Regions- und kontoübergreifender Datenzugriff mit clusterübergreifender Suche - OpenSearch Amazon-Dienst
Einrichtung von Zugriffsberechtigungen für den region- und kontoübergreifenden Datenzugriff mit clusterübergreifender SucheEine Verbindung zwischen Domänen herstellenTesten Sie Ihre Sicherheitseinstellungen für den region- und kontoübergreifenden Datenzugriff mit clusterübergreifender SucheLöschen einer Verbindung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Regions- und kontoübergreifender Datenzugriff mit clusterübergreifender Suche

Mithilfe der clusterübergreifenden Suche in Amazon OpenSearch Serverless können Sie Abfragen und Aggregationen über mehrere verbundene Domains hinweg durchführen.

Die clusterübergreifende Suche in Amazon OpenSearch Serverless verwendet die Konzepte einer Quelldomäne und einer Zieldomäne. Eine clusterübergreifende Suchanfrage stammt von einer Quelldomäne. Die Zieldomäne kann sich in einer anderen AWS-Konto oder AWS-Region (oder beiden) befinden, von der aus die Quelldomäne abgefragt werden soll. Mithilfe der clusterübergreifenden Suche können Sie eine Quelldomäne so konfigurieren, dass sie mit Ihrer OpenSearch Benutzeroberfläche in demselben Konto verknüpft wird, und dann Verbindungen zu Zieldomänen herstellen. Daher können Sie die OpenSearch Benutzeroberfläche mit Daten aus den Zieldomänen verwenden, auch wenn sie sich in einem anderen Konto oder einer anderen Region befinden.

Sie zahlen die üblichen AWS Datenübertragungsgebühren für Daten, die innerhalb und außerhalb von Amazon OpenSearch Service übertragen werden. Für Datenübertragungen zwischen Knoten innerhalb Ihrer OpenSearch Service-Domain werden Ihnen keine Gebühren berechnet. Weitere Informationen zu Gebühren für eingehende und ausgehende Daten finden Sie unter Datenübertragung auf der Seite mit den EC2 Amazon-On-Demand-Preisen.

Sie können die clusterübergreifende Suche als Mechanismus verwenden, um Ihre OpenSearch Benutzeroberfläche mit Clustern in einem anderen Konto oder einer anderen Region zu verknüpfen. Die Anfragen zwischen Domänen werden bei der Übertragung standardmäßig als Teil der node-to-node Verschlüsselung verschlüsselt.

Anmerkung

Das OpenSearch Open-Source-Tool dokumentiert auch die clusterübergreifende Suche. Beachten Sie, dass sich die Einrichtung des Open-Source-Tools für Open-Source-Cluster im Vergleich zu verwalteten Amazon OpenSearch Serverless-Domains erheblich unterscheidet.

Vor allem in Amazon OpenSearch Serverless konfigurieren Sie clusterübergreifende Verbindungen mithilfe von, AWS Management Console anstatt Anfragen zu verwendencURL. Der verwaltete Service verwendet AWS Identity and Access Management (IAM) für die clusterübergreifende Authentifizierung zusätzlich zur detaillierten Zugriffskontrolle.

Wir empfehlen daher, anstelle der Open-Source-Dokumentation die Inhalte in diesem Thema zu verwenden, um die clusterübergreifende Suche für Ihre Domains zu konfigurieren. OpenSearch

Funktionale Unterschiede bei der Verwendung der clusterübergreifenden Suche

Im Vergleich zu regulären Domänen weisen Zieldomänen, die mithilfe der clusterübergreifenden Suche erstellt wurden, die folgenden funktionalen Unterschiede und Anforderungen auf:

  • Sie können nicht in den Remote-Cluster schreiben oder PUT Befehle für ihn ausführen. Ihr Zugriff auf den Remote-Cluster ist schreibgeschützt.

  • Sowohl die Quell- als auch die Zieldomäne müssen Domänen sein. OpenSearch Sie können keine Elasticsearch-Domain oder selbstverwaltete OpenSearch /Elasticsearch-Cluster für die Benutzeroberfläche verbinden. OpenSearch

  • Eine Domain kann maximal 20 Verbindungen zu anderen Domains haben. Dies umfasst sowohl ausgehende als auch eingehende Verbindungen.

