Modifier la configuration dans Amazon OpenSearch Service - Amazon OpenSearch Service
Modifications entraînant généralement des déploiements bleu/vertModifications qui n'entraînent généralement pas de déploiements bleu/vertDéterminer si une modification entraînera un déploiement bleu/vertInitiation et suivi d'une modification de configurationÉtapes d'un changement de configurationFrais associés aux modifications de la configurationRésolution des erreurs de validation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Modifier la configuration dans Amazon OpenSearch Service

Amazon OpenSearch Service utilise un processus de déploiement bleu/vert lors de la mise à jour des domaines. Un déploiement bleu/vert crée un environnement inactif pour les mises à jour de domaine qui copie l'environnement de production et dirige les utilisateurs vers le nouvel environnement une fois ces mises à jour terminées. Dans un déploiement bleu/vert, l'environnement bleu est l'environnement de production actuel. L'environnement vert est un environnement inactif.

Les données sont migrées de l'environnement bleu vers l'environnement vert. Lorsque le nouvel environnement est prêt, le OpenSearch service change d'environnement pour promouvoir l'environnement vert en tant que nouvel environnement de production. Le basculement s'effectue sans perte de données. Cette pratique permet de minimiser les temps d'arrêt et de conserver l'environnement d'origine en cas d'échec du déploiement dans le nouvel environnement.

Modifications entraînant généralement des déploiements bleu/vert

Les opérations suivantes entraînent des déploiements bleu/vert :

  • Modification du type d'instance

  • Activation du contrôle précis des accès

  • Mises à jour du logiciel de service

  • Si votre domaine n'a pas de nœuds principaux dédiés, modification du nombre d'instances de données

  • Activation ou désactivation des nœuds principaux dédiés

  • Activation ou désactivation du mode Multi-AZ sans mode veille

  • Modification du type de stockage, du type de volume ou de la taille de volume

  • Sélection de sous-réseaux VPC différents

  • Ajout ou suppression de groupes de sécurité VPC

  • Activation ou désactivation de l'authentification Amazon Cognito pour les tableaux de bord OpenSearch

  • Sélection d'un groupe d'utilisateurs ou d'un groupe d'identités Amazon Cognito différent

  • Modification des paramètres avancés

  • Mise à niveau vers une nouvelle OpenSearch version (OpenSearch les tableaux de bord peuvent ne pas être disponibles pendant une partie ou la totalité de la mise à niveau)

  • Activation du chiffrement des données au repos ou du node-to-node chiffrement

  • Activation ou désactivation du UltraWarm stockage à froid

  • Désactivation d'Auto-Tune et annulation des modifications

  • Associer un plugin optionnel à un domaine et dissocier un plugin optionnel d'un domaine

  • Augmentation du nombre de nœuds maîtres dédiés pour les domaines dotés de deux nœuds principaux dédiés et de la reconnaissance des zones activée

  • Diminution de la taille du volume EBS

  • Modification de la taille du volume, des IOPS ou du débit EBS, si la dernière modification que vous avez apportée est en cours ou s'est produite il y a moins de 6 heures

  • Permettre la publication des journaux d'audit pour CloudWatch.

Pour les domaines Multi-AZ avec Standby, vous ne pouvez effectuer qu'une seule demande de modification à la fois. Si une modification est déjà en cours, la nouvelle demande sera rejetée. Vous pouvez vérifier l'état de la modification en cours à l'aide de l'DescribeDomainChangeProgressAPI.

