Amazon ES 인덱스 스냅샷 생성 - Amazon Elasticsearch Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon ES 인덱스 스냅샷 생성

스냅샷은 Amazon Elasticsearch Service (Amazon ES) 클러스터의 인덱스 및 상태의 백업입니다. 상태에는 클러스터 설정, 노드 정보, 인덱스 설정 및 샤드 할당이 포함됩니다.

Amazon ES 스냅샷은 자동과 수동의 두 가지 형태로 제공됩니다.

  • 자동 스냅샷은 클러스터 복구 전용입니다. 이를 사용하여 빨간색 클러스터 상태 또는 데이터 손실 시 도메인을 복원할 수 있습니다. 자세한 내용은 아래 스냅샷 복원을 참조하십시오. 는 추가 비용 없이 자동 스냅샷을 미리 구성된 Amazon ES 버킷에 Amazon S3 저장합니다.

  • 수동 스냅샷은 클러스터 복구를 위한 스냅샷이거나 한 클러스터에서 다른 클러스터로 데이터를 이동하기 위한 스냅샷입니다. 수동 스냅샷을 시작해야 합니다. 이러한 스냅샷은 자체 Amazon S3 버킷에 저장되며 표준 S3 요금이 적용됩니다. 자체 관리형 Elasticsearch 클러스터의 스냅샷이 있는 경우 해당 스냅샷을 사용하여 Amazon ES 도메인으로 마이그레이션할 수 있습니다. 자세한 내용은 Amazon Elasticsearch Service로 마이그레이션을 참조하십시오.

모든 Amazon ES 도메인은 자동 스냅샷을 생성하지만 빈도는 다음과 같은 차이가 있습니다.

  • Elasticsearch 버전 5.3 이상을 실행하는 도메인의 경우 Amazon ES 는 시간별 자동 스냅샷을 생성하고 최대 336개의 스냅샷을 14일 동안 보관합니다.

  • Elasticsearch 버전 5.1 이하를 실행하는 도메인의 경우 Amazon ES 는 사용자가 지정한 시간 동안 일일 자동 스냅샷을 생성하고 최대 14개의 스냅샷을 30일 동안 보관합니다.

클러스터가 빨간색 상태가 되면 Amazon ES는 자동 스냅샷 생성을 중지합니다. 2주 이내에 문제를 해결하지 않으면 클러스터의 데이터가 영구적으로 손실될 수 있습니다. 문제 해결 단계는 빨간색 클러스터 상태 단원을 참조하십시오.

수동 스냅샷 필수 조건

스냅샷을 수동으로 생성하려면 IAM 및 작업을 수행해야 합니다Amazon S3. 스냅샷을 생성하기 전에 다음 사전 조건을 충족하는지 확인하십시오.

사전 조건 설명
S3 버킷

Amazon ES 도메인의 수동 스냅샷을 저장할 S3 버킷을 생성합니다. 지침은 의 버킷 생성을 참조하십시오Amazon Simple Storage Service 시작 안내서.

다음 위치에서 사용할 버킷의 이름을 기억하십시오.

  • IAM 역할에 연결된 IAM 정책의 Resource

  • 스냅샷 리포지토리를 등록하는 데 사용된 Python 클라이언트(이 메서드를 사용하는 경우)

중요

S3 Glacier 수명 주기 규칙을 이 버킷에 적용하지 마십시오. 수동 스냅샷은 S3 Glacier 스토리지 클래스를 지원하지 않습니다.

IAM 역할

IAM 역할을 생성하여 에 권한을 위임Amazon Elasticsearch Service합니다. 지침은 의 IAM 역할 생성(콘솔IAM 사용 설명서)을 참조하십시오. 이 장의 나머지 부분에서는 이 역할을 TheSnapshotRole이라고 부릅니다.

IAM 정책 연결

다음 정책을 에 연결하여 S3 버킷에 대한 액세스를 TheSnapshotRole 허용합니다.

{ "Version": "2012-10-17", "Statement": [{ "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::s3-bucket-name" ] }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::s3-bucket-name/*" ] } ] }

역할에 정책을 연결하는 지침은 의 IAM 자격 증명 권한 https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console 추가를 참조하십시오IAM 사용 설명서.

신뢰 관계 편집

의 신뢰 관계를 편집TheSnapshotRole하여 다음 예제와 같이 Amazon ES 문Principal에서 를 지정합니다.

