VPC 내에서 Amazon OpenSearch Service 도메인 시작 - Amazon OpenSearch Service

VPC 내에서 Amazon OpenSearch Service 도메인 시작

Amazon OpenSearch Service 도메인과 같은 AWS 리소스를 Virtual Private Cloud(VPC)에서 시작할 수 있습니다. VPC는 사용자의 AWS 계정 전용 가상 네트워크입니다. VPC는 AWS 클라우드에서 다른 가상 네트워크와 논리적으로 분리되어 있습니다. OpenSearch Service 도메인을 VPC 안에 배치하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 VPC 내부에서 OpenSearch Service와 다른 서비스 간에 보안 통신이 가능합니다. 모든 트래픽이 AWS 클라우드 내에서 안전하게 보호됩니다.

참고

VPC에 OpenSearch Service 도메인을 배치하는 경우 컴퓨터가 VPC에 연결할 수 있어야 합니다. 이 연결은 종종 VPN, Transit Gateway, 관리형 네트워크 또는 프록시 서버의 형식을 따릅니다. VPC 밖에서는 도메인에 직접 액세스할 수 없습니다.

VPC 대 퍼블릭 도메인

다음은 VPC 도메인과 퍼블릭 도메인의 몇 가지 차이점입니다. 각 차이점은 추후 보다 자세히 설명합니다.

  • 논리적 격리로 인해 퍼블릭 엔드포인트를 사용할 때에 비해, VPC에 상주하는 도메인에는 보안 계층이 하나 추가됩니다.

  • 퍼블릭 도메인은 인터넷에 연결된 디바이스에서 액세스할 수 있지만 VPC 도메인에는 특정 형태의 VPN 또는 프록시가 필요합니다.

  • 퍼블릭 도메인과 비교하면, VPC 도메인은 콘솔에 더 적은 정보를 표시합니다. 특히 클러스터 상태(Cluster health) 탭에는 샤드 정보가 포함되지 않으며 인덱스(Indices) 탭은 표시되지 않습니다.

  • 도메인 엔드포인트의 형식이 다릅니다(https://search-domain-namehttps://vpc-domain-name).

  • 보안 그룹은 이미 IP 기반 액세스 정책을 사용하므로 VPC에 상주하는 도메인에 IP 기반 액세스 정책을 적용할 수는 없습니다.

제한 사항

현재, VPC에서 OpenSearch Service 도메인을 운영할 경우 다음과 같은 제약이 있습니다.

  • VPC에서 새 도메인을 시작할 경우 나중에 해당 도메인이 퍼블릭 엔드포인트를 사용하도록 변경할 수 없습니다. 반대도 마찬가지입니다. 퍼블릭 엔드포인트를 사용하여 도메인을 만들 경우 나중에 해당 도메인을 VPC 안에 배치할 수 없습니다. 대신에 새 도메인을 만들어 데이터를 마이그레이션해야 합니다.

  • VPC에서 도메인을 시작할 수도 있고 퍼블릭 엔드포인트를 사용할 수도 있지만 두 방법을 동시에 사용할 수는 없습니다. 도메인을 만들 때 한 가지를 선택해야 합니다.

  • 전용 테넌시를 사용하는 VPC 내에서 도메인을 실행할 수 없습니다. Default로 설정된 테넌시와 함께 VPC를 사용해야 합니다.

  • 도메인을 VPC 내부에 배치한 후 다른 VPC로 이전할 수 없지만 서브넷과 보안 그룹 설정은 변경할 수 있습니다.

  • VPC에 상주하는 도메인에 대한 OpenSearch Dashboards의 기본 설치에 액세스하려면 사용자가 VPC에 액세스할 수 있어야 합니다. 이 프로세스는 네트워크 구성에 따라 다르지만, VPN 또는 관리형 네트워크에 연결하거나 프록시 서버 또는 Transit Gateway를 사용해야 할 수 있습니다. 자세한 내용은 VPC 도메인 액세스 정책에 대하여, Amazon VPC 사용 설명서OpenSearch Dashboards에 대한 액세스 제어 섹션을 참조하세요.

Architecture

VPC를 지원하기 위해 OpenSearch Service는 엔드포인트를 사용자의 VPC의 서브넷 1개, 2개 또는 3개에 배치합니다. 도메인에서 다중 가용 영역을 활성화하려는 경우 동일한 리전의 다른 가용 영역에 각 서브넷이 있어야 합니다. 가용 영역을 한 개만 사용하는 경우 OpenSearch Service가 엔드포인트를 서브넷 한 개에만 배치합니다.