Modifications qui n'entraînent généralement pas de déploiements bleu/vert

Dans la plupart des cas, les opérations suivantes n'entraînent pas de déploiements bleu/vert :

  • Modification de la stratégie d'accès

  • Modification du point de terminaison personnalisé

  • Modification de la politique TLS (Transport Layer Security)

  • Modification de l'heure de début des instantanés automatiques

  • Activation ou désactivation de l'option Exiger HTTPS

  • Activation d'Auto-Tune ou désactivation sans annulation des modifications

  • Si votre domaine possède des nœuds maîtres dédiés ou si le nombre de UltraWarm nœuds change

  • Modification du nombre de nœuds de données

  • Si votre domaine possède des nœuds maîtres dédiés, modification du type d'instance principale dédiée ou du nombre de nœuds (sauf pour les domaines avec deux maîtres dédiés et la reconnaissance de zone activée)

  • Activation ou désactivation de la publication de journaux d'erreurs ou de journaux lents sur CloudWatch

  • Désactivation de la publication des journaux d'audit dans CloudWatch.

  • Augmentation de la taille du volume, modification du type de volume, des IOPS et du débit jusqu'à 3 TiB par taille de volume de nœud de données

  • Ajout ou suppression de balises

Note

Il existe quelques exceptions en fonction de la version de votre logiciel de service. Si vous voulez être absolument sûr qu'une modification n'entraînera pas un déploiement bleu/vert, effectuez une analyse à sec avant de mettre à jour votre domaine, si cette option est disponible. Certaines modifications ne proposent pas d'option de fonctionnement à sec. Nous vous recommandons généralement d'apporter des modifications à votre cluster en dehors des heures de pointe.

Déterminer si une modification entraînera un déploiement bleu/vert

Vous pouvez tester certains types de modifications de configuration planifiées pour déterminer si elles entraîneront un déploiement bleu/vert, sans avoir à vous engager à effectuer ces modifications. Avant de lancer une modification de la configuration, utilisez la console ou une API pour exécuter une vérification de validation afin de vous assurer que votre domaine est éligible à une mise à jour.

Console
Pour valider une modification de configuration

  1. Accédez à la console Amazon OpenSearch Service à l'adressehttps://console.aws.amazon.com/aos/.

  2. Dans le volet de navigation de gauche, choisissez Domains (Domaines).

  3. Sélectionnez le domaine pour lequel que vous voluez effectuer une modification de configuration. Cette action ouvre la page des détails du domaine. Sélectionnez le menu déroulant Actions, puis choisissez Edit cluster configuration (Modifier la configuration du cluster).

  4. Sur la page Edit cluster configuration (Modifier la configuration du cluster), vous pouvez apporter des modifications au type d'instance, au nombre de nœuds et à toute autre configuration. Après avoir confirmé vos modifications dans le panneau récapitulatif, choisissez Run (Exécuter).

  5. Une fois votre test à blanc terminé, les résultats s'affichent automatiquement en bas de la page, ainsi que l'ID du test à blanc. Ces résultats vous indiquent la catégorie à laquelle appartient votre modification :

    • Lance un déploiement bleu/vert

    • Ne nécessite pas un déploiement bleu/vert

    • Contient des erreurs de validation que vous devez corriger avant de pouvoir enregistrer vos modifications

    Notez que chaque test à blanc remplace celui qui le précède. Pour consulter ultérieurement les détails de chaque test à blanc, assurez-vous d'enregistrer l'ID de votre test à blanc. Chaque test à blanc est disponible pendant 90 jours, ou jusqu'à ce que vous effectuiez une mise à jour de la configuration.

  6. Pour procéder à la mise à jour de votre configuration, choisissez Save changes (Enregistrer les modifications). Sinon, sélectionnez Annuler. Chaque option a pour effet de vous ramener à l'onglet Cluster configuration (Configuration du cluster). Dans cet onglet, vous pouvez sélectionner Dry run details (Détails du test à blanc) pour afficher les détails de votre dernier test à blanc. Cette page inclut également une side-by-side comparaison entre la configuration avant le cycle à sec et la configuration du cycle à sec.

