Lançamento de seus domínios OpenSearch do Amazon Service em um VPC - OpenSearch Serviço Amazon
VPCversus domínios públicosLimitaçõesArquitetura

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Lançamento de seus domínios OpenSearch do Amazon Service em um VPC

Você pode lançar AWS recursos, como domínios do Amazon OpenSearch Service, em uma nuvem privada virtual (VPC). A VPC é uma rede virtual dedicada ao seu Conta da AWS. É logicamente isolado de outras redes virtuais no AWS Nuvem. A colocação OpenSearch de um domínio de serviço em um VPC permite a comunicação segura entre o OpenSearch Serviço e outros serviços dentro do, VPC sem a necessidade de um gateway de internet, NAT dispositivo ou VPN conexão. Todo o tráfego permanece seguro dentro do AWS Nuvem.

nota

Se você colocar seu domínio OpenSearch de serviço em umVPC, seu computador deve ser capaz de se conectar aoVPC. Essa conexão geralmente assume a forma de um gateway de trânsitoVPN, rede gerenciada ou servidor proxy. Você não pode acessar diretamente seus domínios de fora doVPC.

VPCversus domínios públicos

Veja a seguir algumas das maneiras pelas quais os VPC domínios diferem dos domínios públicos. Cada diferença é descrita posteriormente em mais detalhes.

  • Devido ao seu isolamento lógico, os domínios que residem em um VPC têm uma camada extra de segurança em comparação com os domínios que usam endpoints públicos.

  • Embora os domínios públicos possam ser acessados de qualquer dispositivo conectado à Internet, os VPC domínios exigem alguma forma de proxy. VPN

  • Em comparação com os domínios públicos, os VPC domínios exibem menos informações no console. Especificamente, a guia Cluster health (Integridade do cluster) não inclui informações de fragmentos, e a guia Indexes (Índices) não está presente.

  • Os endpoits de domínio assumem formas diferentes (https://search-domain-name vs. https://vpc-domain-name).

  • Você não pode aplicar políticas de acesso baseadas em IP a domínios que residem em um VPC porque os grupos de segurança já aplicam políticas de acesso baseadas em IP.

Limitações

Operar um domínio de OpenSearch serviço em um VPC tem as seguintes limitações:

  • Se você lançar um novo domínio em umVPC, não poderá alterná-lo posteriormente para usar um endpoint público. O inverso também é verdadeiro: se você criar um domínio com um endpoint público, não poderá colocá-lo posteriormente em umVPC. Em vez disso, você deve criar um novo domínio e migrar seus dados.

  • Você pode iniciar seu domínio em um VPC ou usar um endpoint público, mas não pode fazer as duas coisas. Você deve escolher uma opção ou outra ao criar seu domínio.

  • Você não pode lançar seu domínio em um VPC que usa locação dedicada. Você deve usar um VPC com locação definida como Padrão.

  • Depois de colocar um domínio em umVPC, você não pode movê-lo para outroVPC, mas pode alterar as configurações de sub-redes e grupos de segurança.

  • Para acessar a instalação padrão dos OpenSearch painéis para um domínio que reside em umVPC, os usuários devem ter acesso ao. VPC Esse processo varia de acordo com a configuração da rede, mas provavelmente envolve a conexão com uma rede gerenciada VPN ou o uso de um servidor proxy ou gateway de trânsito. Para saber maisSobre políticas de acesso em VPC domínios, consulte o Guia VPC do usuário da Amazon Controle do acesso aos OpenSearch painéis e.

Arquitetura

Para dar suporteVPCs, o OpenSearch Service coloca um endpoint em uma, duas ou três sub-redes do seu. VPC Se você habilitar várias zonas de disponibilidade para seu domínio, cada sub-rede deverá estar em uma zona de disponibilidade diferente na mesma região. Se você usar apenas uma zona de disponibilidade, o OpenSearch Service colocará um endpoint em apenas uma sub-rede.

A ilustração a seguir mostra a VPC arquitetura de uma zona de disponibilidade:

VPC architecture showing subnet with security group connecting to OpenSearch Service data nodes.

A ilustração a seguir mostra a VPC arquitetura de duas zonas de disponibilidade:

VPC architecture with two Availability Zones, showing security groups, data nodes, and master nodes.

OpenSearch O serviço também coloca uma interface de rede elástica (ENI) em VPC cada um dos seus nós de dados. OpenSearch O serviço atribui a cada ENI um um endereço IP privado do intervalo de IPv4 endereços da sua sub-rede. O serviço também atribui um DNS nome de host público (que é o endpoint do domínio) para os endereços IP. Você deve usar um DNS serviço público para resolver o endpoint (que é um DNS nome de host) para os endereços IP apropriados para os nós de dados:

  • Se você VPC usar o DNS servidor fornecido pela Amazon definindo a enableDnsSupport opção como true (o valor padrão), a resolução para o endpoint do OpenSearch serviço será bem-sucedida.

