Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Lancer vos domaines Amazon OpenSearch Service au sein d'un VPC

PDF
RSS
Mode de mise au point
Lancer vos domaines Amazon OpenSearch Service au sein d'un VPC - Amazon OpenSearch Service
VPCpar rapport aux domaines publicsLimitesArchitecture

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vous pouvez lancer AWS des ressources, telles que des domaines Amazon OpenSearch Service, dans un cloud privé virtuel (VPC). A VPC est un réseau virtuel dédié à votre Compte AWS. Il est logiquement isolé des autres réseaux virtuels dans le cloud AWS . Le placement d'un domaine de OpenSearch service au sein d'un VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein de celui-ci VPC sans avoir besoin d'une passerelle Internet, d'un NAT appareil ou d'une VPN connexion. Tout le trafic reste sécurisé dans le AWS cloud.

Note

Si vous placez votre domaine de OpenSearch service dans unVPC, votre ordinateur doit pouvoir se connecter auVPC. Cette connexion prend souvent la forme d'une passerelle de transitVPN, d'un réseau géré ou d'un serveur proxy. Vous ne pouvez pas accéder directement à vos domaines depuis l'extérieur duVPC.

VPCpar rapport aux domaines publics

Voici certaines des différences entre les VPC domaines et les domaines publics. Chaque différence est décrite de façon plus détaillée par la suite.

  • En raison de leur isolation logique, les domaines situés au sein d'un VPC disposent d'une couche de sécurité supplémentaire par rapport aux domaines utilisant des points de terminaison publics.

  • Alors que les domaines publics sont accessibles depuis n'importe quel appareil connecté à Internet, VPC les domaines nécessitent une forme VPN ou un proxy.

  • Par rapport aux domaines publics, VPC les domaines affichent moins d'informations dans la console. En particulier, l'onglet État du cluster n'inclut pas d'informations sur les partitions et l'onglet Index n'est pas présent.

  • Les points de terminaison du domaine prennent différentes formes (https://search-domain-name contre https://vpc-domain-name).

  • Vous ne pouvez pas appliquer de politiques d'accès basées sur l'adresse IP aux domaines situés au sein d'un, VPC car les groupes de sécurité appliquent déjà des politiques d'accès basées sur l'adresse IP.

Limites

L'exploitation d'un domaine de OpenSearch service au sein de VPC a présente les limites suivantes :

  • Si vous lancez un nouveau domaine au sein d'unVPC, vous ne pourrez pas le changer ultérieurement pour utiliser un point de terminaison public. L'inverse est également vrai : si vous créez un domaine avec un point de terminaison public, vous ne pourrez pas le placer ultérieurement dans unVPC. Au lieu de cela, vous devez créer un nouveau domaine et migrer vos données.

  • Vous pouvez lancer votre domaine dans un point de terminaison public VPC ou utiliser un point de terminaison public, mais vous ne pouvez pas faire les deux. Vous devez choisir l'un ou l'autre lorsque vous créez votre domaine.

  • Vous ne pouvez pas lancer votre domaine dans un domaine VPC qui utilise une location dédiée. Vous devez utiliser un VPC avec une location définie sur Par défaut.

  • Une fois que vous avez placé un domaine dans unVPC, vous ne pouvez pas le déplacer vers un autreVPC, mais vous pouvez modifier les paramètres des sous-réseaux et des groupes de sécurité.

  • Pour accéder à l'installation par défaut des OpenSearch tableaux de bord pour un domaine situé dans unVPC, les utilisateurs doivent avoir accès auVPC. Ce processus varie en fonction de la configuration du réseau, mais implique probablement la connexion à un réseau géré VPN ou l'utilisation d'un serveur proxy ou d'une passerelle de transit. Pour en savoir plusÀ propos des politiques d'accès aux VPC domaines, consultez le guide de VPC l'utilisateur Amazon etContrôle de l'accès aux tableaux de bord .

Architecture

À des fins d'assistanceVPCs, OpenSearch Service place un point de terminaison dans un, deux ou trois sous-réseaux de votreVPC. Si vous activez plusieurs zones de disponibilité pour votre domaine, chaque sous-réseau doit se trouver dans une zone de disponibilité différente de la même région. Si vous n'utilisez qu'une seule zone de disponibilité, le OpenSearch service place un point de terminaison dans un seul sous-réseau.

