Avvio dei domini Amazon OpenSearch Service all'interno di un VPC - OpenSearch Servizio Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Avvio dei domini Amazon OpenSearch Service all'interno di un VPC

Puoi lanciare AWS risorse, come i domini Amazon OpenSearch Service, in un cloud privato virtuale (VPC). A VPC è una rete virtuale dedicata al tuo Account AWS. È logicamente isolato dalle altre reti virtuali in AWS Cloud. L'inserimento di un dominio di OpenSearch servizio all'interno VPC di consente una comunicazione sicura tra il OpenSearch Servizio e altri servizi all'interno del sistema VPC senza la necessità di un gateway, un NAT dispositivo o una VPN connessione Internet. Tutto il traffico rimane in modo sicuro all'interno di AWS Cloud.

Nota

Se inserisci il tuo dominio OpenSearch di servizio in unVPC, il tuo computer deve essere in grado di connettersi aVPC. Questa connessione assume spesso la forma di un gateway di transitoVPN, una rete gestita o un server proxy. Non puoi accedere direttamente ai tuoi domini dall'esterno diVPC.

VPCrispetto ai domini pubblici

Di seguito sono riportati alcuni dei modi in cui i VPC domini differiscono dai domini pubblici. Ogni differenza è descritta più avanti in modo più dettagliato.

  • A causa del loro isolamento logico, i domini che risiedono all'interno di VPC hanno un ulteriore livello di sicurezza rispetto ai domini che utilizzano endpoint pubblici.

  • Sebbene i domini pubblici siano accessibili da qualsiasi dispositivo connesso a Internet, VPC i domini richiedono una qualche forma di proxy. VPN

  • Rispetto ai domini pubblici, i domini visualizzano meno informazioni nella VPC console. In particolare, la scheda Integrità del cluster non include le informazioni sulle partizioni e la scheda Indici non è presente.

  • Gli endpoint del dominio assumono forme diverse (https://search-domain-name e https://vpc-domain-name).

  • Non è possibile applicare politiche di accesso basate su IP ai domini che risiedono all'interno di un VPC perché i gruppi di sicurezza applicano già politiche di accesso basate su IP.

Limitazioni

La gestione di un dominio di OpenSearch servizio all'interno di a presenta le seguenti limitazioniVPC:

  • Se avvii un nuovo dominio all'interno di unVPC, non potrai in seguito passare a un endpoint pubblico. Vale anche il contrario: se crei un dominio con un endpoint pubblico, non puoi collocarlo successivamente all'interno di un. VPC Devi invece creare un nuovo dominio ed eseguire la migrazione dei dati.

  • Puoi avviare il tuo dominio all'interno di un VPC o utilizzare un endpoint pubblico, ma non puoi fare entrambe le cose. Al momento della creazione di un dominio, devi scegliere una delle due opzioni.

  • Non puoi lanciare il tuo dominio all'interno di un dominio VPC che utilizza una locazione dedicata. È necessario utilizzare una licenza VPC con tenancy impostata su Default.

  • Dopo aver inserito un dominio all'interno di unVPC, non è possibile spostarlo in un altroVPC, ma è possibile modificare le impostazioni delle sottoreti e dei gruppi di sicurezza.

  • Per accedere all'installazione predefinita di OpenSearch Dashboard per un dominio che si trova all'interno di unVPC, gli utenti devono avere accesso a. VPC Questo processo varia in base alla configurazione di rete, ma probabilmente implica la connessione a una rete o a una rete gestita VPN o l'utilizzo di un server proxy o di un gateway di transito. Per ulteriori informazioniInformazioni sulle politiche di accesso sui domini VPC, consulta la Amazon VPC User Guide eControllo dell'accesso ai dashboard OpenSearch .

Architettura

Per fornire assistenzaVPCs, OpenSearch Service colloca un endpoint in una, due o tre sottoreti del tuo. VPC Se si attivano più zone di disponibilità per il dominio, ogni sottorete deve trovarsi in una zona di disponibilità diversa nella stessa area. Se si utilizza una sola zona di disponibilità, OpenSearch Service colloca un endpoint in una sola sottorete.