  • Se você VPC usa um DNS servidor privado e o servidor pode acessar os DNS servidores públicos autorizados para resolver DNS nomes de host, a resolução para o endpoint do OpenSearch serviço também será bem-sucedida.

Como os endereços IP podem mudar, você deve resolver o endpoint do domínio periodicamente para que sempre possa acessar os nós de dados corretos. Recomendamos que você defina o intervalo de DNS resolução para um minuto. Se você estiver usando um cliente, você também deve garantir que o DNS cache no cliente seja limpo.

Migrando do acesso público para o VPC acesso

Ao criar um domínio, você especifica se ele deve ter um endpoint público ou residir em umVPC. Após ter sido criado, você não poderá mudar de um para o outro. Em vez disso, você deve criar um novo domínio e reindexar ou migrar manualmente seus dados. Os snapshots representam uma maneira conveniente de migração de dados. Para obter informações sobre a realização e restauração de snapshots, consulte Criação de instantâneos de índice no Amazon Service OpenSearch .

Sobre políticas de acesso em VPC domínios

Colocar seu domínio de OpenSearch serviço em um VPC fornece uma camada de segurança inerente e forte. Quando você cria um domínio com acesso público, o endpoint é composto da seguinte forma:

https://search-domain-name-identifier.region.es.amazonaws.com

Como o rótulo "público" sugere, esse endpoint é acessível de qualquer dispositivo conectado à Internet, embora você possa (e deva) controlar o acesso a ele. Se você acessar o endpoint em um navegador da Web, poderá receber uma mensagem Not Authorized, mas a solicitação atingirá o domínio.

Quando você cria um domínio com VPC acesso, o endpoint se parece com um endpoint público:

https://vpc-domain-name-identifier.region.es.amazonaws.com

Se você tentar acessar o endpoint em um navegador da Web, no entanto, poderá descobrir que a solicitação está ultrapassando o tempo limite. Para realizar até mesmo GET solicitações básicas, seu computador deve ser capaz de se conectar aoVPC. Essa conexão geralmente assume a forma de um gateway de trânsitoVPN, rede gerenciada ou servidor proxy. Para obter detalhes sobre as várias formas que ele pode assumir, consulte exemplos VPC no Guia do VPC usuário da Amazon. Para obter um exemplo focalizado em desenvolvimento, consulte Testando VPC domínios.

Além desse requisito de conectividade, VPCs permita que você gerencie o acesso ao domínio por meio de grupos de segurança. Para muitos casos de uso, essa combinação de recursos de segurança é suficiente e pode ser conveniente aplicar uma política de acesso aberta ao domínio.

Operar com uma política de acesso aberto não significa que qualquer pessoa na Internet possa acessar o domínio do OpenSearch Serviço. Em vez disso, significa que, se uma solicitação chegar ao domínio do OpenSearch Serviço e os grupos de segurança associados permitirem, o domínio aceitará a solicitação. A única exceção é se você estiver usando um controle de acesso refinado ou uma política de acesso que especifique funções. IAM Nessas situações, para que o domínio aceite uma solicitação, os grupos de segurança devem permiti-la e assiná-la com credenciais válidas.

nota

Como os grupos de segurança já aplicam políticas de acesso baseadas em IP, você não pode aplicar políticas de acesso baseadas em IP aos domínios de OpenSearch serviço que residem em um. VPC Se você usa o acesso público, as políticas baseadas em IP ainda estão disponíveis.

Antes de começar: pré-requisitos para acesso VPC

Antes de habilitar uma conexão entre um VPC e seu novo domínio OpenSearch de serviço, você deve fazer o seguinte:

  • Crie um VPC

    Para criar seuVPC, você pode usar o VPC console da Amazon, o AWS CLI, ou um dos AWS SDKs. Para obter mais informações, consulte Trabalhando com VPCs no Guia VPC do usuário da Amazon. Se você já tem umVPC, você pode pular esta etapa.

  • Reservar endereços IP

    OpenSearch O serviço permite a conexão de um VPC a um domínio colocando interfaces de rede em uma sub-rede doVPC. Cada interface de rede está associada a um endereço IP. Você deve reservar um número suficiente de endereços IP na sub-rede para as interfaces de rede. Para obter mais informações, consulte Como reservar endereços IP em uma VPC sub-rede.

Testando VPC domínios

A segurança aprimorada de um VPC pode tornar a conexão com seu domínio e a execução de testes básicos um desafio. Se você já tem um VPC domínio de OpenSearch serviço e prefere não criar um VPN servidor, tente o seguinte processo:

  1. Para a política de acesso do domínio, escolha Only use fine-grained access control (Use somente o controle de acesso refinado). Sempre é possível atualizar essa configuração depois de concluir o teste.

  2. Crie uma EC2 instância Amazon Linux Amazon na mesma VPC sub-rede e grupo de segurança do seu domínio OpenSearch de serviço.

    Como essa instância é para fins de teste e precisa fazer muito pouco trabalho, escolha um tipo de instância de custo reduzido, como o t2.micro. Atribua um endereço IP público à instância e crie um novo par de chaves ou escolha um existente. Se você criar uma nova chave, faça download dela em seu diretório ~/.ssh.