  • Die Quelldomäne muss sich auf derselben oder einer höheren Version OpenSearch als die Zieldomäne befinden. Wenn Sie bidirektionale Verbindungen zwischen zwei Domänen einrichten möchten, sollten sich die beiden Domänen in derselben Version befinden. Wir empfehlen, beide Domains auf die neueste Version zu aktualisieren, bevor Sie die Verbindung herstellen. Wenn Sie Domänen aktualisieren müssen, nachdem Sie die bidirektionale Verbindung eingerichtet haben, müssen Sie zuerst die Verbindung löschen und anschließend neu erstellen.

  • Sie können keine benutzerdefinierten Wörterbücher oder SQL mit den Remote-Clustern verwenden.

  • Sie können es nicht verwenden, AWS CloudFormation um Domänen zu verbinden.

  • Sie können die Cluster-übergreifende Suche auf M3- oder (T2 und T3) Burstable Instances nicht verwenden.

  • Die clusterübergreifende Suche funktioniert nicht für Amazon OpenSearch Serverless-Sammlungen.

Voraussetzungen für die clusterübergreifende Suche für die Benutzeroberfläche OpenSearch

Bevor Sie die clusterübergreifende Suche mit zwei OpenSearch Domänen einrichten, stellen Sie sicher, dass Ihre Domänen die folgenden Anforderungen erfüllen:

  • Für beide Domänen ist eine differenzierte Zugriffskontrolle aktiviert

  • Node-to-node Die Verschlüsselung ist für beide Domänen aktiviert

Einrichtung von Zugriffsberechtigungen für den region- und kontoübergreifenden Datenzugriff mit clusterübergreifender Suche

Wenn Sie eine clusterübergreifende Suchanfrage an die Quelldomäne senden, bewertet die Domäne diese Anfrage anhand ihrer Domänenzugriffsrichtlinie. Eine clusterübergreifende Suche erfordert eine differenzierte Zugriffskontrolle. Im Folgenden finden Sie ein Beispiel mit einer Open-Access-Richtlinie für die Quelldomäne.

JSON
{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Principal": {
          "AWS": [
            "*"
        ]
      },
      "Action": [
        "es:ESHttp*"
      ],
      "Resource": "arn:aws:es:region:111222333444:domain/src-domain/*"
    }
  ]
}
Anmerkung

Wenn Sie Remote-Indizes in den Pfad einbeziehen, müssen Sie den URI im Domänen-ARN URL-codieren.

Verwenden Sie beispielsweise das folgende ARN-Format:

:arn:aws:es:us-east-1:111222333444:domain/my-domain/local_index,dst%3Aremote_index

Verwenden Sie nicht das folgende ARN-Format:

arn:aws:es:us-east-1:111222333444:domain/my-domain/local_index,dst:remote_index.

Wenn Sie zusätzlich zur detaillierten Zugriffskontrolle eine restriktive Zugriffsrichtlinie verwenden möchten, muss Ihre Richtlinie mindestens den Zugriff auf zulassen. es:ESHttpGet Im Folgenden wird ein Beispiel gezeigt:

JSON
{
"Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::111222333444:user/john-doe"
        ]
      },
      "Action": "es:ESHttpGet",
      "Resource": "arn:aws:es:us-east-1:account:domain/my-domain/*"
    }
  ]
}

Eine differenzierte Zugriffskontrolle für die Quelldomäne bewertet die Anfrage, um festzustellen, ob sie mit gültigen IAM- oder HTTP-Basisanmeldedaten signiert ist. Ist dies der Fall, bewertet die feinkörnige Zugriffskontrolle als Nächstes, ob der Benutzer berechtigt ist, die Suche durchzuführen und auf die Daten zuzugreifen.

