Usar um pipeline do OpenSearch Ingestion com o Confluent Cloud Kafka - OpenSearch Serviço Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar um pipeline do OpenSearch Ingestion com o Confluent Cloud Kafka

É possível usar um pipeline do OpenSearch Ingestion para transmitir dados de clusters do Confluent Cloud Kafka para domínios do Amazon OpenSearch Service e coleções do OpenSearch sem Servidor. O OpenSearch Ingestion suporta configurações de rede pública e privada para o streaming de dados dos clusters do Confluent Cloud Kafka para domínios ou coleções gerenciados pelo OpenSearch Service ou pelo OpenSearch sem Servidor.

Conectividade com clusters do Kafka públicos do Confluent Cloud

Você pode usar os pipelines do OpenSearch Ingestion para migrar dados de um cluster do Confluent Cloud Kafka com uma configuração pública, o que significa que o nome DNS do domínio pode ser resolvido publicamente. Para fazer isso, configure um pipeline de ingestão do OpenSearch com o cluster do Kafka público do Confluent Cloud como origem e o OpenSearch Service ou o OpenSearch sem Servidor como destino. Isso processa seus dados de streaming de um cluster de origem autogerenciado para um domínio ou coleção de destino gerenciado pela AWS.

Pré-requisitos

Antes de criar o pipeline da Ingestão do OpenSearch, execute as seguintes etapas:

  1. Crie um cluster de clusters do Confluent Cloud Kafka atuando como fonte. O cluster deve conter os dados que você deseja ingerir no OpenSearch Service.

  2. Crie um domínio do OpenSearch Service ou uma coleção do OpenSearch sem Servidor para onde deseja migrar dados. Para obter mais informações, consulte Criação de domínios do OpenSearch Service e Criação de coleções.

  3. Configure a autenticação em seu cluster do Confluent Cloud Kafka com o AWS Secrets Manager. Habilite a alternância de segredos seguindo as etapas em Alternar segredos do AWS Secrets Manager.

  4. Anexe uma política baseada em recursos ao seu domínio ou uma política de acesso a dados à sua coleção. Essas políticas de acesso permitem que o OpenSearch Ingestion grave dados do seu cluster autogerenciado em seu domínio ou coleção.

    O exemplo de política de acesso ao domínio a seguir permite que a função de pipeline, que você cria na próxima etapa, grave dados em um domínio. Lembre-se de atualizar o resource com seu próprio ARN.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{pipeline-account-id}:role/pipeline-role" }, "Action": [ "es:DescribeDomain", "es:ESHttp*" ], "Resource": [ "arn:aws:es:{region}:{account-id}:domain/domain-name" ] } ] }

    Para criar um perfil do IAM com as permissões corretas para acessar dados de gravação na coleção ou no domínio, consulte Permissões necessárias para domínios e Permissões necessárias para coleções.

Etapa 1: configurar a função do pipeline

Depois de configurar os pré-requisitos do pipeline do cluster do Confluent Cloud Kafka, configure a função do pipeline que você deseja usar na configuração do pipeline e adicione permissão para gravar em um domínio do OpenSearch Service ou em uma coleção do OpenSearch sem Servidor, bem como permissão para ler segredos do Secrets Manager.

A permissão a seguir é necessária para gerenciar a interface de rede:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AttachNetworkInterface", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DetachNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Resource": [ "arn:aws:ec2:*:{account-id}:network-interface/*", "arn:aws:ec2:*:{account-id}:subnet/*", "arn:aws:ec2:*:{account-id}:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeDhcpOptions", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:Describe*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "StringEquals": { "aws:RequestTag/OSISManaged": "true" } } } ] }

A seguir está a permissão necessária para ler os segredos do serviço do AWS Secrets Manager:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretsManagerReadAccess", "Effect": "Allow", "Action": ["secretsmanager:GetSecretValue"], "Resource": ["arn:aws:secretsmanager:<region:<account-id>:secret:<,secret-name>"] } ] }

As seguintes permissões são necessárias para gravar em um domínio do Amazon OpenSearch Service:

{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{your-account-id}:role/{pipeline-role}" }, "Action": ["es:DescribeDomain", "es:ESHttp*"], "Resource": "arn:aws:es:{region}:{your-account-id}:domain/{domain-name}/*" } ] }

Etapa 2: Criar o pipeline

Em seguida, você pode configurar um pipeline de Ingestão do OpenSearch como o seguinte, que especifica o Confluent Cloud Kafka como a fonte.