L'illustration suivante montre l'VPCarchitecture d'une zone de disponibilité :

VPC architecture showing subnet with security group connecting to OpenSearch Service data nodes.

L'illustration suivante montre l'VPCarchitecture de deux zones de disponibilité :

VPC architecture with two Availability Zones, showing security groups, data nodes, and master nodes.

OpenSearch Le service place également une elastic network interface (ENI) dans chacun VPC de vos nœuds de données. OpenSearch Le service attribue à chacun ENI une adresse IP privée issue de la plage d'IPv4adresses de votre sous-réseau. Le service attribue également un DNS nom d'hôte public (qui est le point de terminaison du domaine) pour les adresses IP. Vous devez utiliser un DNS service public pour attribuer au point de terminaison (qui est un DNS nom d'hôte) les adresses IP appropriées pour les nœuds de données :

  • Si vous utilisez VPC le DNS serveur fourni par Amazon en définissant l'enableDnsSupportoption sur true (valeur par défaut), la résolution du point de terminaison du OpenSearch service aboutira.

  • Si vous utilisez VPC un DNS serveur privé et que le serveur peut accéder aux DNS serveurs publics faisant autorité pour résoudre les DNS noms d'hôtes, la résolution du point de terminaison du OpenSearch service aboutira également.

Dans la mesure où les adresses IP peuvent changer, vous devez résoudre le point de terminaison du domaine régulièrement afin de pouvoir toujours accéder aux nœuds de données corrects. Nous vous recommandons de définir l'intervalle de DNS résolution sur une minute. Si vous utilisez un client, vous devez également vous assurer que le DNS cache du client est vidé.

Migration de l'accès public à l'accès VPC

Lorsque vous créez un domaine, vous spécifiez s'il doit avoir un point de terminaison public ou résider dans unVPC. Une fois le domaine créé, vous ne pouvez pas passer de l'un à l'autre. Au lieu de cela, vous devez créer un nouveau domaine et réindexer ou migrer vos données manuellement. Les instantanés constituent un moyen simple de migrer vos données. Pour plus d'informations sur la prise d'instantanés et leur restauration, consultez Création d'instantanés d'index dans Amazon Service OpenSearch .

À propos des politiques d'accès aux VPC domaines

Le fait de placer votre domaine de OpenSearch service au sein d'un VPC fournit une couche de sécurité intrinsèque et solide. Lorsque vous créez un domaine avec un accès public, le point de terminaison prend la forme suivante :

https://search-domain-name-identifier.region.es.amazonaws.com

Comme l'étiquette « public » l'indique, ce point de terminaison est accessible à partir de n'importe quel appareil connecté à Internet, même si vous pouvez (et devriez) en contrôler l'accès. Si vous accédez au point de terminaison via un navigateur Web, il est possible que vous receviez un message Not Authorized, mais la demande atteindra le domaine.

Lorsque vous créez un domaine avec VPC accès, le point de terminaison ressemble à un point de terminaison public :

https://vpc-domain-name-identifier.region.es.amazonaws.com

toutefois, si vous essayez d'accéder au point de terminaison via un navigateur Web, vous verrez peut-être la demande expirer. Pour effectuer des GET requêtes, même les plus basiques, votre ordinateur doit être en mesure de se connecter auVPC. Cette connexion prend souvent la forme d'une passerelle de transitVPN, d'un réseau géré ou d'un serveur proxy. Pour plus de détails sur les différentes formes qu'il peut prendre, consultez les VPC exemples du guide de VPC l'utilisateur Amazon. Pour bénéficier d'un exemple centré sur le développement, consultez VPCDomaines de test.

Outre cette exigence de connectivité, vous pouvez VPCs gérer l'accès au domaine par le biais de groupes de sécurité. Dans de nombreux cas d'utilisation, cette combinaison de fonctions de sécurité est suffisante, et vous pouvez sans problème appliquer une stratégie d'accès ouverte au domaine.

Le fait de fonctionner avec une politique d'accès ouvert ne signifie pas que n'importe qui sur Internet peut accéder au domaine du OpenSearch Service. Cela signifie plutôt que si une demande atteint le domaine de OpenSearch service et que les groupes de sécurité associés l'autorisent, le domaine accepte la demande. La seule exception est si vous utilisez un contrôle d'accès précis ou une politique d'accès qui spécifie IAM les rôles. Dans ces différentes situations, pour que le domaine accepte une demande, les groupes de sécurité doivent l'autoriser et la demande doit être signée avec des informations d'identification valides.