L'illustrazione seguente mostra l'VPCarchitettura di una zona di disponibilità:

VPC architecture showing subnet with security group connecting to OpenSearch Service data nodes.

L'illustrazione seguente mostra l'VPCarchitettura di due zone di disponibilità:

VPC architecture with two Availability Zones, showing security groups, data nodes, and master nodes.

OpenSearch Il servizio inserisce anche un'interfaccia di rete elastica (ENI) VPC per ciascuno dei nodi di dati. OpenSearch Il servizio assegna ENI a ciascuno un indirizzo IP privato dall'intervallo di IPv4 indirizzi della sottorete. Il servizio assegna anche un DNS nome host pubblico (che è l'endpoint del dominio) per gli indirizzi IP. È necessario utilizzare un DNS servizio pubblico per risolvere l'endpoint (che è un DNS nome host) negli indirizzi IP appropriati per i nodi di dati:

  • Se VPC utilizzi il DNS server fornito da Amazon impostando l'enableDnsSupportopzione su true (il valore predefinito), la risoluzione per l'endpoint del OpenSearch servizio avrà esito positivo.

  • Se VPC utilizzi un DNS server privato e il server può raggiungere i DNS server autorevoli pubblici per risolvere i DNS nomi host, anche la risoluzione per l'endpoint del OpenSearch servizio avrà esito positivo.

Poiché gli indirizzi IP possono cambiare, è necessario risolvere l'endpoint del dominio periodicamente, in modo che sia sempre possibile accedere ai nodi di dati corretti. Si consiglia di impostare l'intervallo di DNS risoluzione su un minuto. Se utilizzi un client, devi anche assicurarti che la DNS cache del client venga cancellata.

Migrazione dall'accesso pubblico all'accesso VPC

Quando crei un dominio, specifichi se deve avere un endpoint pubblico o risiedere all'interno di un. VPC Una volta completata la creazione, non è possibile passare da un'opzione all'altra. Devi invece creare un nuovo dominio e reindicizzare manualmente i dati o eseguirne la migrazione. Gli snapshot offrono una semplice modalità di migrazione dei dati. Per informazioni su come acquisire e ripristinare gli snapshot, consulta Creazione di istantanee dell'indice in Amazon Service OpenSearch .

Informazioni sulle politiche di accesso sui domini VPC

L'inserimento del dominio OpenSearch di servizio all'interno di un VPC fornisce un livello di sicurezza intrinseco e robusto. Quando crei un dominio con accesso pubblico, l'endpoint ha il formato seguente:

https://search-domain-name-identifier.region.es.amazonaws.com

Come suggerisce l'etichetta "pubblico", questo endpoint è accessibile da qualsiasi dispositivo connesso a Internet, anche se è possibile (e necessario) controllare l'accesso. Se accedi all'endpoint in un Web browser, potrebbe venire visualizzato un messaggio Not Authorized, ma la richiesta raggiunge il dominio.

Quando crei un dominio con VPC accesso, l'endpoint è simile a un endpoint pubblico:

https://vpc-domain-name-identifier.region.es.amazonaws.com

Se provi ad accedere all'endpoint in un Web browser, tuttavia, si potrebbe verificare il timeout della richiesta. Per eseguire anche GET le richieste di base, il computer deve essere in grado di connettersi a. VPC Questa connessione assume spesso la forma di un gateway di transitoVPN, una rete gestita o un server proxy. Per i dettagli sui vari moduli che può assumere, consulta gli esempi contenuti VPC nella Amazon VPC User Guide. Per un esempio relativo allo sviluppo consulta Domini di test VPC.

Oltre a questo requisito di connettività, VPCs ti consente di gestire l'accesso al dominio tramite gruppi di sicurezza. Per molti casi d'uso, questa combinazione di caratteristiche di sicurezza è sufficiente e può essere appropriato applicare una policy d'accesso aperta al dominio.