다음 그림은 가용 영역 한 개에 대한 VPC 아키텍처를 보여줍니다.

다음 그림은 가용 영역 두 개에 대한 VPC 아키텍처를 보여줍니다.

또한 OpenSearch Service는 각 데이터 노드에 대해 VPC에 탄력적 네트워크 인터페이스(ENI)를 VPC에 설치합니다. OpenSearch Service는 ENI마다 서브넷의 IPv4 주소 범위에서 프라이빗 IP 주소를 할당합니다. 또한 IP 주소에 퍼블릭 DNS 호스트 이름(도메인 엔드포인트)을 할당합니다. 퍼블릭 DNS 서비스를 사용하여 엔드포인트(즉 DNS 호스트 이름)을 데이터 노드의 적절한 IP 주소로 확인해야 합니다.

  • enableDnsSupport 옵션을 true(기본값)로 설정하여 VPC가 Amazon 제공 DNS 서버를 사용하는 경우, OpenSearch Service 엔드포인트 확인이 성공합니다.

  • VPC가 프라이빗 DNS 서버를 사용하고 서버가 신뢰할 수 있는 퍼블릭 DNS 서버에 도달하여 DNS 호스트 이름을 확인할 수 있는 경우에도 OpenSearch Service 엔드포인트 확인이 성공합니다.

IP 주소는 변경될 수 있으므로, 항상 올바른 데이터 노드에 액세스할 수 있도록 주기적으로 도메인 엔드포인트를 확인해야 합니다. DNS 확인 주기를 1분으로 설정할 것을 권장합니다. 클라이언트를 사용하는 경우, 클라이언트 내 DNS 캐시도 삭제되는지 확인해야 합니다.

참고

OpenSearch Service는 VPC에서 IPv6 주소를 지원하지 않습니다. IPv6가 활성화된 VPC를 사용할 수 있지만 도메인은 IPv4 주소를 사용하게 됩니다.

퍼블릭 액세스에서 VPC 액세스로 마이그레이션

도메인을 만들 때 도메인이 퍼블릭 엔드포인트를 사용할지 또는 VPC에 상주할지를 지정합니다. 도메인을 만든 후에는 이 옵션을 변경할 수 없습니다. 대신에 새 도메인을 만들고 수동으로 다시 인덱싱하거나 데이터를 마이그레이션할 수 있습니다. 스냅샷이 데이터를 마이그레이션하는 편리한 방법을 제공합니다. 스냅샷 생성 및 복원에 대한 자세한 내용은 Amazon OpenSearch Service에서 인덱스 스냅샷 생성 섹션을 참조하세요.

VPC 도메인 액세스 정책에 대하여

OpenSearch Service 도메인을 VPC에 배치할 경우 강력한 내부 보안 계층이 제공됩니다. 퍼블릭 액세스를 통해 도메인을 생성할 때는 엔드포인트가 다음과 같은 형식을 따릅니다.

https://search-domain-name-identifier.region.es.amazonaws.com

"퍼블릭"이라는 단어에서 알 수 있듯이 이 엔드포인트는 사용자가 액세스 권한을 제어할 수 있더라도(제어해야 합니다) 인터넷에 연결된 디바이스라면 모두 액세스할 수 있습니다. 웹 브라우저에서 엔드포인트에 액세스하는 경우에는 Not Authorized 메시지가 수신될 수도 있지만 요청이 도메인에 전달됩니다.

VPC 액세스를 통해 도메인을 생성할 때도 엔드포인트가 아래와 같이 퍼블릭 엔드포인트와 비슷한 모습을 보입니다.

https://vpc-domain-name-identifier.region.es.amazonaws.com

하지만 웹 브라우저에서 엔드포인트에 액세스하려고 하면 요청 시간 제한에 걸릴 수도 있습니다. 따라서 기본적인 GET 요청을 실행할 때도 컴퓨터를 VPC에 연결할 수 있어야 합니다. 이 연결은 종종 VPN, Transit Gateway, 관리형 네트워크 또는 프록시 서버의 형식을 따릅니다. 사용할 수 있는 다양한 형식에 대한 자세한 내용은 Amazon VPC 사용 설명서VPC에 대한 예를 참조하세요. 개발 중심 예제는 VPC 도메인 테스트 섹션을 참조하세요.

위와 같은 연결 요건에 더하여 VPC에서는 보안 그룹을 통해 도메인 액세스를 관리할 수 있습니다. 많은 사용 사례에서 이러한 보안 기능의 조합이면 충분하며 도메인에 개방적 액세스 정책을 적용하는 데 염려가 없을 것입니다.