Note

Étant donné que les groupes de sécurité appliquent déjà des politiques d'accès basées sur l'adresse IP, vous ne pouvez pas appliquer de politiques d'accès basées sur l'adresse IP aux domaines de OpenSearch service situés dans un. VPC Si vous utilisez un accès public, les stratégies basées sur l'adresse IP sont toujours disponibles.

Avant de commencer : conditions d'accès VPC

Avant de pouvoir activer une connexion entre un domaine de service VPC et votre nouveau domaine de OpenSearch service, vous devez effectuer les opérations suivantes :

  • Créez un VPC

    Pour créer votreVPC, vous pouvez utiliser la VPC console Amazon AWS CLI, le ou l'un des AWS SDKs. Pour plus d'informations, consultez la section Travailler avec VPCs dans le guide de VPC l'utilisateur Amazon. Si vous en avez déjà unVPC, vous pouvez ignorer cette étape.

  • Réserver des adresses IP

    OpenSearch Le service permet de connecter un VPC à un domaine en plaçant des interfaces réseau dans un sous-réseau duVPC. Chaque interface réseau est associée à une adresse IP. Vous devez réserver un nombre suffisant d'adresses IP dans le sous-réseau pour les interfaces réseau. Pour plus d'informations, consultez la section Réservation d'adresses IP dans un VPC sous-réseau.

VPCDomaines de test

La sécurité renforcée d'un VPC peut compliquer la connexion à votre domaine et l'exécution de tests de base. Si vous possédez déjà un VPC domaine OpenSearch de service et que vous préférez ne pas créer de VPN serveur, essayez la procédure suivante :

  1. Pour la stratégie d'accès de votre domaine, choisissez Only use fine-grained access control (Utiliser uniquement le contrôle précis des accès). Vous pouvez toujours mettre à jour ce paramètre après avoir fini les tests.

  2. Créez une EC2 instance Amazon Amazon Linux dans le même VPC sous-réseau et le même groupe de sécurité que votre domaine OpenSearch de service.

    Comme cette instance est conçue à des fins de test et n'a besoin d'effectuer que très peu de tâches, choisissez un type d'instance peu coûteux comme t2.micro. Attribuez à l'instance une adresse IP publique et créez une nouvelle paire de clés ou choisissez-en une déjà existante. Si vous créez une nouvelle clé, téléchargez-la dans votre répertoire ~/.ssh.

    Pour en savoir plus sur la création d'instances, consultez Getting started with Amazon EC2 Linux instances.

  3. Ajoutez une passerelle Internet à votreVPC.

  4. Dans la table de routage de votreVPC, ajoutez un nouvel itinéraire. Pour Destination, spécifiez un CIDRbloc contenant l'adresse IP publique de votre ordinateur. Pour Cible, spécifiez la passerelle Internet que vous venez de créer.

    Par exemple, vous pouvez spécifier 123.123.123.123/32 pour votre ordinateur seulement ou 123.123.123.0/24 pour une gamme d'ordinateurs.

  5. Pour le groupe de sécurité, spécifiez deux règles entrantes :

    Type Protocole Plage de ports Source
    SSH(22) TCP(6) 22 your-cidr-block
    HTTPS(443) TCP(6) 443 your-security-group-id

    La première règle vous permet d'SSHaccéder à votre EC2 instance. Le second permet à l'EC2instance de communiquer avec le domaine OpenSearch de service viaHTTPS.

  6. Depuis le terminal, exécutez la commande suivante :

    ssh -i ~/.ssh/your-key.pem ec2-user@your-ec2-instance-public-ip -N -L 9200:vpc-domain-name.region.es.amazonaws.com:443

    Cette commande crée un SSH tunnel qui transmet les demandes à https://localhost:9200 vers votre domaine OpenSearch de service via l'EC2instance. La spécification du port 9200 dans la commande simule une OpenSearch installation locale, mais utilisez le port de votre choix. OpenSearch Le service accepte uniquement les connexions via le port 80 (HTTP) ou 443 (HTTPS).

    La commande ne fournit pas de commentaires et s'exécute indéfiniment. Pour l'arrêter, appuyez sur Ctrl + C.

  7. Accédez à https://localhost:9200/_dashboards/ dans votre navigateur Web. Vous devrez peut-être accepter une exception de sécurité.