{ "Version": "2012-10-17", "Statement": [{ "Sid": "", "Effect": "Allow", "Principal": { "Service": "es.amazonaws.com" }, "Action": "sts:AssumeRole" }] }

신뢰 관계를 편집하는 지침은 의 역할 신뢰 정책 수정을 참조하십시오IAM 사용 설명서.

권한

스냅샷 리포지토리를 등록하려면 에 TheSnapshotRole 전달할 수 있어야 합니다Amazon ES. es:ESHttpPut 작업에도 액세스해야 합니다. 이 두 권한을 모두 부여하려면 요청에 서명할 때 사용하는 역할에 다음 정책을 추가합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/TheSnapshotRole" }, { "Effect": "Allow", "Action": "es:ESHttpPut", "Resource": "arn:aws:es:region:123456789012:domain/domain-name/*" } ] }

역할에 전달할 iam:PassRole 권한이 없는 경우 다음 단계에서 리포지토리를 등록하려고 할 때 다음과 같은 일반적인 오류가 TheSnapshotRole 발생할 수 있습니다.

$ python register-repo.py {"Message":"User: arn:aws:iam::123456789012:user/MyUserAccount is not authorized to perform: iam:PassRole on resource: arn:aws:iam::123456789012:role/TheSnapshotRole"}

수동 스냅샷 리포지토리 등록

수동 인덱스 스냅샷을 생성하려면 Amazon ES 에 스냅샷 리포지토리를 등록해야 합니다. 이 일회성 작업을 수행하려면 TheSnapshotRole에서 설명하는 것처럼 수동 스냅샷 필수 조건에 액세스할 수 있는 자격 증명을 이용해 AWS 요청에 서명해야 합니다.

1단계: manage_snapshots 역할 매핑(세분화된 액세스 제어를 사용하는 경우)

세분화된 액세스 제어는 리포지토리 등록 시 추가 단계를 도입합니다. 다른 모든 목적으로 HTTP 기본 인증을 사용하더라도 역할을 를 전달할 manage_snapshots 권한이 있는 iam:PassRole IAM 역할에 매핑해야 합니다TheSnapshotRole.

  1. Amazon ES 도메인의 Kibana 플러그인으로 이동합니다. Amazon ES 콘솔에서 도메인 대시보드의 Kibana 엔드포인트를 찾을 수 있습니다.

  2. 기본 메뉴를 열고 보안을 선택한 후 역할을 선택합니다.

  3. manage_snapshots 역할을 검색하여 선택합니다.

  4. 매핑된 사용자 탭으로 이동하여 매핑 관리를 선택합니다.

  5. 백엔드 역할에서 를 전달할 권한이 있는 역할의 도메인 ARN을 추가합니다TheSnapshotRole. ARN의 형식은 다음과 같습니다.

    arn:aws:iam::123456789123:role/role-name
  6. Map(맵)을 선택하고 Mapped users(매핑된 사용자) 아래에 역할이 표시되는지 확인합니다.

2단계: 리포지토리 등록

스냅샷 리포지토리를 등록하려면 Amazon ES 도메인 엔드포인트에 PUT 요청을 보냅니다. 를 사용하여 이 작업을 curl 수행할 수 없습니다. AWS 요청 서명을 지원하지 않기 때문입니다. 대신 샘플 Python 클라이언트, Postman이나 다른 방법으로 서명 요청을 전송해 스냅샷 리포지토리를 등록하십시오.

요청은 다음 형식을 취합니다.

PUT elasticsearch-domain-endpoint/_snapshot/my-snapshot-repo-name { "type": "s3", "settings": { "bucket": "s3-bucket-name", "region": "region", "role_arn": "arn:aws:iam::123456789012:role/TheSnapshotRole" } }

도메인이 VPC 내에 있는 경우, 요청이 스냅샷 리포지토리를 성공적으로 등록하려면 컴퓨터가 VPC에 연결되어 있어야 합니다. VPC 액세스는 네트워크 구성에 따라 다르지만, VPN 또는 회사 네트워크 연결이 필요할 수 있습니다. Amazon ES 도메인에 도달할 수 있는지 알아보려면 웹 브라우저에서 https://your-vpc-domain.region.es.amazonaws.com으로 이동하여 기본 JSON 응답을 받을 수 있는지 확인합니다.

스냅샷 리포지토리 암호화

현재 수동 스냅샷을 암호화하는 데 KMS(Key Management Service) 마스터 키를 사용할 수 없지만 서버 측 암호화(SSE)를 사용하여 보호할 수 있습니다.