오픈 액세스 정책이 포함된 작업은 인터넷에 접속하는 모든 사용자가 OpenSearch 서비스 도메인에 액세스할 수 있도록 하지는 않습니다. 오히려 요청이 OpenSearch Service 도메인에 전달되어 연결된 보안 그룹이 요청을 허용하는 경우에 한해 도메인이 해당 요청을 수락한다는 것을 의미합니다. 유일한 예외는 세분화된 액세스 제어 또는 IAM 사용자 또는 역할을 지정하는 액세스 정책을 사용하는 경우입니다. 이러한 상황에서 도메인이 해당 요청을 수락하려면 보안 그룹이 요청을 허용하고, 또한 유효한 자격 증명으로 서명되어야 합니다.

참고

보안 그룹은 이미 IP기반 액세스 정책을 사용하므로 VPC에 상주하는 OpenSearch Service 도메인에 IP 기반 액세스 정책을 적용할 수는 없습니다. 퍼블릭 액세스를 사용하는 경우에도 IP 기반 정책을 사용할 수 있습니다.

시작하기 전에: VPC 액세스 사전 요구 사항

VPC와 새 OpenSearch Service 도메인 간 연결을 활성화하기 전에 다음 작업을 수행해야 합니다.

  • VPC를 만듭니다.

    VPC를 만들려면, Amazon VPC 콘솔, AWS CLI를 사용하거나 또는 AWS SDK 중 하나를 사용할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서VPC 작업을 참조하세요. VPC가 이미 있는 경우에는 이 단계를 건너뛸 수 있습니다.

  • IP 주소 예약

    OpenSearch Service는 VPC의 서브넷에 네트워크 인터페이스를 배치하여 도메인과 VPC 간 연결을 활성화합니다. 각 네트워크 인터페이스에는 IP 주소가 연결됩니다. 서브넷에서 네트워크 인터페이스용 IP 주소를 충분히 예약해야 합니다. 자세한 내용은 VPC 서브넷에서 IP 주소 예약 섹션을 참조하세요.

VPC 도메인 테스트

VPC의 향상된 보안 기능을 통해 도메인 연결 및 기본 테스트 실행 작업을 실현할 수 있습니다. 이미 OpenSearch Service VPC 도메인이 있고 VPN 서버를 생성하지 않으려면 다음 프로세스를 시도합니다.

  1. 도메인의 액세스 정책에 대해 [세분화된 액세스 제어만 사용(Only use fine-grained access control)]을 선택합니다. 테스트를 마친 후에는 언제든 이 설정을 업데이트할 수 있습니다.

  2. Amazon Linux Amazon EC2 인스턴스를 OpenSearch Service 도메인과 동일한 VPC, 서브넷 및 보안 그룹에 생성합니다.

    이 인스턴스는 테스트용이며 거의 작업할 필요가 없으므로 t2.micro와 같은 저렴한 비용의 인스턴스 유형을 선택합니다. 인스턴스에 퍼블릭 IP 주소를 할당하고 새 키 페어를 생성하거나 기존 키 페어를 선택합니다. 새 키를 생성하는 경우 ~/.ssh 디렉터리로 다운로드합니다.

    인스턴스 생성에 대한 자세한 내용은 Amazon EC2 Linux 인스턴스 시작하기를 참조하세요.

  3. VPC에 인터넷 게이트웨이를 추가합니다.

  4. VPC의 라우팅 테이블에서 새 라우팅을 추가합니다. 대상 주소(Destination)에서 컴퓨터의 퍼블릭 IP 주소를 포함하는 CIDR 블록을 지정합니다. 대상(Target)에서 방금 생성한 인터넷 게이트웨이를 지정합니다.

    예를 들어 컴퓨터에 123.123.123.123/32를 지정하거나 컴퓨터 범위에 123.123.123.0/24를 지정할 수 있습니다.

  5. 보안 그룹의 경우 두 가지 인바운드 규칙을 지정합니다.

    유형 프로토콜 포트 범위 소스
    SSH(22) TCP(6) 22 your-cidr-block
    HTTPS(443) TCP(6) 443 your-security-group-id

    첫 번째 규칙은 SSH를 EC2 인스턴스로 가져옵니다. 두 번째는 EC2 인스턴스가 HTTPS를 통해 OpenSearch Service 도메인과 통신할 수 있게 허용합니다.

