Utilizzo di dashboard (in co-locazione con il cluster) con Amazon Service OpenSearch

Dashboards (collocato insieme al cluster) è uno strumento di visualizzazione open source progettato per funzionare con. OpenSearch Amazon OpenSearch Service fornisce un'installazione di dashboard con ogni dominio OpenSearch di servizio. Le dashboard vengono eseguite sugli hot data node del dominio. Se stai cercando documentazione sulla nuova interfaccia OpenSearch utente centralizzata che supporta più fonti di dati su un unico endpoint, consulta OpenSearch Interfaccia utente centralizzata (dashboard).

Puoi trovare un collegamento a Dashboards nella dashboard del tuo dominio nella console di servizio. OpenSearch Per i domini in esecuzione OpenSearch, èURL. domain-endpoint/_dashboards/ Per i domini che eseguono Elasticsearch legacy, è. URL domain-endpoint/_plugin/kibana

Le query che utilizzano questa installazione predefinita di Dashboards hanno un timeout di 300 secondi.

Nota

Questa documentazione descrive le dashboard nel contesto di Amazon OpenSearch Service, inclusi i diversi modi per connettersi ad esso. Per una documentazione completa, tra cui una guida introduttiva, istruzioni per creare una dashboard, la gestione delle dashboard e Dashboards Query Language (DQL), consulta OpenSearch Dashboards nella documentazione open source. OpenSearch

Controllo dell'accesso ai pannelli di controllo

Dashboards non supporta in modo nativo IAM utenti e ruoli, ma OpenSearch Service offre diverse soluzioni per controllare l'accesso alle dashboard:

• Abilita l'SAMLautenticazione per le dashboard.

• Utilizza un controllo granulare degli accessi con l'autenticazione di base. HTTP

• Configura l'autenticazione Cognito per Dashboards.

• Per i domini ad accesso pubblico, configurare una policy di accesso basata su IP, che utilizzi o meno un server proxy.

• Per i domini di VPC accesso, utilizza una politica di accesso aperto che utilizzi o meno un server proxy e gruppi di sicurezza per controllare l'accesso. Per ulteriori informazioni, consulta Informazioni sulle politiche di accesso sui domini VPC.

Utilizzo di un proxy per accedere a OpenSearch Service from Dashboards

Nota

Questo processo è valido solo se il dominio usa l'accesso pubblico e non vuoi usare l'autenticazione Cognito. Per informazioni, consulta Controllo dell'accesso ai pannelli di controllo .

Poiché Dashboards è un' JavaScript applicazione, le richieste provengono dall'indirizzo IP dell'utente. Il controllo degli accessi basato su IP può essere poco pratico a causa del numero elevato di indirizzi IP che sarebbe necessario includere nella whitelist perché ogni utente possa accedere a Dashboards. Una soluzione alternativa consiste nel posizionare un server proxy tra Dashboards e Service. OpenSearch È quindi possibile aggiungere una policy d'accesso basata su IP che accetta le richieste provenienti da un solo indirizzo IP, quello del proxy. Il seguente diagramma mostra questa configurazione.

1. Questo è il tuo dominio di OpenSearch servizio. IAMfornisce l'accesso autorizzato a questo dominio. Un'ulteriore policy d'accesso basata su IP permette l'accesso al server proxy.

2. Questo è il server proxy, in esecuzione su un'EC2istanza Amazon.

3. Altre applicazioni possono utilizzare il processo di firma Signature Version 4 per inviare richieste autenticate al OpenSearch Servizio.