스냅샷 리포지토리로 사용하는 버킷에 대해 S3 관리형 키로 SSE를 활성화하려면 PUT 요청의 "server_side_encryption": true 블록"settings"에 를 추가합니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.htmlAmazon Amazon S3 관리형 암호화 키로 서버 측 암호화를 사용하여 데이터 보호를 참조하십시오.

또는 스냅샷 리포지토리로 사용하는 S3 버킷에서 서버 측 암호화를 위해 고객 마스터 키CMKs를 사용할 수 있습니다.

데이터를 다른 도메인으로 마이그레이션

스냅샷 리포지토리 등록은 일회성 작업입니다. 그러나 한 도메인에서 다른 도메인으로 마이그레이션하려면 이전 도메인과 새 도메인에 동일한 스냅샷 리포지토리를 등록해야 합니다. 리포지토리 이름은 임의의 이름입니다.

다른 이유로 새 도메인으로 마이그레이션하거나 동일한 리포지토리를 여러 도메인에 등록할 때는 다음 지침을 고려하십시오.

  • 새 도메인에 리포지토리를 등록할 때 를 PUT 요청의 "readonly": true 블록"settings"에 추가합니다. 이 설정을 사용하면 이전 도메인의 데이터를 실수로 덮어쓰지 않습니다.

  • 데이터를 다른 리전의 도메인으로 마이그레이션하는 경우(예: us-east-2에 있는 이전 도메인 및 버킷에서 us-west-2의 새 도메인으로 마이그레이션하는 경우) PUT 요청을 전송할 때 이 500 오류가 표시될 수 있습니다.

    The bucket is in this region: us-east-2. Please use this region to retry the request.

    이 경우 PUT 문"region": "us-east-2"에서 "endpoint": "s3.amazonaws.com" 를 로 바꾸고 요청을 다시 시도하십시오.

샘플 Python 클라이언트 사용

Python 클라이언트는 간단한 HTTP 요청보다 자동화하기가 쉽고 재사용 가능성이 더 우수합니다. 이 방법을 사용하여 스냅샷 리포지토리를 등록하도록 선택하는 경우 다음 샘플 Python 코드를 Python 파일(예: )로 저장합니다register-repo.py. 클라이언트에는 Python용 AWS SDK(Boto3) , 요청requests-aws4auth 패키지가 필요합니다. 클라이언트는 다른 스냅샷 작업을 위한 주석 처리된 예제를 포함하고 있습니다.

작은 정보

Java 기반 코드 샘플은 HTTP 요청 서명에서 이용할 수 있습니다.

샘플 코드에서 host, region, path및 변수를 업데이트합니다payload.

import boto3 import requests from requests_aws4auth import AWS4Auth host = '' # include https:// and trailing / region = '' # e.g. us-west-1 service = 'es' credentials = boto3.Session().get_credentials() awsauth = AWS4Auth(credentials.access_key, credentials.secret_key, region, service, session_token=credentials.token) # Register repository path = '_snapshot/my-snapshot-repo-name' # the Elasticsearch API endpoint url = host + path payload = { "type": "s3", "settings": { "bucket": "s3-bucket-name", "region": "us-west-1", "role_arn": "arn:aws:iam::123456789012:role/TheSnapshotRole" } } headers = {"Content-Type": "application/json"} r = requests.put(url, auth=awsauth, json=payload, headers=headers) print(r.status_code) print(r.text) # # Take snapshot # # path = '_snapshot/my-snapshot-repo/my-snapshot' # url = host + path # # r = requests.put(url, auth=awsauth) # # print(r.text) # # # Delete index # # path = 'my-index' # url = host + path # # r = requests.delete(url, auth=awsauth) # # print(r.text) # # # Restore snapshot (all indices except Kibana and fine-grained access control) # # path = '_snapshot/my-snapshot-repo/my-snapshot/_restore' # url = host + path # # payload = { # "indices": "-.kibana*,-.opendistro_security", # "include_global_state": False # } # # headers = {"Content-Type": "application/json"} # # r = requests.post(url, auth=awsauth, json=payload, headers=headers) # # print(r.text) # # # Restore snapshot (one index) # # path = '_snapshot/my-snapshot-repo/my-snapshot/_restore' # url = host + path # # payload = {"indices": "my-index"} # # headers = {"Content-Type": "application/json"} # # r = requests.post(url, auth=awsauth, json=payload, headers=headers) # # print(r.text)

수동 스냅샷 생성

스냅샷은 즉각적으로 이루어지지 않습니다. 완료하는 데 시간이 걸리며 클러스터의 완벽한 특정 시점 보기를 나타내지 않습니다. 스냅샷이 진행 중인 동안에도 문서를 인덱싱하고 클러스터에 다른 요청을 할 수 있지만, 새 문서와 기존 문서 업데이트는 일반적으로 스냅샷에 포함되지 않습니다. 스냅샷은 Elasticsearch에서 해당 스냅샷을 시작한 시점에 존재한 기본 샤드를 포함합니다. 스냅샷 스레드 풀의 크기에 따라 서로 다른 시간에 스냅샷에 다른 샤드가 포함될 수 있습니다.