API

Vous pouvez également effectuer une validation du test à blanc via l'API de configuration. Pour tester vos modifications avec l'API, définissez DryRun sur true et DryRunMode surVerbose. Le mode Verbose exécute une vérification de validation en plus de déterminer si la modification déclenchera un déploiement bleu/vert. Par exemple, cette UpdateDomainConfigdemande teste le type de déploiement qui résulte de l'activation de UltraWarm :

POST https://es.us-east-1.amazonaws.com/2021-01-01/opensearch/domain/my-domain/config
{
   "ClusterConfig": {
    "WarmCount": 3,
    "WarmEnabled": true,
    "WarmType": "ultrawarm1.large.search"
   },
   "DryRun": true,
   "DryRunMode": "Verbose"
}

La demande effectue une vérification de validation et renvoie le type de déploiement que la modification entraînera, mais n'effectue pas réellement la mise à jour :

{
   "ClusterConfig": {
     ...
    },
   "DryRunResults": {
      "DeploymentType": "Blue/Green",
      "Message": "This change will require a blue/green deployment."
    }
}

Les types de déploiement possibles sont les suivants :

  • Blue/Green : la modification entraînera un déploiement bleu/vert.

  • DynamicUpdate : la modification n'entraînera pas de déploiement bleu/vert.

  • Undetermined : le domaine est toujours en traitement, de sorte que le type de déploiement ne peut pas être déterminé.

  • None : aucune modification de configuration.

Si la validation échoue, elle renvoie une liste des échecs de validation.

{
   "ClusterConfig":{
      "..."
   },
   "DryRunProgressStatus":{
      "CreationDate":"2023-01-12T01:14:33.847Z",
      "DryRunId":"db00ca39-48b2-4774-bbd3-252cf094d205",
      "DryRunStatus":"failed",
      "UpdateDate":"2023-01-12T01:14:33.847Z",
      "ValidationFailures":[
         {
            "Code":"Cluster.Index.WriteBlock",
            "Message":"Cluster has index write blocks."
         }
      ]
   }
}

Si le statut est toujours le mêmepending, vous pouvez utiliser l'identifiant de course à sec dans votre UpdateDomainConfig réponse lors des DescribeDryRunProgressappels suivants pour vérifier l'état de la validation.

GET https://es.us-east-1.amazonaws.com/2021-01-01/opensearch/domain/my-domain/dryRun?dryRunId=my-dry-run-id
{
    "DryRunConfig": null,
    "DryRunProgressStatus": {
        "CreationDate": "2023-01-12T01:14:42.998Z",
        "DryRunId": "db00ca39-48b2-4774-bbd3-252cf094d205",
        "DryRunStatus": "succeeded",
        "UpdateDate": "2023-01-12T01:14:49.334Z",
        "ValidationFailures": null
    },
    "DryRunResults": {
        "DeploymentType": "Blue/Green",
        "Message": "This change will require a blue/green deployment."
    }
}

Pour exécuter une analyse de test à blanc sans vérification de validation, définissez DryRunMode surBasic lorsque vous utilisez l'API de configuration.

Python

Le code Python suivant utilise l'UpdateDomainConfigAPI pour effectuer une vérification de validation à sec et, si la vérification aboutit, appelle la même API sans exécution à sec pour démarrer la mise à jour. Si la vérification échoue, le script affiche l'erreur et s'arrête.

import time
import boto3

client = boto3.client('opensearch')

response = client.UpdateDomainConfig(
    ClusterConfig={
        'WarmCount': 3,
        'WarmEnabled': True,
        'WarmCount': 123,
    },
    DomainName='test-domain',
    DryRun=True,
    DryRunMode='Verbose'
)

dry_run_id = response.DryRunProgressStatus.DryRunId

retry_count = 0

while True:

    if retry_count == 5:
        print('An error occured')
        break

    dry_run_progress_response = client.DescribeDryRunProgress('test-domain', dry_run_id)
    dry_run_status = dry_run_progress_response.DryRunProgressStatus.DryRunStatus

    if dry_run_status == 'succeeded':
        client.UpdateDomainConfig(
            ClusterConfig={
            'WarmCount': 3,
            'WarmEnabled': True,
            'WarmCount': 123,
        })
        break

    elif dry_run_status == 'failed':
        validation_failures_list = dry_run_progress_response.DryRunProgressStatus.ValidationFailures
        for item in validation_failures_list:
            print(f"Code: {item['Code']}, Message: {item['Message']}")
        break

    retry_count += 1
    time.sleep(30)