Im Folgenden sind die Berechtigungsanforderungen für Suchvorgänge aufgeführt:

  • Wenn mit der Anfrage nur Daten in der Zieldomäne durchsucht werden (z. dest-alias:dest-index/_search) B. sind Berechtigungen nur für die Zieldomäne erforderlich).

  • Wenn mit der Anfrage Daten in beiden Domänen durchsucht werden (z. source-index,dest-alias:dest-index/_search) B. sind Berechtigungen für beide Domänen erforderlich).

  • Um eine differenzierte Zugriffskontrolle zu verwenden, indices:admin/shards/search_shards ist die Berechtigung zusätzlich zu den standardmäßigen Lese- oder Suchberechtigungen für die entsprechenden Indizes erforderlich.

Die Quelldomäne übergibt die Anforderung an die Zieldomäne. Die Zieldomäne wertet diese Anforderung anhand ihrer Domänenzugriffsrichtlinie aus. Um alle Funktionen der OpenSearch Benutzeroberfläche zu unterstützen, z. B. das Indizieren von Dokumenten und das Durchführen von Standardsuchen, müssen vollständige Berechtigungen festgelegt werden. Im Folgenden finden Sie ein Beispiel für unsere empfohlene Richtlinie für die Zieldomäne:

JSON
{
"Version": "2012-10-17",
 "Statement": [
    {
       "Effect": "Allow",
       "Principal": {
         "AWS": [
           "*"
        ]
      },
      "Action": [
        "es:ESHttp*"
      ],
      "Resource": "arn:aws:es:us-east-2:111222333444:domain/my-destination-domain/*"
    },
    {
    "Effect": "Allow",
        "Principal": {
    "AWS": "*"
      },
      "Action": "es:ESCrossClusterGet",
      "Resource": "arn:aws:es:us-east-2:111222333444:domain/"
    }
  ]
}

Wenn Sie nur einfache Suchen durchführen möchten, besteht die Richtlinienmindestanforderung darin, dass die es:ESCrossClusterGet Genehmigung für die Zieldomain ohne Unterstützung von Platzhaltern beantragt wird. In der vorherigen Richtlinie würden Sie beispielsweise den Domainnamen als /my-destination-domain und nicht /my-destination-domain/* angeben.

In diesem Fall führt die Zieldomäne die Suche durch und gibt die Ergebnisse an die Quelldomäne zurück. Die Quelldomäne kombiniert ihre eigenen Ergebnisse (falls vorhanden) mit den Ergebnissen der Zieldomäne und gibt sie an Sie zurück.

Eine Verbindung zwischen Domänen herstellen

Eine clusterübergreifende Suchverbindung ist unidirektional von der Quelldomäne zur Zieldomäne. Das bedeutet, dass die Zieldomänen (in einem anderen Konto oder einer anderen Region) die Quelldomäne, die lokal auf der OpenSearch Benutzeroberfläche ist, nicht abfragen können. Die Quelldomäne stellt eine ausgehende Verbindung zur Zieldomäne her. Die Zieldomäne empfängt eine eingehende Verbindungsanfrage von der Quelldomäne.

Dieses Bild zeigt, dass eine clusterübergreifende Suchverbindung unidirektional von der Quelldomäne zur Zieldomäne verläuft.
Um eine Verbindung zwischen Domänen herzustellen

  1. Melden Sie sich zu https://console.aws.amazon.com/aos/Hause bei der Amazon OpenSearch Service-Konsole an.

  2. Wählen Sie in der linken Navigationsleiste Domains aus.

  3. Wählen Sie den Namen einer Domain aus, die als Quelldomain dienen soll, und wählen Sie dann den Tab Verbindungen aus.

  4. Wählen Sie im Bereich Ausgehende Verbindungen die Option Anfrage aus.

  5. Geben Sie unter Verbindungs-Alias einen Namen für die Verbindung ein. Der Verbindungsalias wird in der OpenSearch Benutzeroberfläche für die Auswahl der Zieldomänen verwendet.