스냅샷 스토리지 및 성능

Elasticsearch 스냅샷은 증분식이므로 마지막으로 성공한 스냅샷 이후로 변경된 데이터만 저장합니다. 이 증분적 특성은 자주 사용하는 스냅샷과 자주 사용하지 않는 스냅샷 간의 디스크 사용량 차이가 거의 없는 경우가 많다는 것을 의미합니다. 즉, 일주일에 한 번 시간별로 스냅샷을 가져올 경우(총 168개의 스냅샷) 주말에 단일 스냅샷을 가져오는 것보다 훨씬 많은 디스크 공간을 사용할 수는 없습니다. 또한 스냅샷을 자주 가져올수록 완료하는 데 걸리는 시간이 줄어듭니다. 일부 Elasticsearch 사용자는 매 30분마다 스냅샷을 가져옵니다.

스냅샷 생성

스냅샷을 생성할 때 다음 정보를 지정합니다.

  • 스냅샷 리포지토리의 이름

  • 스냅샷의 이름입니다.

이 장의 예제에서는 편의상 그리고 간단하게 하기 위해 일반적인 HTTP 클라이언트인 curl을 사용합니다. 그러나 액세스 정책이 IAM 사용자 또는 역할을 지정하는 경우 스냅샷 요청에 서명해야 합니다. 샘플 Python 클라이언트의 주석 처리된 예제를 사용하여 curl 명령이 사용하는 동일한 엔드포인트에 서명된 HTTP 요청을 할 수 있습니다.

수동 스냅샷을 생성하려면 다음 단계를 수행합니다.

  1. 현재 스냅샷 생성이 진행 중인 경우 스냅샷을 생성할 수 없습니다. 확인하려면 다음 명령을 실행합니다.

    curl -XGET 'elasticsearch-domain-endpoint/_snapshot/_status'
  2. 다음 명령을 실행하여 수동 shapshot을 생성합니다.

    curl -XPUT 'elasticsearch-domain-endpoint/_snapshot/repository-name/snapshot-name'
참고

스냅샷 생성에 필요한 시간은 Amazon ES 도메인의 크기에 따라 늘어납니다. 스냅샷 작업이 길게 실행되면 경우에 따라 504 GATEWAY_TIMEOUT 같은 오류가 발생합니다. 일반적으로 이러한 오류를 무시하고 작업이 성공적으로 완료될 때까지 기다릴 수 있습니다. 다음 명령을 실행하여 도메인의 모든 스냅샷 상태를 확인합니다.

curl -XGET 'elasticsearch-domain-endpoint/_snapshot/repository-name/_all?pretty'

스냅샷 복원

주의

인덱스 별칭을 사용하는 경우 인덱스를 삭제하기 전에 별칭에 대한 요청 쓰기를 중단하거나 별칭을 다른 인덱스로 전환합니다. 쓰기 중단 요청은 다음과 같은 상황을 피하도록 해 줍니다.

  1. 인덱스를 삭제하면 별칭도 삭제됩니다.

  2. 현재 지워진 별칭에 잘못된 쓰기 요청 때문에 그 별칭과 동일한 이름을 가진 새 인덱스가 생성됩니다.

  3. 새 인덱스에 지정하는 이름과 충돌하기 때문에 그 별칭을 더 이상 사용할 수 없습니다.

별칭을 다른 인덱스로 전환하는 경우 스냅샷에서 복원할 때 "include_aliases": false를 지정하십시오.

스냅샷을 복원하려면 다음 단계를 수행합니다.

  1. 복원할 스냅샷을 식별합니다. 모든 스냅샷 리포지토리를 보려면 다음 명령을 실행합니다.

    curl -XGET 'elasticsearch-domain-endpoint/_snapshot?pretty'

    리포지토리를 식별한 후, 다음 명령을 실행하여 모든 스냅샷을 봅니다.

    curl -XGET 'elasticsearch-domain-endpoint/_snapshot/repository-name/_all?pretty'
    참고

    대부분의 자동 스냅샷은 cs-automated 리포지토리에 저장됩니다. 도메인이 유휴 시 데이터를 암호화하는 경우 리cs-automated-enc포지토리에 저장됩니다. 찾고 있는 수동 스냅샷 리포지토리가 보이지 않으면 도메인에 등록했는지 확인하십시오.