Initiation et suivi d'une modification de configuration

Note

Vous pouvez demander une modification de configuration à la fois. Vous pouvez également regrouper plusieurs modifications de configuration dans une seule demande. Attendez que le statut de votre domaine change Active avant de demander des modifications de configuration supplémentaires.

Vous pouvez consulter les champs Domain Processing Status et Config Change Status dans la console Amazon OpenSearch Service pour suivre les modifications de domaine et de configuration. Vous pouvez également suivre les modifications de domaine et de configuration via les ConfigChangeStatus paramètres DomainProcessingStatus et contenus dans les réponses de l'API. Pour plus d'informations, consultez le type de DomainStatusdonnées dans la référence de l'API de OpenSearch service.

Visibilité de l'état du traitement du domaine : vous pouvez facilement déterminer l'état de configuration d'un domaine en consultant le champ État du traitement du domaine dans la console. De même, le paramètre DomainProcessingStatus API peut être utilisé pour identifier le statut. Les valeurs suivantes sont des statuts de traitement pour un domaine :

  • Active: aucune modification de configuration n'est en cours. Vous pouvez soumettre une nouvelle demande de modification de configuration.

  • Creating: Le domaine est en cours de création.

  • Modifying: Les modifications de configuration, telles que l'ajout de nouveaux nœuds de données, EBS, gp3, le provisionnement IOPS ou la configuration de clés KMS, sont en cours.

    Note

    Vous pouvez voir le statut comme Modifying dans les situations où un domaine nécessite un déplacement de partition pour effectuer les modifications de configuration. Pour des raisons de rétrocompatibilité, le comportement du Processing paramètre reste inchangé dans les réponses de l'API et est défini sur false dès que les modifications de configuration de base sont terminées, sans attendre la fin du déplacement des partitions.

  • Upgrading Engine Version: une mise à niveau de la version du moteur est en cours.

  • Updating Service Software: une mise à jour du logiciel de service est en cours.

  • Deleting: Le domaine est en cours de suppression.

  • Isolated: Le domaine est suspendu.

Visibilité de l'état de la configuration : les modifications de configuration peuvent être initiées par l'opérateur (par exemple, ajout d'un nouveau nœud de données, modification du type d'instance) ou par le service (par exemple, Auto-Tune et mises à jour en dehors des heures de pointe). Vous trouverez les informations relatives à l'état des dernières modifications de configuration dans le champ État des modifications de configuration de la console Amazon OpenSearch Service et dans la réponse de l'ConfigChangeStatusAPI. Les valeurs suivantes indiquent l'état de configuration d'un domaine :

  • Pending: Une demande de modification de configuration a été soumise.

  • Initializing: Le service initialise une demande de modification de configuration.

  • Validating: Le service valide les modifications demandées et les ressources requises.

  • Awaiting user inputs: s'applique lorsque l'opérateur s'attend à ce que certaines modifications de configuration, telles que le changement de type d'instance, se poursuivent. Vous pouvez modifier les modifications de configuration.

  • Applying changes: Le service applique les modifications de configuration demandées.

  • Cancelled: le changement de configuration est annulé. Si vous recevez le statut d'échec de la validation, vous pouvez cliquer sur Annuler dans la console ou appeler l'opération CancelDomainConfigChange API. Dans ce cas, toutes les modifications appliquées sont annulées.

  • Completed: les modifications de configuration demandées ont été effectuées avec succès.

