    Subred

    Seleccione una subred. Si ha activado Multi-AZ, debe elegir dos o tres subredes. OpenSearch El servicio colocará un punto final de VPC e interfaces de red elásticas en las subredes.

    Debe reservar suficientes direcciones IP para las interfaces de red en la subred o subredes. Para obtener más información, consulte Reserva de direcciones IP en una subred de una VPC.
    Grupos de seguridad

    Elija uno o más grupos de seguridad de VPC que permitan que la aplicación requerida llegue al dominio del OpenSearch servicio en los puertos (80 o 443) y protocolos (HTTP o HTTPS) expuestos por el dominio. Para obtener más información, consulte Lanzamiento de tus dominios OpenSearch de Amazon Service dentro de una VPC.
    IAM Role

    Mantenga el rol predeterminado. OpenSearch El servicio usa esta función predefinida (también conocida como función vinculada a un servicio) para acceder a la VPC y colocar un punto final de la VPC y las interfaces de red en la subred de la VPC. Para obtener más información, consulte Roles vinculados a servicios para el acceso de VPC.
    Tipo de dirección IP

    Seleccione el tipo de dirección IP de doble pila o IPv4. La doble pila le permite compartir los recursos del dominio entre los tipos de direcciones IPv4 e IPv6, y es la opción recomendada. Si configura el tipo de dirección IP en doble pila, no podrá cambiarlo más adelante.

  20. Habilite o deshabilite el control de acceso detallado:

    • Si desea utilizar IAM para la gestión de usuarios, seleccione Establecer ARN de IAM como usuario maestro y especifique el ARN para un rol de IAM.

    • Si desea utilizar la base de datos de usuarios interna, seleccione Crear usuario maestro y especifique un nombre de usuario y una contraseña.

    Sea cual sea la opción que elija, el usuario maestro puede acceder a todos los índices del clúster y a todas las API. OpenSearch Para obtener información sobre qué opción elegir, consulte Conceptos clave.

    Si deshabilita el control de acceso detallado, puede controlar el acceso a su dominio al colocarlo dentro de una VPC, al aplicar una política de acceso restrictiva o puede utilizar ambas opciones. Debe habilitar el node-to-node cifrado y el cifrado en reposo para utilizar un control de acceso detallado.

    nota

    Se recomienda encarecidamente habilitar un control de acceso detallado para proteger los datos del dominio. El control de acceso detallado proporciona seguridad en los niveles de clúster, índice, documento y campo.

  21. (Opcional) Si quiere usar la autenticación SAML para los OpenSearch paneles, elija Habilitar la autenticación SAML y configure las opciones de SAML para el dominio. Para ver instrucciones, consulte SAMLautenticación para OpenSearch paneles.

  22. (Opcional) Si desea utilizar la autenticación de Amazon Cognito para los OpenSearch paneles, elija Activar la autenticación de Amazon Cognito. A continuación, elija el grupo de usuarios y el grupo de identidades de Amazon Cognito que desee utilizar para la autenticación de OpenSearch Dashboards. Para obtener orientación sobre cómo crear estos recursos, consulte Configuración de la autenticación de Amazon Cognito para OpenSearch Dashboards.

  23. En Política de acceso, seleccione una política de acceso o configure una de las que posee. Si decide crear una política personalizada, puede configurarla usted mismo o importar una de otro dominio. Para obtener más información, consulte Identity and Access Management en Amazon OpenSearch Service.

    nota

    Si habilitó el acceso de la VPC, no puede utilizar políticas basadas en IP. En su lugar, puede utilizar grupos de seguridad para controlar qué direcciones IP pueden tener acceso al dominio. Para obtener más información, consulte Acerca de las políticas de acceso en los dominios de VPC.

  24. (Opcional) Para determinar que todas las solicitudes al dominio lleguen a través de HTTPS, seleccione Require HTTPS for all traffic to the domain (Solicitar HTTPS para todo el tráfico del dominio). Para habilitar el node-to-node cifrado, seleccione el cifrado N. ode-to-node Para obtener más información, consulte Sin ode-to-node cifrado para Amazon OpenSearch Service. Para habilitar el cifrado de los datos en reposo, seleccione Habilitar cifrado de datos en reposo. Estas opciones están preseleccionadas si elige la opción de implementación de Multi-AZ con modo de espera.