Operare con una politica di accesso aperto non significa che chiunque su Internet possa accedere al dominio del OpenSearch Servizio. Significa piuttosto che se una richiesta raggiunge il dominio del OpenSearch Servizio e i gruppi di sicurezza associati lo consentono, il dominio accetta la richiesta. L'unica eccezione è se utilizzi un controllo granulare degli accessi o una politica di accesso che specifica i ruoli. IAM In questi casi, affinché il dominio accetti la richiesta, i gruppi di sicurezza devono permettere l'operazione e la richiesta deve essere firmata con credenziali valide.

Nota

Poiché i gruppi di sicurezza applicano già criteri di accesso basati su IP, non è possibile applicare criteri di accesso basati su IP ai domini di servizio che risiedono all'interno di un OpenSearch . VPC Se usi l'accesso pubblico, le policy basate su IP sono ancora disponibili.

Prima di iniziare: prerequisiti per l'accesso VPC

Prima di poter abilitare una connessione tra un VPC e il nuovo dominio di OpenSearch servizio, è necessario effettuare le seguenti operazioni:

  • Crea un VPC

    Per creare il tuoVPC, puoi utilizzare la VPC console Amazon, AWS CLI, o uno dei AWS SDKs. Per ulteriori informazioni, consulta Working with VPCs nella Amazon VPC User Guide. Se ne hai già unoVPC, puoi saltare questo passaggio.

  • Prenota indirizzi IP

    OpenSearch Il servizio consente la connessione di un VPC a un dominio inserendo le interfacce di rete in una sottorete di. VPC Ogni interfaccia di rete è associata a un indirizzo IP. È necessario riservare un numero sufficiente di indirizzi IP nella sottorete per le interfacce di rete. Per ulteriori informazioni, vedere Prenotazione degli indirizzi IP in una sottorete. VPC

Domini di test VPC

La sicurezza avanzata di a VPC può rendere difficile la connessione al tuo dominio e l'esecuzione di test di base. Se disponi già di un VPC dominio di OpenSearch servizio e preferisci non creare un VPN server, prova la procedura seguente:

  1. Per la policy di accesso del dominio, scegli Utilizza solo il controllo granulare degli accessi. È sempre possibile aggiornare questa impostazione dopo aver completato il test.

  2. Crea un'EC2istanza Amazon Amazon Linux nella stessa VPC sottorete e nello stesso gruppo di sicurezza del tuo dominio OpenSearch di servizio.

    Poiché questa istanza è a scopo di test e deve fare poco lavoro, scegliere un tipo di istanza poco costoso come t2.micro. Assegnare all'istanza un indirizzo IP pubblico e creare una nuova coppia di chiavi o sceglierne una esistente. Se si crea una nuova chiave, scaricarla nella directory ~/.ssh.

    Per ulteriori informazioni sulla creazione di istanze, consulta la sezione Guida introduttiva alle istanze Amazon EC2 Linux.

  3. Aggiungi un gateway Internet al tuo. VPC

  4. Nella tabella dei percorsi per il tuoVPC, aggiungi un nuovo percorso. Per Destinazione, specifica un CIDRblocco che contenga l'indirizzo IP pubblico del tuo computer. In Target (Destinazione), specificare il gateway Internet appena creato.

    Ad esempio, è possibile specificare solo 123.123.123.123/32 per un computer o 123.123.123.0/24 per una serie di computer.

  5. Per il gruppo di sicurezza, specificare due regole in entrata:

    Tipo Protocollo Intervallo porte Origine
    SSH(22) TCP(6) 22 your-cidr-block
    HTTPS(443) TCP(6) 443 your-security-group-id

    La prima regola ti consente di SSH accedere alla tua EC2 istanza. La seconda consente all'EC2istanza di comunicare con il dominio del OpenSearch servizio tramiteHTTPS.