  2. (선택 사항) 클러스터의 인덱스와 스냅샷의 인덱스 간에 이름 충돌이 있는 경우 Amazon ES 도메인에서 하나 이상의 인덱스를 삭제하거나 이름을 바꿉니다. 이미 같은 이름의 인덱스가 있는 Elasticsearch 클러스터로 인덱스 스냅샷을 복원할 수는 없습니다.

    인덱스 이름 충돌이 있는 경우 다음 옵션을 사용할 수 있습니다.

    • 기존 Amazon ES 도메인에서 인덱스를 삭제한 다음 스냅샷을 복원합니다.

    • 스냅샷에서 인덱스를 복원할 때 인덱스의 이름을 바꾸고 나중에 다시 인덱싱합니다.

    • 스냅샷을 다른 Amazon ES 도메인에 복원합니다(수동 스냅샷만 가능).

    다음 명령은 도메인의 기존 인덱스를 모두 삭제합니다.

    curl -XDELETE 'elasticsearch-domain-endpoint/_all'

    그러나 모든 인덱스를 복원할 계획이 아니라면 인덱스를 삭제할 수 있습니다.

    curl -XDELETE 'elasticsearch-domain-endpoint/index-name'
  3. 스냅샷을 복원하려면 다음 명령을 실행합니다.

    curl -XPOST 'elasticsearch-domain-endpoint/_snapshot/repository-name/snapshot-name/_restore'

    Kibana 및 세분화된 액세스 제어 인덱스에 대한 특별한 권한 때문에 모든 인덱스를 복원하려는 시도가 실패할 수 있으며, 자동화된 스냅샷에서 복원을 시도할 경우 특히 그렇습니다. 다음 예제에서는 my-index 스냅샷 리포지토리에 있는 2020-snapshot에서 인덱스 cs-automated만 복원합니다.

    curl -XPOST 'elasticsearch-domain-endpoint/_snapshot/cs-automated/2020-snapshot/_restore' -d '{"indices": "my-index"}' -H 'Content-Type: application/json'

    또는 Kibana 및 세분화된 액세스 제어 인덱스를 제외한 모든 인덱스를 복원할 수 있습니다.

    curl -XPOST 'elasticsearch-domain-endpoint/_snapshot/cs-automated/2020-snapshot/_restore' -d '{"indices": "-.kibana*,-.opendistro_security"}' -H 'Content-Type: application/json'
참고

기본 샤드 중 일부만 관련 인덱스에 사용할 수 있는 경우, 스냅샷의 statePARTIAL이 될 수 있습니다. 이 값은 하나 이상의 샤드 데이터가 성공적으로 저장되지 않았음을 나타냅니다. 부분 스냅샷에서도 복원할 수는 있지만, 그보다 오래된 스냅샷을 사용하여 누락된 인덱스를 복원해야 합니다.

수동 스냅샷 삭제

수동 스냅샷을 삭제하려면 다음 명령을 실행합니다.

DELETE _snapshot/repository-name/snapshot-name

스냅샷에 Curator 사용

사용자에 따라서는 인덱스 및 스냅샷 관리에 Curator를 사용하는 것이 편리합니다. pip를 사용하여 Curator를 설치합니다.

pip install elasticsearch-curator

Curator에는 고급 필터링 기능이 있어 복잡한 클러스터에 대한 관리 작업을 간소하게 처리할 수 있습니다. Amazon ES는 Elasticsearch 버전 5.1 이상을 실행 중인 도메인의 Curator를 지원합니다. 명령줄 인터페이스(CLI) 또는 Python API로서 Curator를 사용할 수 있습니다. CLI를 사용하는 경우 명령줄에서 자격 증명을 내보내고 다음과 같이 curator.yml을 구성합니다.

client: hosts: search-my-domain.us-west-1.es.amazonaws.com port: 443 use_ssl: True aws_region: us-west-1 aws_sign_request: True ssl_no_validate: False timeout: 60 logging: loglevel: INFO

Python API를 사용하는 Lambda 함수 샘플은 Curator를 사용하여 Amazon Elasticsearch Service에서 데이터 회전 단원을 참조하십시오.