É possível especificar vários domínios do OpenSearch Service como destinos para dados. Esse recurso permite roteamentos condicionais ou a replicação de dados recebidos em vários domínios do OpenSearch Service.

Também é possível migrar dados de um cluster de origem do Confluent Kafka para uma coleção da VPC do OpenSearch sem Servidor. Forneça uma política de acesso à rede na configuração do pipeline. Você pode usar um registro de esquema do Confluent para definir um esquema do Confluent.

version: "2" kafka-pipeline: source: kafka: encryption: type: "ssl" topics: - name: "topic-name" group_id: "group-id" bootstrap_servers: - "bootstrap-server.us-west-2.aws.private.confluent.cloud:9092" authentication: sasl: plain: username: ${aws_secrets:confluent-kafka-secret:username} password: ${aws_secrets:confluent-kafka-secret:password} schema: type: confluent registry_url: https://my-registry.us-west-2.aws.confluent.cloud api_key: "${{aws_secrets:schema-secret:schema_registry_api_key}}" api_secret: "${{aws_secrets:schema-secret:schema_registry_api_secret}}" basic_auth_credentials_source: "USER_INFO" sink: - opensearch: hosts: ["https://search-mydomain.us-west-2.es.amazonaws.com"] aws: sts_role_arn: "arn:aws:iam::{account-id}:role/pipeline-role" region: "us-west-2" index: "confluent-index" extension: aws: secrets: confluent-kafka-secret: secret_id: "my-kafka-secret" region: "us-west-2" sts_role_arn: "arn:aws:iam::{account-id}:role/pipeline-role" schema-secret: secret_id: "my-self-managed-kafka-schema" region: "us-west-2" sts_role_arn: "arn:aws:iam::{account-id}:role/pipeline-role"

É possível usar um esquema pré-configurado para criar esse pipeline. Para ter mais informações, consulte Usar esquemas para criar um pipeline.

Conectividade com clusters do Confluent Cloud Kafka em uma VPC

Também é possível usar pipelines do OpenSearch Ingestion para migrar dados de um cluster do Confluent Cloud Kafka em execução em uma VPC. Para fazer isso, configure um pipeline de ingestão do OpenSearch com o cluster do Confluent Cloud Kafka como uma origem e o OpenSearch Service ou o OpenSearch sem Servidor como destino. Isso processa seus dados de streaming de um cluster de origem do Confluent Cloud Kafka para um domínio ou coleção de destino gerenciado pela AWS.

O OpenSearch Ingestion é compatível com clusters do Confluent Cloud Kafka configurados em todos os modos de rede compatíveis no Confluent. Os seguintes modos de configuração de rede são compatíveis como origem no OpenSearch Ingestion:

  • Emparelhamento de VPC da AWS

  • AWS PrivateLink para clusters dedicados

  • AWS PrivateLink para clusters corporativos

  • AWS Transit Gateway

Pré-requisitos

Antes de criar o pipeline da Ingestão do OpenSearch, execute as seguintes etapas:

  1. Crie um cluster do Confluent Cloud Kafka com uma configuração de rede da VPC que contenha os dados que você deseja ingerir no OpenSearch Service.

  2. Crie um domínio do OpenSearch Service ou uma coleção do OpenSearch sem Servidor para onde deseja migrar dados. Para obter mais informações, consulte Criação de domínios do OpenSearch Service e Criação de coleções.

  3. Configure a autenticação em seu cluster do Confluent Cloud Kafka com o AWS Secrets Manager. Habilite a alternância de segredos seguindo as etapas em Alternar segredos do AWS Secrets Manager.

  4. Obtenha o ID da VPC que tem acesso ao Kafka autogerenciado. Escolha o CIDR da VPC a ser usado pelo OpenSearch Ingestion.

    nota

    Se você estiver usando o AWS Management Console para criar seu pipeline, você também deve anexar seu pipeline de ingestão do OpenSearch à sua VPC para usar o Kafka autogerenciado. Para fazer isso, encontre a seção Configuração de rede, marque a caixa de seleção Anexar à VPC e escolha seu CIDR em uma das opções padrão fornecidas ou selecione a sua própria. Você pode usar qualquer CIDR de um espaço de endereço privado, conforme definido em Melhor prática atual RFC 1918.