  25. (Opcional) Seleccione AWS Usar una clave propia para que el OpenSearch Servicio cree una clave de AWS KMS cifrado en su nombre (o use la que ya creó). De lo contrario, elija su propia clave de KMS. Para obtener más información, consulte Cifrado de datos en reposo para Amazon OpenSearch Service.

  26. Para las Ventanas de menor actividad, seleccione una hora de inicio para programar las actualizaciones del software del servicio y las optimizaciones de ajuste automático que requieran una implementación azul/verde. Las actualizaciones en ventanas de menor actividad ayudan a minimizar la carga de los nodos maestros dedicados de un clúster durante los períodos de alto tráfico.

  27. En el caso de Auto-Tune, elige si quieres que el OpenSearch Servicio sugiera cambios de configuración relacionados con la memoria en tu dominio para mejorar la velocidad y la estabilidad. Para obtener más información, consulte Ajuste automático para Amazon OpenSearch Service.

    (Opcional) Seleccione Ventana de menor actividad para programar una ventana periódica para que el ajuste automático actualice el dominio.

  28. (Opcional) Seleccione Actualización automática de software para activar las actualizaciones automáticas de software.

  29. (Opcional) Agregue etiquetas para describir el dominio para que pueda categorizar y filtrar esa información. Para obtener más información, consulte Etiquetado de dominios de Amazon OpenSearch Service.

  30. (Opcional) Expanda y configure Advanced cluster settings (Configuración avanzada del clúster). Para obtener un resumen de estas opciones, consulte Configuración avanzada de clústeres.

  31. Seleccione Crear.

Crear dominios de OpenSearch servicio ()AWS CLI

En lugar de crear un dominio de OpenSearch servicio mediante la consola, puede utilizar la AWS CLI. Para conocer la sintaxis, consulte Amazon OpenSearch Service en la referencia de comandos de la AWS CLI a.

Comandos de ejemplo

En este primer ejemplo, se muestra la siguiente configuración del dominio de OpenSearch servicio:

  • Crea un dominio OpenSearch de servicio denominado mylogs con la OpenSearch versión 1.2

  • Rellena el dominio con dos instancias del tipo r6g.large.search.

  • Utiliza un volumen de EBS de uso general (SSD) gp3 de 100 GiB para el almacenamiento de cada nodo de datos

  • Permite el acceso anónimo, pero solo desde una única dirección IP: 192.0.2.0/32

aws opensearch create-domain \
    --domain-name mylogs \
    --engine-version OpenSearch_1.2 \
    --cluster-config  InstanceType=r6g.large.search,InstanceCount=2 \
    --ebs-options EBSEnabled=true,VolumeType=gp3,VolumeSize=100,Iops=3500,Throughput=125 \
    --access-policies '{"Version": "2012-10-17", "Statement": [{"Action": "es:*", "Principal":"*","Effect": "Allow", "Condition": {"IpAddress":{"aws:SourceIp":["192.0.2.0/32"]}}}]}'

El siguiente ejemplo muestra la siguiente configuración del dominio OpenSearch de servicio:

  • Crea un dominio OpenSearch de servicio denominado mylogs con la versión 7.10 de Elasticsearch

  • Rellena el dominio con seis instancias del tipo r6g.large.search.

  • Utiliza un volumen de EBS de uso general (SSD) gp2 de 100 GiB para el almacenamiento de cada nodo de datos

  • Restringe el acceso al servicio a un solo usuario, identificado por el ID del usuario: 555555555555 Cuenta de AWS

  • Distribuye las instancias entre tres zonas de disponibilidad.

aws opensearch create-domain \
    --domain-name mylogs \
    --engine-version Elasticsearch_7.10 \
    --cluster-config  InstanceType=r6g.large.search,InstanceCount=6,ZoneAwarenessEnabled=true,ZoneAwarenessConfig={AvailabilityZoneCount=3} \
    --ebs-options EBSEnabled=true,VolumeType=gp2,VolumeSize=100 \
    --access-policies '{"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:root" }, "Action":"es:*", "Resource": "arn:aws:es:us-east-1:555555555555:domain/mylogs/*" } ] }'

El siguiente ejemplo muestra la siguiente configuración del dominio de OpenSearch servicio:

  • Crea un dominio OpenSearch de servicio denominado mylogs con la OpenSearch versión 1.0

  • Rellena el dominio con diez instancias del tipo r6g.xlarge.search.

  • Rellena el dominio con tres instancias del tipo r6g.large.search que actuarán como nodos maestros dedicados.