    Para saber mais sobre a criação de instâncias, consulte Introdução às instâncias do Amazon EC2 Linux.

  3. Adicione um gateway de internet ao seuVPC.

  4. Na tabela de rotas do seuVPC, adicione uma nova rota. Em Destino, especifique um CIDRbloco que contenha o endereço IP público do seu computador. Em Target (Destino), especifique o gateway da Internet que você acabou de criar.

    Por exemplo, você pode especificar 123.123.123.123/32 somente para seu computador ou 123.123.123.0/24 para vários computadores.

  5. Para o grupo de segurança, especifique duas regras de entrada:

    Tipo Protocolo Port Range (Intervalo de portas) Origem
    SSH(22) TCP(6) 22 your-cidr-block
    HTTPS(443) TCP(6) 443 your-security-group-id

    A primeira regra permite que você SSH entre na sua EC2 instância. A segunda permite que a EC2 instância se comunique com o domínio OpenSearch Service overHTTPS.

  6. No terminal, execute o comando a seguir:

    ssh -i ~/.ssh/your-key.pem ec2-user@your-ec2-instance-public-ip -N -L 9200:vpc-domain-name.region.es.amazonaws.com:443

    Esse comando cria um SSH túnel que encaminha solicitações para https://localhost:9200 para seu domínio OpenSearch de serviço por meio da EC2 instância. Especificar a porta 9200 no comando simula uma OpenSearch instalação local, mas use a porta que você quiser. OpenSearch O serviço só aceita conexões pela porta 80 (HTTP) ou 443 (HTTPS).

    O comando não fornece comentários e é executado indefinidamente. Para interrompê-lo, pressione Ctrl + C.

  7. Navegue até https://localhost:9200/_dashboards/ em seu navegador da web. Talvez você precise confirmar uma exceção de segurança.

    Como alternativa, você pode enviar solicitações para https://localhost:9200 usando curl, Postman ou a linguagem de programação de sua preferência.

    dica

    Se você encontrar erros de curl devido a uma incompatibilidade de certificado, tente o sinalizador --insecure.

Reservando endereços IP em uma sub-rede VPC

OpenSearch O serviço conecta um domínio a um VPC colocando interfaces de rede em uma sub-rede do VPC (ou em várias sub-redes do, VPC se você habilitar várias zonas de disponibilidade). Cada interface de rede está associada a um endereço IP. Antes de criar seu domínio OpenSearch de serviço, você deve ter um número suficiente de endereços IP disponíveis em cada sub-rede para acomodar as interfaces de rede.

Aqui está a fórmula básica: o número de endereços IP que o OpenSearch serviço reserva em cada sub-rede é três vezes o número de nós de dados, dividido pelo número de zonas de disponibilidade.

Exemplos

  • Se um domínio tiver nove nós de dados por três zonas de disponibilidade, a quantidade de IPs por sub-rede será 9 * 3 / 3 = 9.

  • Se um domínio tiver oito nós de dados por duas zonas de disponibilidade, a quantidade de IPs por sub-rede será 8 * 3 / 2 = 12.

  • Se um domínio tiver seis nós de dados por uma zona de disponibilidade, a quantidade de IPs por sub-rede será 6 * 3 / 1 = 18.

Quando você cria o domínio, o OpenSearch Serviço reserva os endereços IP, usa alguns para o domínio e reserva o restante para implantações azul/verde. Você pode ver as interfaces de rede e seus endereços IP associados na seção Interfaces de rede do EC2 console da Amazon. A coluna Descrição mostra a qual domínio OpenSearch de serviço a interface de rede está associada.

dica

Recomendamos que você crie sub-redes dedicadas para os endereços IP reservados do OpenSearch Serviço. Ao usar sub-redes dedicadas, você evita a sobreposição com outros aplicativos e serviços e garante a possibilidade de reservar endereços IP adicionais se precisar escalar seu cluster no futuro. Para saber mais, consulte Criação de uma sub-rede no seu VPC.

Função vinculada ao serviço para acesso VPC

Uma função vinculada ao serviço é um tipo exclusivo de IAM função que delega permissões a um serviço para que ele possa criar e gerenciar recursos em seu nome. OpenSearch O serviço requer uma função vinculada ao serviço para acessar suaVPC, criar o endpoint do domínio e colocar as interfaces de rede em uma sub-rede da sua. VPC

OpenSearch O serviço cria automaticamente a função quando você usa o console do OpenSearch serviço para criar um domínio em umVPC. Para que essa criação automática seja bem-sucedida, você precisa ter permissões para a ação iam:CreateServiceLinkedRole. Para saber mais, consulte Permissões de funções vinculadas ao serviço no Guia do IAMusuário.

Depois que o OpenSearch Service criar a função, você poderá visualizá-la (AWSServiceRoleForAmazonOpenSearchService) usando o IAM console.

Para obter mais informações sobre as permissões dessa função e como excluí-la, consulte Usando funções vinculadas a serviços para o Amazon Service OpenSearch .