Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengkonfigurasi akses VPC untuk saluran pipa Amazon Ingestion OpenSearch
Anda dapat mengakses pipeline Amazon OpenSearch Ingestion menggunakan titik akhir VPC antarmuka. VPC adalah jaringan virtual yang didedikasikan untuk Anda. Akun AWS Ini secara logis terisolasi dari jaringan virtual lain di AWS Cloud. Mengakses pipeline melalui titik akhir VPC memungkinkan komunikasi yang aman OpenSearch antara Ingestion dan layanan lain dalam VPC tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud.
OpenSearch Ingestion menetapkan koneksi pribadi ini dengan membuat titik akhir antarmuka, yang didukung oleh. AWS PrivateLink Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda tentukan selama pembuatan pipeline. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk pipa Ingestion. OpenSearch Anda juga dapat memilih untuk membuat dan mengelola titik akhir antarmuka sendiri.
Menggunakan VPC memungkinkan Anda untuk menerapkan aliran data melalui pipa OpenSearch Ingestion Anda dalam batas-batas VPC, bukan melalui internet publik. Saluran pipa yang tidak berada dalam VPC mengirim dan menerima data melalui titik akhir yang menghadap publik dan internet.
Pipeline dengan akses VPC dapat menulis ke domain publik atau OpenSearch Layanan VPC, dan ke koleksi publik atau VPC Tanpa Server. OpenSearch
Topik
Pertimbangan
Pertimbangkan hal berikut saat Anda mengonfigurasi akses VPC untuk pipeline.
-
Pipa tidak perlu berada di VPC yang sama dengan wastafelnya. Anda juga tidak perlu membuat koneksi antara dua VPC. OpenSearch Ingestion menangani menghubungkan mereka untuk Anda.
-
Anda hanya dapat menentukan satu VPC untuk pipeline Anda.
-
Tidak seperti saluran pipa publik, pipa VPC harus Wilayah AWS sama dengan domain atau sink koleksi yang ditulisnya.
-
Anda dapat memilih untuk menyebarkan pipeline ke dalam satu, dua, atau tiga subnet VPC Anda. Subnet didistribusikan di Availability Zone yang sama dengan yang digunakan Unit OpenSearch Komputasi Ingestion (OCU) Anda.
-
Jika Anda hanya menerapkan pipeline di satu subnet dan Availability Zone turun, Anda tidak akan dapat menyerap data. Untuk memastikan ketersediaan tinggi, kami sarankan Anda mengonfigurasi saluran pipa dengan dua atau tiga subnet.
-
Menentukan grup keamanan adalah opsional. Jika Anda tidak menyediakan grup keamanan, OpenSearch Ingestion menggunakan grup keamanan default yang ditentukan dalam VPC.
Batasan
Saluran pipa dengan akses VPC memiliki keterbatasan sebagai berikut.
-
Anda tidak dapat mengubah konfigurasi jaringan pipeline setelah Anda membuatnya. Jika Anda meluncurkan pipeline dalam VPC, Anda nantinya tidak dapat mengubahnya menjadi titik akhir publik, dan sebaliknya.
-
Anda dapat meluncurkan pipeline dengan titik akhir VPC antarmuka atau titik akhir publik, tetapi Anda tidak dapat melakukan keduanya. Anda harus memilih satu atau yang lain ketika Anda membuat pipa.
-
Setelah menyediakan pipeline dengan akses VPC, Anda tidak dapat memindahkannya ke VPC lain, dan Anda tidak dapat mengubah subnet atau pengaturan grup keamanannya.
-
Jika pipeline Anda menulis ke domain atau sink koleksi yang menggunakan akses VPC, Anda tidak dapat kembali lagi nanti dan mengubah wastafel (VPC atau publik) setelah pipeline dibuat. Anda harus menghapus dan membuat ulang pipa dengan wastafel baru. Anda masih dapat beralih dari wastafel umum ke wastafel dengan akses VPC.
-
Anda tidak dapat memberikan akses konsumsi lintas akun ke pipeline VPC.
Prasyarat
Sebelum Anda dapat menyediakan pipeline dengan akses VPC, Anda harus melakukan hal berikut:
-
Buat VPC
Untuk membuat VPC, Anda dapat menggunakan konsol VPC Amazon, AWS CLI, atau salah satu SDK. AWS Untuk informasi lebih lanjut, lihat Bekerja dengan VPC di Panduan Pengguna Amazon VPC. Jika Anda sudah memiliki VPC, Anda dapat melewati langkah ini.
-
Cadangan alamat IP
OpenSearch Ingestion menempatkan elastic network interface di setiap subnet yang Anda tentukan selama pembuatan pipeline. Setiap antarmuka jaringan dikaitkan dengan alamat IP. Anda harus memesan satu alamat IP per subnet untuk antarmuka jaringan.