  6. Wählen Sie für den Verbindungsmodus Direct für clusterübergreifende Suchen oder Replikation.

  7. Um anzugeben, dass die Verbindung nicht verfügbare Cluster während einer Suche überspringen soll, aktivieren Sie das Feld Nicht verfügbare Cluster überspringen. Wenn Sie diese Option wählen, wird sichergestellt, dass Ihre clusterübergreifenden Abfragen unvollständige Ergebnisse zurückgeben, unabhängig von Ausfällen auf einem oder mehreren Remote-Clustern.

  8. Wählen Sie für Zielcluster zwischen Connect einem Cluster in diesem verbinden AWS-Konto und Mit einem Cluster in einem anderen verbinden AWS-Konto.

  9. Geben Sie für Remote Domain ARN den Amazon-Ressourcennamen (ARN) für den Cluster ein. Der Domain-ARN befindet sich im Bereich Allgemeine Informationen auf der Detailseite der Domain.

    Die Domain muss die folgenden Anforderungen erfüllen:

    • Der ARN muss das Format habenarn:partition:es:regionaccount-id:type/domain-id. Zum Beispiel:

      arn:aws:es:us-east-2:111222333444:domain/my-domain

    • Die Domain muss für die Verwendung von OpenSearch Version 1.0 (oder höher) oder Elasticsearch Version 6.7 (oder höher) konfiguriert sein.

    • Für die Domain muss eine detaillierte Zugriffskontrolle aktiviert sein.

    • Die Domain muss laufen. OpenSearch

  10. Wählen Sie Request (Anfrage).

Die Cluster-übergreifende Suche überprüft zuerst die Verbindungsanforderung, um sicherzustellen, dass die Voraussetzungen erfüllt sind. Wenn die Domänen nicht kompatibel sind, wechselt die Verbindungsanforderung in den Validation failed Status.

Wenn die Verbindungsanforderung erfolgreich validiert wurde, wird sie an die Zieldomäne gesendet, wo sie genehmigt werden muss. Bis diese Genehmigung erteilt wird, bleibt die Verbindung in einem Pending acceptance Zustand. Wenn die Verbindungsanforderung in der Zieldomäne akzeptiert wird, ändert sich der Status in Active und die Zieldomäne steht für Abfragen zur Verfügung.

Auf der Domänenseite werden die allgemeinen Domänenintegritäts- und Instance-Integritätsdetails Ihrer Zieldomäne angezeigt. Nur Domänenbesitzer haben die Flexibilität, Verbindungen zu oder von ihren Domänen zu erstellen, anzuzeigen, zu entfernen und zu überwachen.

Nachdem die Verbindung hergestellt wurde, wird jeder Datenverkehr, der zwischen den Knoten der verbundenen Domänen fließt, verschlüsselt. Wenn Sie eine VPC-Domäne mit einer Nicht-VPC-Domäne verbinden und die Nicht-VPC-Domäne ein öffentlicher Endpunkt ist, der Datenverkehr aus dem Internet empfangen kann, ist der clusterübergreifende Verkehr zwischen den Domänen weiterhin verschlüsselt und sicher.

Testen Sie Ihre Sicherheitseinstellungen für den region- und kontoübergreifenden Datenzugriff mit clusterübergreifender Suche

Nachdem Sie die Zugriffsberechtigungen für den region- und kontoübergreifenden Datenzugriff mit clusterübergreifender Suche eingerichtet haben, empfehlen wir, das Setup mit einer Drittanbieterplattform für die kollaborative PostmanAPI-Entwicklung zu testen.

Um Ihr Sicherheits-Setup einzurichten, verwenden Sie Postman

  1. Indexieren Sie ein Dokument in der Zieldomäne. Im Folgenden finden Sie eine Beispielanforderung:

    POST https://dst-domain.us-east-1.es.amazonaws.com/books/_doc/1
{
"Dracula": "Bram Stoker"
}

  2. Wenn Sie diesen Index von der Quelldomäne abfragen möchten, fügen Sie den Verbindungsalias der Zieldomäne in die Abfrage ein. Sie finden den Verbindungsalias auf der Registerkarte Verbindungen in Ihrem Domänen-Dashboard. Im Folgenden finden Sie eine Beispielanforderung und eine gekürzte Antwort:

    GET https://src-domain.us-east-1.es.amazonaws.com/connection_alias:books/_search
{
    ...
  "hits": [
    {
"_index": "source-destination:books",
      "_type": "_doc",
      "_id": "1",
      "_score": 1,
      "_source": {
"Dracula": "Bram Stoker"
      }
    }
  ]
}

  3. (Optional) Sie können eine Konfiguration erstellen, die mehrere Domänen in einer einzigen Suche umfasst. Nehmen wir zum Beispiel an, Sie haben Folgendes eingerichtet:

    Eine Verbindung zwischen domain-a bis domain-b mit dem Namen des Verbindungsalias cluster_b

    Eine Verbindung zwischen domain-a bisdomain-c, mit einem Verbindungsalias namens cluster_c

    In diesem Fall umfassen Ihre Suchanfragen den Inhalt domain-adomain-b, unddomain-c. Im Folgenden finden Sie ein Beispiel für eine Anfrage und eine Antwort:

    Anforderung

    GET https://src-domain.us-east-1.es.amazonaws.com/local_index,cluster_b:b_index,cluster_c:c_index/_search
{
  "query": {
    "match": {
      "user": "domino"
    }
  }
}

    Antwort:

    {
"took": 150,
  "timed_out": false,
  "_shards": {
"total": 3,
    "successful": 3,
    "failed": 0,
    "skipped": 0
  },
  "_clusters": {
"total": 3,
    "successful": 3,
    "skipped": 0
  },
  "hits": {
"total": 3,
    "max_score": 1,
    "hits": [
      {
"_index": "local_index",
        "_type": "_doc",
        "_id": "0",
        "_score": 1,
        "_source": {
"user": "domino",
          "message": "This is message 1",
          "likes": 0
        }
      },
      {
"_index": "cluster_b:b_index",
        "_type": "_doc",
        "_id": "0",
        "_score": 2,
        "_source": {
"user": "domino",
          "message": "This is message 2",
          "likes": 0
        }
      },
      {
"_index": "cluster_c:c_index",
        "_type": "_doc",
        "_id": "0",
        "_score": 3,
        "_source": {
"user": "domino",
          "message": "This is message 3",
          "likes": 0
        }
      }
    ]
  }
}

Wenn Sie in Ihrer Verbindungseinrichtung nicht ausgewählt haben, dass nicht verfügbare Cluster übersprungen werden sollen, müssen alle Zielcluster, die Sie durchsuchen, verfügbar sein, damit Ihre Suchanfrage erfolgreich ausgeführt werden kann. Andernfalls schlägt die gesamte Anforderung fehl, auch wenn eine der Domänen nicht verfügbar ist, werden keine Suchergebnisse zurückgegeben.

Löschen einer Verbindung

Durch das Löschen einer Verbindung werden alle clusterübergreifenden Suchvorgänge in der Zieldomäne beendet.

Sie können das folgende Verfahren entweder für die Quell- oder Zieldomäne ausführen, um die Verbindung zu entfernen. Nachdem Sie die Verbindung entfernt haben, bleibt sie mit einem Status von Deleted 15 Tagen sichtbar.

Sie können eine Domäne mit aktiven Cluster-übergreifenden Verbindungen nicht löschen. Um eine Domäne zu löschen, entfernen Sie zuerst alle eingehenden und ausgehenden Verbindungen aus dieser Domäne. Damit stellen Sie sicher, dass Sie die Benutzer der Cluster-übergreifenden Domäne berücksichtigen, bevor Sie die Domäne löschen.

So löschen Sie eine Verbindung

  1. Melden Sie sich zu https://console.aws.amazon.com/aos/Hause bei der Amazon OpenSearch Service-Konsole an.

  2. Wählen Sie in der linken Navigationsleiste Domains aus.

  3. Wählen Sie den Namen einer zu löschenden Domain und anschließend den Tab Verbindungen aus.

  4. Wählen Sie den Namen einer Verbindung aus, die gelöscht werden soll.

  5. Wählen Sie Löschen und bestätigen Sie dann den Löschvorgang.