  • Validation Failed: Les modifications demandées n'ont pas été validées. Aucune modification de configuration n'est appliquée.

    Note

    Les échecs de validation peuvent être le résultat d'index rouges présents dans votre domaine, de l'indisponibilité d'un type d'instance choisi ou d'un espace disque insuffisant. Pour obtenir la liste des erreurs de validation, consultezRésolution des erreurs de validation. Lors d'un échec de validation, vous pouvez annuler, réessayer ou modifier les modifications de configuration.

Résumé de l'API : vous pouvez utiliser les opérationsDescribeDomain,DescribeDomainChangeProgress, et DescribeDomainConfig API pour obtenir des états détaillés des mises à jour de configuration. En outre, vous pouvez l'utiliser CancelDomainConfigChange pour annuler les mises à jour en cas d'échec de validation. Pour plus d'informations, consultez la documentation de l'API de OpenSearch service

Lorsque les modifications de configuration sont terminées, l'état du domaine revient à. Active

Vous pouvez consulter l'état du cluster et CloudWatch les métriques Amazon et constater que le nombre de nœuds du cluster augmente temporairement, voire double, pendant la mise à jour du domaine. Dans l'illustration suivante, vous pouvez voir le nombre de nœuds passer de 11 à 22 pendant la modification de la configuration et revenir à 11 une fois la mise à jour terminée.

Nombre de nœuds passant de 11 à 22 au cours d'une modification de la configuration du domaine.

Cette augmentation temporaire peut faire peser davantage de contraintes sur les nœuds principaux dédiés du cluster, ce dernier ayant soudainement beaucoup plus de nœuds à gérer. Cela peut également augmenter les latences de recherche et d'indexation lorsque le OpenSearch service copie les données de l'ancien cluster vers le nouveau. Il est important de conserver une capacité suffisante sur le cluster pour gérer la surcharge associée à ces deux déploiements bleu/vert.

Important

Vous ne paierez aucuns frais supplémentaires pendant les changements de configuration et de maintenance. Des frais vous sont facturés uniquement pour le nombre de nœuds demandé pour votre cluster. Pour plus de détails, reportez-vous à la section Frais associés aux modifications de la configuration.

Pour éviter de surcharger les nœuds principaux dédiés, vous pouvez surveiller l'utilisation à l'aide des CloudWatch métriques Amazon. Pour connaître les valeurs maximales recommandées, consultez CloudWatch Alarmes recommandées pour Amazon OpenSearch Service.

Étapes d'un changement de configuration

Une fois que vous avez initié une modification de configuration, le OpenSearch service effectue une série d'étapes pour mettre à jour votre domaine. Vous pouvez consulter la progression du changement de configuration sous État du changement de configuration dans la console. Les étapes exactes par lesquelles passe une mise à jour dépendent du type de changement que vous effectuez. Vous pouvez également surveiller une modification de configuration à l'aide de l'opération DescribeDomainChangeProgressAPI.

Voici les étapes possibles par lesquelles une mise à jour peut passer lors d'un changement de configuration :

Nom de l'environnement Description

Validation

Validation de l'éligibilité du domaine à une mise à jour et mise en évidence des problèmes de validation si nécessaire.

Création d'un nouvel environnement

Réalisation des conditions préalables nécessaires et création des ressources requises pour démarrer le déploiement bleu/vert.

Approvisionnement de nouveaux nœuds

Création d'un nouvel ensemble d'instances dans le nouvel environnement.

Routage du trafic sur les nouveaux nœuds

Redirection du trafic vers les nœuds de données nouvellement créés.

Routage du trafic sur les anciens nœuds

 Désactivation du trafic sur les anciens nœuds de données.

Préparation des nœuds à la suppression

Préparation de la suppression des nœuds. Cette étape ne se produit que lorsque vous réduisez la taille de votre domaine (par exemple, de 8 nœuds à 6 nœuds).