  6. 터미널에서 다음 명령을 실행합니다.

    ssh -i ~/.ssh/your-key.pem ec2-user@your-ec2-instance-public-ip -N -L 9200:vpc-domain-name.region.es.amazonaws.com:443

    이 명령은 https://localhost:9200에 대한 요청을 EC2 인스턴스를 통해 OpenSearch Service 도메인으로 전달하는 SSH 터널을 생성합니다. 명령에 포트 9200을 지정하면 로컬 OpenSearch 설치를 시뮬레이션하지만 원하는 포트를 사용합니다. OpenSearch Service는 포트 80(HTTP) 또는 443(HTTPS)을 통한 연결만 허용합니다.

    이 명령은 피드백을 제공하지 않고 무제한 실행됩니다. 이를 중단하려면 Ctrl + C를 누릅니다.

  7. 웹 브라우저에서 https://localhost:9200/_dashboards/로 이동합니다. 보안 예외를 인정해야 할 수 있습니다.

    또는 curl, Postman 또는 좋아하는 프로그래밍 언어를 사용하여 https://localhost:9200에 요청을 보낼 수 있습니다.

    작은 정보

    인증서 불일치로 인해 curl 오류가 발생하는 경우 --insecure 플래그를 시도합니다.

VPC 서브넷에서 IP 주소 예약

OpenSearch Service는 VPC의 서브넷(다중 가용 영역을 활성화한 경우 VPC의 서브넷 여러 개)에 네트워크 인터페이스를 배치하여 도메인을 VPC에 연결합니다. 각 네트워크 인터페이스에는 IP 주소가 연결됩니다. OpenSearch Service 도메인을 만들기 전에 각 서브넷에서 네트워크 인터페이스를 수용하는 데 충분한 IP 주소가 있어야 합니다.

기본 공식은 다음과 같습니다. 각 서브넷에서 OpenSearch Service가 예약한 IP 주소 수 = 데이터 노드 수 곱하기 3, 나누기 가용 영역 수.

예제

  • 도메인에 3개의 가용 영역에 걸쳐 9개의 데이터 노드가 있는 경우, 서브넷당 IP 개수는 9 * 3 / 3 = 9입니다.

  • 도메인에 2개의 가용 영역에 걸쳐 8개의 데이터 노드가 있는 경우, 서브넷당 IP 개수는 8 * 3 / 2 = 12입니다.

  • 도메인의 가용 영역 하나에 6개의 데이터 노드가 있는 경우, 서브넷당 IP 개수는 6 * 3 / 1 = 18입니다.

도메인을 생성할 때 OpenSearch Service는 IP 주소를 예약한 후 도메인에 일부를 사용하고 나머지는 블루/그린 배포를 위해 예약합니다. Amazon EC2 콘솔의 네트워크 인터페이스 단원에서 네트워크 인터페이스 및 연결된 IP 주소를 확인할 수 있습니다. 설명(Description) 열은 네트워크 인터페이스와 연결된 OpenSearch Service 도메인을 보여줍니다.

작은 정보

OpenSearch Service 예약 IP 주소에 전용 서브넷을 생성하는 것이 좋습니다. 전용 서브넷을 사용하면 다른 애플리케이션 및 서비스와 중복을 방지하고 향후 클러스터를 확장해야 할 경우 추가 IP 주소 예약이 가능하도록 할 수 있습니다. 자세히 알아보려면 VPC에서 서브넷 만들기 섹션을 참조하세요.

VPC 액세스를 위한 서비스 연결 역할

서비스 연결 역할은 서비스가 사용자를 대신하여 리소스를 생성하고 관리할 수 있도록 서비스에 권한을 위임하는 고유한 유형의 IAM 역할입니다. OpenSearch Service에서 VPC에 액세스하고, 도메인 엔드포인트를 생성하고, VPC의 서브넷에 네트워크 인터페이스를 배치하려면 서비스 연결 역할이 필요합니다.

OpenSearch Service 콘솔을 사용하여 VPC에서 도메인을 생성할 때 OpenSearch Service에서 자동으로 역할이 생성됩니다. 이 자동 생성이 성공하려면 사용자가 iam:CreateServiceLinkedRole 작업에 대한 권한을 보유해야 합니다. 자세히 알아보려면 IAM 사용 설명서서비스 연결 역할 권한을 참조하세요.

OpenSearch Service가 역할을 생성하면 IAM 콘솔을 사용하여 이 역할(AWSServiceRoleForAmazonOpenSearchService)을 볼 수 있습니다.

이 역할 권한에 대한 모든 정보와 삭제하는 방법은 Amazon OpenSearch Service에 대한 서비스 연결 역할 사용 섹션을 참조하세요.