Amazon Ingestion OpenSearch パイプラインの VPC アクセスの設定 - Amazon OpenSearch サービス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Ingestion OpenSearch パイプラインの VPC アクセスの設定

インターフェイス VPC エンドポイントを使用して Amazon OpenSearch Ingestion パイプラインにアクセスできます。VPC は、 専用の仮想ネットワークです AWS アカウント。 AWS クラウド内の他の仮想ネットワークから論理的に分離されます。VPC エンドポイントを介してパイプラインにアクセスすると、インターネットゲートウェイ、NAT デバイス、VPN OpenSearch 接続を必要とせずに、VPC 内の取り込みと他の のサービス間の安全な通信が可能になります。すべてのトラフィックは AWS クラウド内で安全に保持されます。

OpenSearch 取り込みは、 を使用するインターフェイスエンドポイント を作成することで、このプライベート接続を確立します AWS PrivateLink。パイプラインの作成時に指定した各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、 OpenSearch 取り込みパイプライン宛てのトラフィックのエントリポイントとして機能するリクエスタ管理のネットワークインターフェイスです。また、インターフェイスエンドポイントを自分で作成および管理することもできます。

VPC を使用すると、パブリックインターネットではなく VPC OpenSearch の境界内の取り込みパイプラインを介してデータフローを適用できます。VPC 内にないパイプラインは、一般向けのエンドポイントとインターネットを経由してデータを送受信します。

VPC アクセスを持つパイプラインは、パブリックドメインまたは VPC OpenSearch サービスドメイン、およびパブリックコレクションまたは VPC OpenSearch サーバーレスコレクションに書き込むことができます。

考慮事項

パイプラインの VPC アクセスを設定する際は、以下の点に注意してください。

  • パイプラインはシンクと同じ VPC に存在する必要はありません。また、2 つの VPCs間の接続を確立する必要はありません。Ingestion OpenSearch が接続を処理します。

  • パイプラインに指定できる VPC は 1 つのみです。

  • パブリックパイプラインとは異なり、VPC パイプラインは書き込み先のドメインまたはコレクションシンクと同じ AWS リージョン にある必要があります。

  • パイプラインは、VPC の 1 つ、2 つ、3 つのいずれかのサブネットにデプロイできます。サブネットは、Ingestion OpenSearch Compute Units (OCUs) がデプロイされているのと同じアベイラビリティーゾーンに分散されます。

  • パイプラインを 1 つのサブネットにのみデプロイした場合、そのアベイラビリティーゾーンがダウンするとデータを取り込めなくなります。高可用性を確保するために、パイプラインを 2 つまたは 3 つのサブネットで構成することが推奨されます。

  • セキュリティグループの指定はオプションです。セキュリティグループを指定しない場合、Ingestion OpenSearch は VPC で指定されたデフォルトのセキュリティグループを使用します。

制限事項

VPC アクセスを持つパイプラインには、次の制限があります。

  • パイプラインの作成後は、パイプラインのネットワーク設定を変更できません。VPC 内でパイプラインを起動した場合、後からこれをパブリックエンドポイントに変更することはできず、その逆もまた同様です。

  • インターフェイス VPC エンドポイントまたはパブリックエンドポイントを使用してパイプラインを起動することはできますが、両方を行うことはできません。パイプラインを作成するときに、いずれかを選択する必要があります。

  • VPC アクセスを使用してパイプラインをプロビジョニングした後は、別の VPC に移動したり、サブネットやセキュリティグループ設定を変更したりすることはできません。

  • パイプラインが VPC アクセスを使用するドメインまたはコレクションシンクに書き込む場合、パイプラインの作成後に後で戻ってシンク (VPC またはパブリック) を変更することはできません。そのパイプラインを削除し、新しいシンクを使って改めて作成する必要があります。パブリックシンクから VPC アクセスのあるシンクに切り替えることはできます。

  • VPC パイプラインへのアカウントを横断した取り込みアクセスを提供することはできません。

前提条件

VPC アクセスを使用してパイプラインをプロビジョニングする前に、以下を実行する必要があります。

  • VPC を作成する

    VPC を作成するには、Amazon VPC コンソール、 AWS CLI、または AWS SDKsのいずれかを使用できます。詳細については、Amazon VPC ユーザーガイドの「VPC の使用」を参照してください。VPC が既にある場合、このステップは省略できます。

  • IP アドレスのリザーブ

    OpenSearch 取り込みでは、パイプラインの作成時に指定した各サブネットに Elastic Network Interface を配置します。各ネットワークインターフェースは 1 つの IP アドレスに関連付けられます。ネットワークインターフェイスのサブネットごとに 1 つの IP アドレスを予約する必要があります。