Copie des partitions vers les nouveaux nœuds

Déplacement des partitions des anciens nœuds vers les nouveaux nœuds.

Résiliation des nœuds

 Résiliation et suppression des anciens nœuds après la suppression des partitions.

Suppression des anciennes ressources

Suppression des ressources associées à l'ancien environnement (par exemple, l'équilibreur de charge).

Mise à jour dynamique

Affiché lorsque la mise à jour ne nécessite pas un déploiement bleu/vert et peut être appliquée dynamiquement.

Appliquer les modifications liées au master dédié

Affiché lorsque le type ou le nombre d'instances principales dédiées est modifié.

Appliquer les modifications liées au volume

Affiché lorsque la taille, le type, les IOPS et le débit du volume sont modifiés.

Frais associés aux modifications de la configuration

Si vous modifiez la configuration d'un domaine, le OpenSearch service crée un nouveau cluster comme décrit dansModifier la configuration dans Amazon OpenSearch Service. Lors de la migration de l'ancien cluster vers le nouveau, les frais suivants vous incombent :

  • Si vous modifiez le type d'instance, les deux clusters vous sont facturés pendant la première heure. À l'issue de la première heure, seul le nouveau cluster vous est facturé. Les volumes EBS ne sont pas facturés deux fois car ils font partie de votre cluster. Leur facturation suit donc celle des instances.

    Exemple : Vous modifiez la configuration pour la faire passer de trois instances m3.xlarge à quatre instances m4.large. Pour la première heure, vous êtes facturé pour les deux clusters (3 * m3.xlarge + 4 * m4.large). Après la première heure, seul le nouveau cluster vous est facturé (4 * m4.large).

  • Si vous ne modifiez pas le type d'instance, seul le plus grand cluster vous est facturé pour la première heure. À l'issue de la première heure, seul le nouveau cluster vous est facturé.

    Exemple : Vous modifiez la configuration pour la faire passer de six instances m3.xlarge à trois instances m3.xlarge. Pendant la première heure, le plus grand cluster vous est facturé (6 * m3.xlarge). Après la première heure, seul le nouveau cluster vous est facturé (3 * m3.xlarge).

Résolution des erreurs de validation

Lorsque vous initiez un changement de configuration ou effectuez une mise à niveau de version OpenSearch ou d'Elasticsearch, le OpenSearch Service effectue d'abord une série de contrôles de validation pour s'assurer que votre domaine est éligible à une mise à jour. Si l'un de ces contrôles échoue, vous recevez une notification dans la console contenant les problèmes spécifiques que vous devez résoudre avant de mettre à jour votre domaine. Le tableau suivant répertorie les problèmes de domaine que le OpenSearch Service peut éventuellement rencontrer, ainsi que les étapes à suivre pour les résoudre.

Problème Code d’erreur Étapes de résolution des problèmes
Groupe de sécurité introuvable SecurityGroupNotFound

Le groupe de sécurité associé à votre domaine OpenSearch de service n'existe pas. Pour résoudre ce problème, créez un groupe de sécurité avec le nom spécifié.
Sous-réseau introuvable SubnetNotFound

Le sous-réseau associé à votre domaine OpenSearch de service n'existe pas. Pour résoudre ce problème, créer un sous-réseau dans votre VPC.
Rôle lié à un service non configuré SLRNotConfigured Le rôle lié au service pour OpenSearch Service n'est pas configuré. Le rôle lié au service est prédéfini par le OpenSearch service et inclut toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. Si le rôle n'existe pas, vous devrez peut-être le créer manuellement.
Pas assez d'adresses IP InsufficientFreeIPsForSubnets

Un ou plusieurs de vos sous-réseaux VPC ne disposent pas de suffisamment d'adresses IP pour mettre à jour votre domaine. Pour calculer le nombre d'adresses IP dont vous avez besoin, consultez Réservation d'adresses IP dans un sous-réseau VPC.
Le groupe d'utilisateurs Cognito n'existe pas CognitoUserPoolNotFound