4. I client Dashboards si connettono al dominio OpenSearch di servizio dell'utente tramite il proxy.

Per abilitare questo tipo di configurazione, è necessaria una policy basata su risorse che specifica i ruoli e gli indirizzi IP. Ecco una policy di esempio:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Resource":"arn:aws:es:us-west-2:111111111111:domain/my-domain/*",
         "Principal":{
            "AWS":"arn:aws:iam::111111111111:role/allowedrole1"
         },
         "Action":[
            "es:ESHttpGet"
         ],
         "Effect":"Allow"
      },
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":"*"
         },
         "Action":"es:*",
         "Condition":{
            "IpAddress":{
               "aws:SourceIp":[
                  "203.0.113.0/24",
                  "2001:DB8:1234:5678::/64"
               ]
            }
         },
         "Resource":"arn:aws:es:us-west-2:111111111111:domain/my-domain/*"
      }
   ]
}

Ti consigliamo di configurare l'EC2istanza su cui è in esecuzione il server proxy con un indirizzo IP elastico. In questo modo, puoi sostituire l'istanza quando necessario e collegarvi comunque lo stesso indirizzo IP pubblico. Per ulteriori informazioni, consulta Elastic IP Addresses nella Amazon EC2 User Guide.

Se si utilizza un server proxy e l'autenticazione Cognito, potrebbe essere necessario dover aggiungere impostazioni per Dashboards e Amazon Cognito in modo da evitare errori redirect_mismatch. Fai riferimento al file nginx.conf di esempio seguente:

server {
    listen 443;
    server_name $host;
    rewrite ^/$ https://$host/_plugin/_dashboards redirect;

    ssl_certificate           /etc/nginx/cert.crt;
    ssl_certificate_key       /etc/nginx/cert.key;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    location /_plugin/_dashboards {
        # Forward requests to Dashboards
        proxy_pass https://$dashboards_host/_plugin/_dashboards;

        # Handle redirects to Cognito
        proxy_redirect https://$cognito_host https://$host;

        # Update cookie domain and path
        proxy_cookie_domain $dashboards_host $host;
        proxy_cookie_path / /_plugin/_dashboards/;

        # Response buffer settings
        proxy_buffer_size 128k;
        proxy_buffers 4 256k;
        proxy_busy_buffers_size 256k;
    }

    location ~ \/(log|sign|fav|forgot|change|saml|oauth2) {
        # Forward requests to Cognito
        proxy_pass https://$cognito_host;

        # Handle redirects to Dashboards
        proxy_redirect https://$dashboards_host https://$host;

        # Update cookie domain
        proxy_cookie_domain $cognito_host $host;
    }
}

Nota

(Facoltativo) Se scegli di fornire un nodo coordinatore dedicato, questo inizierà automaticamente a ospitare le OpenSearch dashboard. Di conseguenza, aumenta la disponibilità delle risorse dei nodi dati, ad esempio CPU la memoria. Questa maggiore disponibilità di risorse dei nodi di dati può contribuire a migliorare la resilienza complessiva del dominio.

Configurazione delle dashboard per l'utilizzo di un server di mappe WMS

L'installazione predefinita di Dashboards for OpenSearch Service include un servizio di mappe, ad eccezione dei domini nelle regioni India e Cina. Il servizio di mappe supporta fino a 10 livelli di zoom.

Indipendentemente dalla regione, puoi configurare le dashboard per utilizzare un server Web Map Service (WMS) diverso per le visualizzazioni delle mappe di coordinate. Le visualizzazioni delle mappe regionali supportano solo il servizio mappe predefinito.

Per configurare le dashboard per l'utilizzo di un server di mappe: WMS

1. Aprire Dashboards.

2. Scegliere Gestione stack.

3. Scegliere Advanced Settings (Impostazioni avanzate).

4. Individua la visualizzazione:: tileMap. WMSdefaults

5. Passa enabled da true e url verso un server URL di WMS mappe valido:

   {
     "enabled": true,
     "url": "wms-server-url",
     "options": {
       "format": "image/png",
       "transparent": true
     }
   }

6. Scegli Save changes (Salva modifiche).

Per applicare il nuovo valore di default alle visualizzazioni, potrebbe essere necessario ricaricare Dashboards. Se sono state salvate le visualizzazioni, scegli Opzioni dopo aver aperto la visualizzazione. Verifica che il server delle WMS mappe sia abilitato e che WMSl'URL contenga il server di mappe preferito, quindi scegli Applica modifiche.