パイプラインの VPC アクセスを設定する

OpenSearch サービスコンソール内または を使用して、パイプラインの VPC アクセスを有効にできます AWS CLI。

VPC アクセスの設定は、パイプラインの作成時に行います。[ネットワーク][VPC アクセス] を選択し、次のように設定します。

設定 説明
エンドポイント管理

VPC エンドポイントを自分で作成するか、 OpenSearch 取り込みで作成するかを選択します。

VPC

使用する仮想プライベートクラウド (VPC) の ID を選択します。VPC とパイプラインは同じ AWS リージョンの中になければなりません。

サブネット

1 つ以上のサブネットを選択します。 OpenSearch サービスは VPC エンドポイントと Elastic Network Interface をサブネットに配置します。

セキュリティグループ

必要なアプリケーションがパイプラインによって公開されるポート (80 または OpenSearch 443) とプロトコル (HTTP または HTTP) の Ingestion パイプラインに到達できるようにする HTTPs1 つ以上選択します。

VPC アタッチメントオプション

ソースがセルフマネージドエンドポイントの場合は、パイプラインを VPC にアタッチします。提供されているデフォルトの CIDR オプションのいずれかを選択するか、カスタム CIDR を使用します。

を使用して VPC アクセスを設定するには AWS CLI、 --vpc-optionsパラメータを指定します。

aws osis create-pipeline \ --pipeline-name vpc-pipeline \ --min-units 4 \ --max-units 10 \ --vpc-options SecurityGroupIds={sg-12345678,sg-9012345},SubnetIds=subnet-1212234567834asdf \ --pipeline-configuration-body "file://pipeline-config.yaml"

セルフマネージド VPC エンドポイント

パイプラインを作成するときは、エンドポイント管理を使用して、セルフマネージドエンドポイントまたはサービスマネージドエンドポイントでパイプラインを作成できます。エンドポイント管理はオプションであり、デフォルトでは Ingestion OpenSearch によって管理されるエンドポイントになります。

でセルフマネージド VPC エンドポイントを使用してパイプラインを作成するには AWS Management Console、 OpenSearch 「サービスコンソール を使用したパイプラインの作成」を参照してください。でセルフマネージド VPC エンドポイントを使用してパイプラインを作成するには AWS CLI、create-pipeline コマンドで --vpc-optionsパラメータを使用できます。

--vpc-options SubnetIds=subnet-abcdef01234567890,VpcEndpointManagement=CUSTOMER

エンドポイントサービスを指定するときに、パイプラインへのエンドポイントを自分で作成できます。エンドポイントサービスを検索するには、get-pipeline コマンドを使用します。このコマンドは、次のようなレスポンスを返します。

"vpcEndpointService" : "com.amazonaws.osis.us-east-1.pipeline-id-1234567890abcdef1234567890", "vpcEndpoints" : [ { "vpcId" : "vpc-1234567890abcdef0", "vpcOptions" : { "subnetIds" : [ "subnet-abcdef01234567890", "subnet-021345abcdef6789" ], "vpcEndpointManagement" : "CUSTOMER" } }

レスポンスvpcEndpointServiceの を使用して、 AWS Management Console または で VPC エンドポイントを作成します AWS CLI。

セルフマネージド VPC エンドポイントを使用する場合は、VPC enableDnsHostnamesで DNS 属性 enableDnsSupport と を有効にする必要があります。を停止して再起動するセルフマネージドエンドポイントを持つパイプラインがある場合は、アカウントに VPC エンドポイントを再作成する必要があることに注意してください。

VPC アクセス用のサービスにリンクされたロール

サービスにリンクされたロールは、サービスに権限を委任する一意のタイプの IAM ロールであり、ユーザーに代わってリソースを作成して管理できます。サービスマネージド VPC エンドポイントを選択した場合、Ingestion OpenSearch では、VPC にアクセスし、パイプラインエンドポイントを作成し、VPC のサブネットにネットワークインターフェイスを配置AWSServiceRoleForAmazonOpenSearchIngestionServiceするために、 と呼ばれるサービスにリンクされたロールが必要です。

セルフマネージド VPC エンドポイントを選択した場合、Ingestion OpenSearch には というサービスにリンクされたロールが必要ですAWSServiceRoleForOpensearchIngestionSelfManagedVpce。これらのロール、そのアクセス許可、および削除方法の詳細については、「」を参照してくださいサービスにリンクされたロールを使用した OpenSearch 取り込みパイプラインの作成

OpenSearch 取り込みパイプラインを作成すると、取り込みによってロールが自動的に作成されます。この自動作成が成功するには、アカウントに最初のパイプラインを作成するユーザーが、iam:CreateServiceLinkedRole アクションに対するアクセス許可を持っている必要があります。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの許可」を参照してください。ロールは、作成後に AWS Identity and Access Management (IAM) コンソールで表示できます。