OpenSearch Le service ne trouve pas le groupe d'utilisateurs Amazon Cognito. Vérifiez que vous en avez créé un et qu'il a l'ID correct. Pour rechercher l'ID, vous pouvez utiliser la console Amazon Cognito ou la commande AWS CLI suivante :

aws cognito-idp list-user-pools --max-results 60 --region us-east-1
Le groupe d'identités Cognito n'existe pas CognitoIdentityPoolNotFound

OpenSearch Le service ne trouve pas le pool d'identités Cognito. Vérifiez que vous en avez créé un et qu'il a l'ID correct. Pour rechercher l'ID, vous pouvez utiliser la console Amazon Cognito ou la commande AWS CLI suivante :

aws cognito-identity list-identity-pools --max-results 60 --region us-east-1
Domaine Cognito introuvable pour le groupe d'utilisateurs CognitoDomainNotFound

Le groupe d'utilisateurs n'a pas de nom de domaine. Vous pouvez en configurer un à l'aide de la console Amazon Cognito ou de la commande suivante : AWS CLI 

aws cognito-idp create-user-pool-domain --domain my-domain --user-pool-id id
Le rôle Cognito n'est pas configuré CognitoRoleNotConfigured

Le rôle IAM qui accorde au OpenSearch service l'autorisation de configurer les groupes d'utilisateurs et d'identités Amazon Cognito, et de les utiliser pour l'authentification, n'est pas configuré. Configurez le rôle avec un jeu d'autorisations et une relation d'approbation appropriés. Vous pouvez utiliser la console, qui crée le CognitoAccessForAmazonOpenSearchrôle par défaut pour vous, ou vous pouvez configurer manuellement un rôle à l'aide du AWS CLI ou du AWS SDK.
Impossible de décrire le groupe d'utilisateurs UserPoolNotDescribable Le rôle Amazon Cognito spécifié n'a pas l'autorisation de décrire le groupe d'utilisateurs associé à votre domaine. Assurez-vous que la politique d'autorisation du rôle autorise l'action cognito-identity:DescribeUserPool. Consultez À propos du rôle CognitoAccessForAmazonOpenSearch pour connaître la politique d'autorisation complète.
Impossible de décrire le groupe d'identités IdentityPoolNotDescribable Le rôle Amazon Cognito spécifié n'a pas l'autorisation de décrire le groupe d'identités associé à votre domaine. Assurez-vous que la politique d'autorisation du rôle autorise l'action cognito-identity:DescribeIdentityPool. Consultez À propos du rôle CognitoAccessForAmazonOpenSearch pour connaître la politique d'autorisation complète.
Impossible de décrire le groupe d'utilisateurs et d'identités CognitoPoolsNotDescribable Le rôle Amazon Cognito spécifié n'a pas l'autorisation de décrire les groupes d'utilisateurs et d'identités associés à votre domaine. Assurez-vous que la politique d'autorisation du rôle autorise les actions cognito-identity:DescribeIdentityPool et cognito-identity:DescribeUserPool. Consultez À propos du rôle CognitoAccessForAmazonOpenSearch pour connaître la politique d'autorisation complète.
La clé KMS n'est pas activée KMSKeyNotEnabled

La clé AWS Key Management Service (AWS KMS) utilisée pour chiffrer votre domaine est désactivée. Réactivez la clé immédiatement.
Le certificat personnalisé n'est pas dans l'état ISSUED (ÉMIS) InvalidCertificate

Si votre domaine utilise un point de terminaison personnalisé, vous le sécurisez soit en générant un certificat SSL dans AWS Certificate Manager (ACM), soit en important le vôtre. L'état du certificat doit être Issued (Émis). Si vous recevez cette erreur, vérifiez le statut de votre certificat dans la console ACM. Si le statut est Expired (Expiré), Failed (Échec), Inactive (Inactif) ou Pending validation (En attente de validation), consultez la documentation de résolution des problèmes ACM pour résoudre le problème.
Pas assez de capacité pour lancer le type d'instance choisi InsufficientInstanceCapacity