  6. Dal terminale, esegui il comando seguente:

    ssh -i ~/.ssh/your-key.pem ec2-user@your-ec2-instance-public-ip -N -L 9200:vpc-domain-name.region.es.amazonaws.com:443

    Questo comando crea un SSH tunnel che inoltra le richieste a https://localhost:9200 al dominio di OpenSearch servizio dell'utente tramite l'EC2istanza. Specificando la porta 9200 nel comando si simula un' OpenSearch installazione locale, ma si può usare la porta desiderata. OpenSearch Il servizio accetta solo connessioni tramite la porta 80 (HTTP) o 443 (). HTTPS

    Il comando non fornisce alcun feedback e viene eseguito a tempo indeterminato. Per arrestarlo, premere Ctrl + C.

  7. Vai a https://localhost:9200/_dashboards/ nel tuo browser web. Potrebbe essere necessario riconoscere un'eccezione di sicurezza.

    In alternativa, è possibile inviare le richieste a https://localhost:9200 utilizzando curl, Postman o il linguaggio di programmazione preferito.

    Suggerimento

    Se si verificano errori di curl a causa di una mancata corrispondenza del certificato prova il flag --insecure.

Prenotazione degli indirizzi IP in una sottorete VPC

OpenSearch Il servizio connette un dominio a un VPC inserendo le interfacce di rete in una sottorete di VPC (o più sottoreti di VPC se si abilitano più zone di disponibilità). Ogni interfaccia di rete è associata a un indirizzo IP. Prima di creare il dominio del OpenSearch servizio, è necessario disporre di un numero sufficiente di indirizzi IP disponibili in ciascuna sottorete per ospitare le interfacce di rete.

Ecco la formula di base: il numero di indirizzi IP che OpenSearch Service riserva in ogni sottorete è tre volte il numero di nodi di dati, diviso per il numero di zone di disponibilità.

Examples (Esempi)

  • Se un dominio ha nove nodi di dati su tre zone di disponibilità, il numero di indirizzi IP per sottorete è pari a 9*3/3 = 9.

  • Se un dominio ha otto nodi di dati su due zone di disponibilità, il numero di indirizzi IP per sottorete è pari a 8*3/2 = 12.

  • Se un dominio ha sei nodi di dati in una zona di disponibilità, il numero di indirizzi IP per sottorete è pari a 6*3/1 = 18.

Quando crei il dominio, OpenSearch Service riserva gli indirizzi IP, ne utilizza alcuni per il dominio e riserva il resto per le implementazioni blu/verdi. Puoi vedere le interfacce di rete e gli indirizzi IP associati nella sezione Interfacce di rete della console AmazonEC2. La colonna Descrizione mostra a quale dominio OpenSearch di servizio è associata l'interfaccia di rete.

Suggerimento

Si consiglia di creare sottoreti dedicate per gli indirizzi IP riservati del OpenSearch servizio. Usando sottoreti dedicate, puoi evitare sovrapposizioni con altri servizi e applicazioni e puoi riservare ulteriori indirizzi IP se è necessario dimensionare il cluster in futuro. Per ulteriori informazioni, vedi Creazione di una sottorete in. VPC

Ruolo di accesso collegato al servizio VPC

Un ruolo collegato al servizio è un tipo unico di IAM ruolo che delega le autorizzazioni a un servizio in modo che possa creare e gestire risorse per conto dell'utente. OpenSearch Il servizio richiede un ruolo collegato al servizio per accedere all'utenteVPC, creare l'endpoint di dominio e collocare le interfacce di rete in una sottorete dell'utente. VPC

OpenSearch Il servizio crea automaticamente il ruolo quando si utilizza la console di OpenSearch servizio per creare un dominio all'interno di un. VPC Affinché questa operazione di creazione automatica riesca, devi disporre delle autorizzazioni per l'operazione iam:CreateServiceLinkedRole. Per ulteriori informazioni, consulta la sezione Autorizzazioni dei ruoli collegati al servizio nella Guida per l'IAMutente.

Dopo che OpenSearch Service ha creato il ruolo, puoi visualizzarlo (AWSServiceRoleForAmazonOpenSearchService) utilizzando la console. IAM

Per informazioni complete sulle autorizzazioni di questo ruolo e su come eliminarlo, consulta Utilizzo di ruoli collegati ai servizi per Amazon Service OpenSearch .