Nota

I servizi mappe spesso prevedono costi di licenza o limitazioni. Sei responsabile di tutti questi aspetti per qualsiasi server di mappe che specifichi. Potresti trovare utile provare i servizi mappe di U.S. Geological Survey.

Connessione di un server Dashboards locale al servizio OpenSearch

Se hai già investito molto tempo nella configurazione della tua istanza Dashboards, puoi utilizzarla al posto (o in aggiunta) all'istanza Dashboards predefinita fornita dal Servizio. OpenSearch La procedura seguente funziona per i domini che utilizzano il controllo granulare degli accessi con una policy di accesso aperto.

Per connettere un server Dashboards locale al servizio OpenSearch

1. Nel tuo dominio OpenSearch di servizio, crea un utente con le autorizzazioni appropriate:

   1. In Dashboards, passare a Sicurezza, Utenti interni, quindi scegliere Crea un utente interno.

   2. Fornire nome utente e password e scegliere Crea.

   3. Passare a Ruoli e selezionare un ruolo.

   4. Selezionare Utenti mappati e scegliere Gestisci mappatura.

   5. In Utenti, aggiungere il nome utente e scegliere Mappa.

2. Scarica e installa la versione appropriata del plug-in di OpenSearch sicurezza nell'installazione di OSS Dashboards autogestita.

3. Sul server Dashboards locale, apri il config/opensearch_dashboards.yml file e aggiungi l'endpoint del OpenSearch servizio con il nome utente e la password che hai creato in precedenza:

   opensearch.hosts: ['https://domain-endpoint']
   opensearch.username: 'username'
   opensearch.password: 'password'

   È possibile utilizzare il seguente file opensearch_dashboards.yml di esempio:

   server.host: '0.0.0.0'
   
   opensearch.hosts: ['https://domain-endpoint']
   
   opensearchDashboards.index: ".username"
   
   opensearch.ssl.verificationMode: none # if not using HTTPS
   
   opensearch_security.auth.type: basicauth
   opensearch_security.auth.anonymous_auth_enabled: false
   opensearch_security.cookie.secure: false # set to true when using HTTPS
   opensearch_security.cookie.ttl: 3600000
   opensearch_security.session.ttl: 3600000
   opensearch_security.session.keepalive: false
   opensearch_security.multitenancy.enabled: false
   opensearch_security.readonly_mode.roles: ['opensearch_dashboards_read_only']
   opensearch_security.auth.unauthenticated_routes: []
   opensearch_security.basicauth.login.title: 'Please log in using your username and password'
   
   opensearch.username: 'username'
   opensearch.password: 'password'
   opensearch.requestHeadersWhitelist: [authorization, securitytenant, security_tenant]

Per visualizzare gli indici OpenSearch del servizio, avvia il server Dashboards locale, vai su Dev Tools ed esegui il seguente comando:

GET _cat/indices

Gestione degli indici nelle dashboard

L'installazione di Dashboards sul dominio di OpenSearch servizio fornisce un'interfaccia utente utile per la gestione degli indici in diversi livelli di storage del dominio. Scegli Index Management dal menu principale del pannello di controllo per visualizzare tutti gli indici nelle aree di archiviazione a caldo e a freddo UltraWarm, nonché gli indici gestiti dalle politiche di Index State Management (). ISM Utilizza la gestione degli indici per spostarli tra l'archiviazione a caldo e a freddo e per monitorare le migrazioni tra i tre livelli.

Tieni presente che non vedrai le opzioni degli indici caldi, caldi e freddi a meno che tu non abbia abilitato e/o abilitato la conservazione a freddo. UltraWarm

Funzionalità aggiuntive

L'installazione predefinita di Dashboards in ogni dominio OpenSearch di servizio presenta alcune funzionalità aggiuntive:

• Interfacce utente per i vari plugin OpenSearch

• Tenant

• Report

  Utilizza il menu Reporting per generare CSV report su richiesta dalla pagina Discover PDF e/o PNG report di dashboard o visualizzazioni. CSVi report hanno un limite di 10.000 righe.

• Grafici Gantt

• Notebook