La capacité du type d'instance demandé n'est pas disponible. Par exemple, vous avez peut-être demandé cinq i3.16xlarge.search nœuds, mais le OpenSearch service ne dispose pas de suffisamment d'i3.16xlarge.searchhôtes disponibles. La demande ne peut donc pas être traitée. Vérifiez les types d'instances pris en charge dans OpenSearch Service et choisissez un autre type d'instance.
Index rouges dans le cluster RedCluster

Un ou plusieurs index de votre cluster ont un statut rouge, ce qui entraîne un statut rouge global du cluster. Pour résoudre ce problème et y remédier, consultez Statut de cluster rouge.
Disjoncteur de mémoire, trop de demandes TooManyRequests

Votre domaine reçoit trop de requêtes de recherche et d'écriture. Le OpenSearch Service ne peut donc pas mettre à jour sa configuration. Vous pouvez réduire le nombre de demandes, mettre à l'échelle les instances verticalement jusqu'à 64 GiB de RAM, ou mettre à l'échelle horizontalement en ajoutant des instances.
La nouvelle configuration ne peut pas contenir de données (faible espace disque) InsufficientStorageCapacity

La taille de stockage configurée ne peut pas contenir toutes les données de votre domaine. Pour résoudre ce problème, choisissez un volume plus grand, supprimez les index inutilisés ou augmentez le nombre de nœuds dans le cluster pour libérer immédiatement de l'espace disque.
Partitions épinglées à des nœuds spécifiques ShardMovementBlocked

Un ou plusieurs index de votre domaine sont attachés à des nœuds spécifiques et ne peuvent pas être réaffectés. Cela s'est très probablement produit parce que vous avez configuré le filtrage d'allocation des partitions, qui vous permet de spécifier les nœuds autorisés à héberger les partitions d'un index particulier.

Pour résoudre ce problème, supprimez les filtres d'allocation de partitions de tous les index concernés :

PUT my-index/_settings
{  
  "settings": {    
    "index.routing.allocation.require._name": null  
  }
}
La nouvelle configuration ne peut pas contenir toutes les partitions (nombre de partitions) TooManyShards Le nombre de partitions de votre domaine est trop élevé, ce qui empêche le OpenSearch Service de les déplacer vers la nouvelle configuration. Pour résoudre ce problème, mettez à l'échelle horizontalement votre domaine en ajoutant des nœuds du même type de configuration que vos nœuds de cluster actuels. Notez que la taille maximale des volumes EBS dépend du type d'instance du nœud.

Pour éviter ce problème à l'avenir, consultez Choix du nombre de partitions et définissez une stratégie de partitionnement adaptée à votre cas d'utilisation.

Le sous-réseau associé à votre domaine ne prend pas en charge les adresses IPv4

ResultCodeIPv4BlockNotExists

Pour résoudre ce problème, créez un sous-réseau ou mettez à jour le sous-réseau existant dans votre VPC en fonction du type d'adresse IP configuré pour le domaine. Si votre domaine utilise un type d'adresse IPv4 uniquement, utilisez un sous-réseau IPv4 uniquement. Si votre domaine utilise le mode double pile, utilisez un sous-réseau à double pile.

Le sous-réseau associé à votre domaine ne prend pas en charge les adresses IPv6

ResultCodeIPv6BlockNotExists

Pour résoudre ce problème, créez un sous-réseau ou mettez à jour le sous-réseau existant dans votre VPC en fonction du type d'adresse IP configuré pour le domaine. Si votre domaine utilise un type d'adresse IPv4 uniquement, utilisez un sous-réseau IPv4 uniquement. Si votre domaine utilise le mode double pile, utilisez un sous-réseau à double pile.