Mengkonfigurasi akses VPC untuk pipeline
Anda dapat mengaktifkan akses VPC untuk pipeline dalam konsol OpenSearch Layanan atau menggunakan. AWS CLI
Anda mengonfigurasi akses VPC selama pembuatan pipeline. Di bawah Jaringan, pilih akses VPC dan konfigurasikan pengaturan berikut:
| Pengaturan | Deskripsi |
|---|---|
| Manajemen titik akhir |
Pilih apakah Anda ingin membuat titik akhir VPC sendiri, atau minta OpenSearch Ingestion membuatnya untuk Anda. |
| VPC |
Pilih ID virtual private cloud (VPC) yang ingin Anda gunakan. VPC dan pipeline harus sama. Wilayah AWS |
| Subnet |
Pilih satu atau lebih subnet. OpenSearch Layanan akan menempatkan titik akhir VPC dan antarmuka jaringan elastis di subnet. |
| Grup keamanan |
Pilih satu atau beberapa grup keamanan VPC yang memungkinkan aplikasi Anda mencapai pipeline OpenSearch Ingestion pada port (80 atau 443) dan protokol (HTTP atau HTTPS) yang diekspos oleh pipeline. |
| Opsi lampiran VPC |
Jika sumber Anda adalah titik akhir yang dikelola sendiri, lampirkan pipeline Anda ke VPC. Pilih salah satu opsi CIDR default yang disediakan, atau gunakan CIDR khusus. |
Untuk mengkonfigurasi akses VPC menggunakan AWS CLI, tentukan parameter: --vpc-options
aws osis create-pipeline \ --pipeline-namevpc-pipeline\ --min-units 4 \ --max-units 10 \ --vpc-options SecurityGroupIds={sg-12345678,sg-9012345},SubnetIds=subnet-1212234567834asdf\ --pipeline-configuration-body "file://pipeline-config.yaml"
Titik akhir VPC yang dikelola sendiri
Saat membuat pipeline, Anda dapat menggunakan manajemen titik akhir untuk membuat pipeline dengan titik akhir yang dikelola sendiri atau titik akhir yang dikelola layanan. Manajemen titik akhir bersifat opsional, dan default ke titik akhir yang dikelola oleh Ingestion. OpenSearch
Untuk membuat pipeline dengan titik akhir VPC yang dikelola sendiri di AWS Management Console, lihat Membuat pipeline dengan konsol Layanan. OpenSearch Untuk membuat pipeline dengan titik akhir VPC yang dikelola sendiri di, Anda dapat menggunakan parameter dalam AWS CLI perintah --vpc-options create-pipeline:
--vpc-options SubnetIds=subnet-abcdef01234567890,VpcEndpointManagement=CUSTOMER
Anda dapat membuat sendiri endpoint ke pipeline saat menentukan layanan endpoint. Untuk menemukan layanan endpoint Anda, gunakan perintah get-pipeline, yang menampilkan respons yang mirip dengan berikut ini:
"vpcEndpointService" : "com.amazonaws.osis.us-east-1.pipeline-id-1234567890abcdef1234567890", "vpcEndpoints" : [ { "vpcId" : "vpc-1234567890abcdef0", "vpcOptions" : { "subnetIds" : [ "subnet-abcdef01234567890", "subnet-021345abcdef6789" ], "vpcEndpointManagement" : "CUSTOMER" } }
Gunakan vpcEndpointService dari respons untuk membuat titik akhir VPC dengan atau. AWS Management Console AWS CLI
Jika Anda menggunakan endpoint VPC yang dikelola sendiri, Anda harus mengaktifkan atribut DNS enableDnsSupport dan enableDnsHostnames di VPC Anda. Perhatikan bahwa jika Anda memiliki pipeline dengan titik akhir yang dikelola sendiri yang Anda hentikan dan restart, Anda harus membuat ulang titik akhir VPC di akun Anda.
Peran yang terhubung dengan layanan untuk akses VPC
Peran yang terhubung dengan layanan adalah tipe IAM role unik yang mendelegasikan izin untuk layanan sehingga dapat membuat dan mengelola sumber daya atas nama Anda. Jika Anda memilih titik akhir VPC yang dikelola layanan, OpenSearch Ingestion memerlukan peran terkait layanan yang dipanggil AWSServiceRoleForAmazonOpenSearchIngestionServiceuntuk mengakses VPC Anda, membuat titik akhir pipeline, dan menempatkan antarmuka jaringan di subnet VPC Anda.
Jika Anda memilih titik akhir VPC yang dikelola sendiri OpenSearch , Ingestion memerlukan peran terkait layanan yang disebut. AWSServiceRoleForOpensearchIngestionSelfManagedVpce Untuk informasi selengkapnya tentang peran ini, izinnya, dan cara menghapusnya, lihatMenggunakan peran terkait layanan untuk membuat OpenSearch saluran pipa Ingestion.
OpenSearch Ingestion secara otomatis membuat peran saat Anda membuat pipeline konsumsi. Agar pembuatan otomatis ini berhasil, pengguna yang membuat pipeline pertama di akun harus memiliki izin untuk iam:CreateServiceLinkedRole tindakan tersebut. Untuk mempelajari selengkapnya, lihat Izin peran terkait layanan di Panduan Pengguna IAM. Anda dapat melihat peran di konsol AWS Identity and Access Management (IAM) setelah dibuat.