    Para fornecer um CIDR personalizado, selecione Outro no menu suspenso. Para evitar uma colisão de endereços IP entre o OpenSearch Ingestion e o OpenSearch autogerenciado, verifique se o CIDR autogerenciado da VPC do OpenSearch é diferente do CIDR para o OpenSearch Ingestion.

  5. Anexe uma política baseada em recursos ao seu domínio ou uma política de acesso a dados à sua coleção. Essas políticas de acesso permitem que o OpenSearch Ingestion grave dados do seu cluster autogerenciado em seu domínio ou coleção.

    nota

    Se você estiver usando AWS PrivateLink para conectar seu Confluent Cloud Kafka, precisará configurar as Opções de DHCP da VPC. Os nomes de host DNS e a resolução do DNS devem estar habilitados.

    O exemplo de política de acesso ao domínio a seguir permite que a função de pipeline, que você cria na próxima etapa, grave dados em um domínio. Lembre-se de atualizar o resource com seu próprio ARN.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{pipeline-account-id}:role/pipeline-role" }, "Action": [ "es:DescribeDomain", "es:ESHttp*" ], "Resource": [ "arn:aws:es:{region}:{account-id}:domain/domain-name" ] } ] }

    Para criar um perfil do IAM com as permissões corretas para acessar dados de gravação na coleção ou no domínio, consulte Permissões necessárias para domínios e Permissões necessárias para coleções.

Etapa 1: configurar a função do pipeline

Depois de configurar os pré-requisitos do pipeline, configure o perfil de pipeline que você deseja usar na configuração do pipeline e adicione as seguintes permissões nesse perfil:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SecretsManagerReadAccess", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": ["arn:aws:secretsmanager:{region}:{account-id}:secret:secret-name"] }, { "Effect": "Allow", "Action": [ "ec2:AttachNetworkInterface", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DetachNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Resource": [ "arn:aws:ec2:*:{account-id}:network-interface/*", "arn:aws:ec2:*:{account-id}:subnet/*", "arn:aws:ec2:*:{account-id}:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeDhcpOptions", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:Describe*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "StringEquals": { "aws:RequestTag/OSISManaged": "true" } } } ] }

Você deve fornecer as permissões do Amazon EC2 acima sobre o perfil do IAM que você usa para criar o pipeline do OpenSearch Ingestion porque o pipeline usa essas permissões para criar e excluir uma interface de rede em sua VPC. O pipeline só pode acessar o cluster do Kafka por meio dessa interface de rede.

Etapa 2: Criar o pipeline

Em seguida, você pode configurar um pipeline de Ingestão do OpenSearch como o seguinte, que especifica o Kafka como a origem.

É possível especificar vários domínios do OpenSearch Service como destinos para dados. Esse recurso permite roteamentos condicionais ou a replicação de dados recebidos em vários domínios do OpenSearch Service.

Também é possível migrar dados de um cluster de origem do Confluent Kafka para uma coleção da VPC do OpenSearch sem Servidor. Forneça uma política de acesso à rede na configuração do pipeline. Você pode usar um registro de esquema do Confluent para definir um esquema do Confluent.

version: "2" kafka-pipeline: source: kafka: encryption: type: "ssl" topics: - name: "topic-name" group_id: "group-id" bootstrap_servers: - "bootstrap-server.us-west-2.aws.private.confluent.cloud:9092" authentication: sasl: plain: username: ${aws_secrets:confluent-kafka-secret:username} password: ${aws_secrets:confluent-kafka-secret:password} schema: type: confluent registry_url: https://my-registry.us-west-2.aws.confluent.cloud api_key: "${{aws_secrets:schema-secret:schema_registry_api_key}}" api_secret: "${{aws_secrets:schema-secret:schema_registry_api_secret}}" basic_auth_credentials_source: "USER_INFO" sink: - opensearch: hosts: ["https://search-mydomain.us-west-2.es.amazonaws.com"] aws: sts_role_arn: "arn:aws:iam::{account-id}:role/pipeline-role" region: "us-west-2" index: "confluent-index" extension: aws: secrets: confluent-kafka-secret: secret_id: "my-kafka-secret" region: "us-west-2" sts_role_arn: "arn:aws:iam::{account-id}:role/pipeline-role" schema-secret: secret_id: "my-self-managed-kafka-schema" region: "us-west-2" sts_role_arn: "arn:aws:iam::{account-id}:role/pipeline-role"

É possível usar um esquema pré-configurado para criar esse pipeline. Para ter mais informações, consulte Usar esquemas para criar um pipeline.