Behebung von Verbindungsproblemen mit FIPS-Endpunkten in privaten gehosteten Zonen - OpenSearch Amazon-Dienst
Häufige Fehler

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Behebung von Verbindungsproblemen mit FIPS-Endpunkten in privaten gehosteten Zonen

FIPS-Endpunkte funktionieren mit Amazon OpenSearch Serverless-Sammlungen, die öffentlich zugänglich sind. Für neu erstellte VPC-Sammlungen, die neu erstellte VPC-Endpunkte verwenden, funktionieren FIPS-Endpunkte wie erwartet. Für andere VPC-Sammlungen müssen Sie möglicherweise eine manuelle Einrichtung durchführen, um sicherzustellen, dass die FIPS-Endpunkte ordnungsgemäß funktionieren.

So konfigurieren Sie private, gehostete FIPS-Zonen in Amazon Route 53

  1. Öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Überprüfen Sie Ihre gehosteten Zonen:

    1. Suchen Sie die Hosting-Zonen für die Bereiche, in denen sich AWS-Regionen Ihre Sammlungen befinden.

    2. Überprüfen Sie die Benennungsmuster für gehostete Zonen:

      • Nicht-FIPS-Format:. region.aoss.amazonaws.com

      • FIPS-Format:. region.aoss-fips.amazonaws.com

    3. Vergewissern Sie sich, dass der Typ für alle Ihre gehosteten Zonen auf Private gehostete Zone eingestellt ist.

  3. Wenn die private gehostete FIPS-Zone fehlt:

    1. Wählen Sie die entsprechende private gehostete Nicht-FIPS-Zone aus.

    2. Kopieren Sie die zugehörigen Informationen VPCs. Beispiel: vpc-1234567890abcdef0 | us-east-2.

    3. Suchen Sie den Wildcard-Domaineintrag. Beispiel: *.us-east-2.aoss.amazonaws.com.

    4. Kopieren Sie den Value/Route-Verkehr in die Information. Zum Beispiel:. uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws

  4. Erstellen Sie die private gehostete FIPS-Zone:

    1. Erstellen Sie eine neue private gehostete Zone im FIPS-Format. Beispiel: us-east-2.aoss-fips.amazonaws.com.

    2. Geben Sie unter Zugeordnet die VPC-Informationen ein VPCs, die Sie aus der privaten Hosting-Zone ohne FIPS kopiert haben.

  5. Fügen Sie einen neuen Datensatz mit den folgenden Einstellungen hinzu:

    1. Name des Datensatzes: *

    2. Datensatztyp: CNAME

    3. Wert: Geben Sie den Wert ein/leiten Sie den Verkehr zu Informationen weiter, die Sie zuvor kopiert haben.

Häufige Fehler

Wenn Sie Verbindungsprobleme mit Ihren FIPS-kompatiblen VPC-Endpunkten haben, verwenden Sie die folgenden Informationen, um das Problem zu lösen.

  • Fehler bei der DNS-Auflösung — Sie können den FIPS-Endpunktdomänennamen in Ihrer VPC nicht auflösen

  • Verbindungs-Timeouts — Bei Ihren Anfragen an den FIPS-Endpunkt wird das Timeout überschritten

  • Fehler „Zugriff verweigert“ — Die Authentifizierung oder Autorisierung schlägt fehl, wenn FIPS-Endpunkte verwendet werden

  • Fehlende private Hosted Zone-Datensätze für reine VPC-Sammlungen

Um Probleme mit der FIPS-Endpunktkonnektivität zu beheben

  1. Überprüfen Sie die Konfiguration Ihrer privaten gehosteten Zone:

    1. Vergewissern Sie sich, dass eine private gehostete Zone für die FIPS-Endpunktdomäne vorhanden ist (*.region.aoss-fips.amazonaws.com.

    2. Stellen Sie sicher, dass die private gehostete Zone der richtigen VPC zugeordnet ist.

      Weitere Informationen finden Sie unter Private Hosted Zones im Amazon Route 53 Developer Guide und Manage DNS Names im AWS PrivateLink Guide.

  2. Testen Sie die DNS-Auflösung:

    1. Stellen Sie eine Connect zu einer EC2 Instance in Ihrer VPC her.

    2. Führen Sie den folgenden Befehl aus:

      nslookup collection-id.region.aoss-fips.amazonaws.com

    3. Vergewissern Sie sich, dass die Antwort die private IP-Adresse Ihres VPC-Endpunkts enthält.

      Weitere Informationen finden Sie unter Endpunktrichtlinien und DNS-Attribute im Amazon VPC-Benutzerhandbuch.

  3. Überprüfen Sie Ihre Sicherheitsgruppeneinstellungen:

    1. Stellen Sie sicher, dass die mit dem VPC-Endpunkt verbundene Sicherheitsgruppe HTTPS-Verkehr (Port 443) von Ihren Ressourcen zulässt.

    2. Vergewissern Sie sich, dass Sicherheitsgruppen für Ihre Ressourcen ausgehenden Datenverkehr zum VPC-Endpunkt zulassen.

    Weitere Informationen finden Sie unter Endpunktrichtlinien im AWS PrivateLink Handbuch und Sicherheitsgruppen im Amazon VPC-Benutzerhandbuch.

  4. Überprüfen Sie Ihre Netzwerk-ACL-Konfiguration:

    1. Stellen Sie sicher, dass das Netzwerk den Verkehr zwischen Ihren Ressourcen und dem VPC-Endpunkt ACLs zulässt.

      Weitere Informationen finden Sie unter Netzwerk ACLs im Amazon VPC-Benutzerhandbuch.

  5. Überprüfen Sie Ihre Endpunktrichtlinie:

    1. Vergewissern Sie sich, dass die VPC-Endpunktrichtlinie die erforderlichen Aktionen für Ihre OpenSearch serverlosen Ressourcen zulässt.

      Weitere Informationen finden Sie im Handbuch unter Erforderliche VPC-Endpunktberechtigungen und Endpunktrichtlinien.AWS PrivateLink

Tipp

Wenn Sie in Ihrer VPC benutzerdefinierte DNS-Resolver verwenden, konfigurieren Sie sie so, dass Anfragen für *.amazonaws.com Domänen an die AWS Server weitergeleitet werden.