  • Usa un volumen de EBS de IOPS aprovisionadas de 100 GiB para el almacenamiento, configurado con una velocidad de referencia de 1000 IOPS por cada nodo de datos

  • Restringe el acceso a un único usuario y a un único subrecurso, la API _search

aws opensearch create-domain \
    --domain-name mylogs \
    --engine-version OpenSearch_1.0 \
    --cluster-config  InstanceType=r6g.xlarge.search,InstanceCount=10,DedicatedMasterEnabled=true,DedicatedMasterType=r6g.large.search,DedicatedMasterCount=3 \
    --ebs-options EBSEnabled=true,VolumeType=io1,VolumeSize=100,Iops=1000 \
    --access-policies '{"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::555555555555:root" }, "Action": "es:*", "Resource": "arn:aws:es:us-east-1:555555555555:domain/mylogs/_search" } ] }'
nota

Si intenta crear un dominio de OpenSearch servicio y ya existe un dominio con el mismo nombre, la CLI no informa de ningún error. En su lugar, muestra los detalles sobre el dominio existente.

Creación OpenSearch de dominios de servicio (AWS SDK)

Los AWS SDK (excepto los de Android e iOS) admiten todas las acciones definidas en la referencia de la API de Amazon OpenSearch Service, incluidas las siguientes: CreateDomain Para ver el código de muestra, consulte Utilizar SDK de AWS para interactuar con Amazon OpenSearch Service. Para obtener más información sobre la instalación y el uso de los AWS SDK, consulte los kits de desarrollo de AWS software.

Creación de dominios OpenSearch de servicio ()AWS CloudFormation

OpenSearch El servicio está integrado con AWS CloudFormation un servicio que le ayuda a modelar y configurar sus AWS recursos para que pueda dedicar menos tiempo a crear y administrar sus recursos e infraestructura. Crea una plantilla que describe el OpenSearch dominio que desea crear y CloudFormation aprovisiona y configura el dominio por usted. Para obtener más información, incluidos ejemplos de plantillas JSON y YAML para OpenSearch dominios, consulta la referencia de tipos de recursos de Amazon OpenSearch Service en la Guía del AWS CloudFormation usuario.

Configurar políticas de acceso

Amazon OpenSearch Service ofrece varias formas de configurar el acceso a tus dominios OpenSearch de servicio. Para obtener más información, consulte Identity and Access Management en Amazon OpenSearch Service y Control de acceso detallado en Amazon Service OpenSearch .

La consola proporciona políticas de acceso preconfiguradas que puede personalizar según las necesidades específicas de su dominio. También puede importar políticas de acceso de otros dominios OpenSearch de servicio. Para obtener información sobre cómo interactúan estas políticas de acceso con el acceso de las VPC, consulte Acerca de las políticas de acceso en los dominios de VPC.

Para configurar políticas de acceso (consola)

  1. Visite https://aws.amazon.com y elija Iniciar sesión en la consola.

  2. En Analytics, selecciona Amazon OpenSearch Service.

  3. En el panel de navegación, en Domains (Dominios), elija el dominio que desea actualizar.

  4. Seleccione Acciones y Editar la configuración de seguridad.

  5. Edite la política de acceso JSON o importe una opción preconfigurada.

  6. Seleccione Guardar cambios.

Configuración avanzada de clústeres

Use opciones avanzadas para configurar lo siguiente:

Índices en los cuerpos de las solicitudes

Especifica si se permiten referencias explícitas a índices en el cuerpo de las solicitudes HTTP. Al configurar esta propiedad en false se evita que los usuarios eludan el control de acceso para subrecursos. De forma predeterminada, el valor es true. Para obtener más información, consulte Opciones avanzadas y consideraciones de la API.

Asignación de una caché de datos de campos

Especifica el porcentaje de espacio de montón de Java que se asignará a datos de campos. De forma predeterminada, esta configuración es el 20 % de la pila de JVM.

nota

Muchos clientes consultan índices diarios en rotación. Recomendamos empezar a realizar ensayos de referencia con el valor indices.fielddata.cache.size configurado en un 40 % de la pila de JVM para la mayoría de estos casos de uso. Si tiene índices muy grandes es posible que necesite una caché de datos de campos de gran tamaño.

Recuento máximo de cláusulas

Especifica el número máximo de cláusulas permitidas en una consulta de Lucene con operadores booleanos. El valor predeterminado es 1,024. Las consultas que superen el número máximo permitido de cláusulas provocarán un error TooManyClauses. Para obtener más información, consulte la documentación de Lucene.