    Vous pouvez également envoyer des demandes à https://localhost:9200 en utilisant curl, Postman ou votre langage de programmation favori.

    Astuce

    Si vous rencontrez des erreurs curl en raison d'une incompatibilité de certificat, essayez l'indicateur --insecure.

Réservation d'adresses IP dans un sous-réseau VPC

OpenSearch Le service connecte un domaine à un en VPC plaçant des interfaces réseau dans un sous-réseau du VPC (ou plusieurs sous-réseaux du VPC si vous activez plusieurs zones de disponibilité). Chaque interface réseau est associée à une adresse IP. Avant de créer votre domaine de OpenSearch service, vous devez disposer d'un nombre suffisant d'adresses IP disponibles dans chaque sous-réseau pour accueillir les interfaces réseau.

Voici la formule de base : le nombre d'adresses IP que le OpenSearch service réserve dans chaque sous-réseau est trois fois supérieur au nombre de nœuds de données, divisé par le nombre de zones de disponibilité.

Exemples

  • Si un domaine possède 9 nœuds de données dans trois zones de disponibilité, le nombre d'adresses IP par sous-réseau est de 9 * 3 / 3 = 9.

  • Si un domaine possède 8 nœuds de données dans deux zones de disponibilité, le nombre d'adresses IP par sous-réseau est de 8 * 3 / 2 = 12.

  • Si un domaine possède 6 nœuds de données dans une zone de disponibilité, le nombre d'adresses IP par sous-réseau est de 6 * 3 / 1 = 18.

Lorsque vous créez le domaine, le OpenSearch Service réserve les adresses IP, en utilise certaines pour le domaine et réserve le reste aux déploiements bleu/vert. Vous pouvez voir les interfaces réseau et leurs adresses IP associées dans la section Interfaces réseau de la EC2 console Amazon. La colonne Description indique le domaine OpenSearch de service auquel l'interface réseau est associée.

Astuce

Nous vous recommandons de créer des sous-réseaux dédiés pour les adresses IP réservées au OpenSearch Service. En utilisant des sous-réseaux dédiés, vous évitez les chevauchements avec les autres applications et services et vous êtes sûr de pouvoir réserver des adresses IP supplémentaires si vous avez besoin de faire évoluer votre cluster ultérieurement. Pour en savoir plus, consultez la section Création d'un sous-réseau dans votre VPC.

Vous pouvez également envisager de fournir des nœuds de coordination dédiés afin de réduire le nombre de réservations d'adresses IP privées requises pour votre VPC domaine. OpenSearchattache une elastic network interface (ENI) à vos nœuds de coordination dédiés au lieu de vos nœuds de données. Les nœuds coordinateurs dédiés représentent généralement environ 10 % du total des nœuds de données. Par conséquent, un plus petit nombre d'adresses IP privées seront réservées aux VPC domaines.

Rôle lié à un service pour l'accès VPC

Un rôle lié à un service est un type unique de IAM rôle qui délègue des autorisations à un service afin qu'il puisse créer et gérer des ressources en votre nom. OpenSearch Le service nécessite un rôle lié au service pour accéder à votre point de terminaison de domaineVPC, créer le point de terminaison du domaine et placer des interfaces réseau dans un sous-réseau de votre. VPC

OpenSearch Le service crée automatiquement le rôle lorsque vous utilisez la console OpenSearch de service pour créer un domaine au sein d'unVPC. Pour que cette création automatique aboutisse, vous devez avoir les autorisations permettant d'effectuer l'action iam:CreateServiceLinkedRole. Pour en savoir plus, consultez la section Autorisations relatives aux rôles liés à un service dans le Guide de l'IAMutilisateur.

Une fois que OpenSearch Service a créé le rôle, vous pouvez le visualiser (AWSServiceRoleForAmazonOpenSearchService) à l'aide de la IAM console.

Pour plus d'informations sur ce rôle et la manière de le supprimer des autorisations, reportez-vous à la section Utilisation de rôles liés à un service pour Amazon Service OpenSearch .

Sur cette page

Related resources

Amazon OpenSearch Service Référence d'API
AWS CLI commandes pour Amazon OpenSearch Service
SDKs et outils 

Related resources

Amazon OpenSearch Service Référence d'API
AWS CLI commandes pour Amazon OpenSearch Service
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.