View a markdown version of this page

Routing des ausgehenden Domain-Traffics über Ihre VPC - OpenSearch Amazon-Dienst
-ÜbersichtFunktionsweiseVoraussetzungenEgress auf einer Domain aktivierenAktualisierung oder DeaktivierungÜberprüfung und ÜberwachungFehlerbehebungGrenzen und ÜberlegungenNutzung und Abrechnung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Routing des ausgehenden Domain-Traffics über Ihre VPC

Erfahren Sie, wie Sie ausgehenden Datenverkehr von Ihrer Amazon OpenSearch Service VPC-Domain über Ihre eigene VPC statt über das öffentliche Internet weiterleiten.

Anmerkung

Diese Option wirkt sich nur auf ausgehenden Datenverkehr aus der Domain aus. Der Zugang zur Domain funktioniert immer noch auf die gleiche Weise, an den Ports 80 und 443.

-Übersicht

Standardmäßig erfolgt der Ausgang von einer VPC-Domäne zu benutzerdefinierten Endpunkten über das öffentliche Internet.

Wenn Sie Egress über Ihre VPC aktivieren, gelangt der ausgehende Traffic von der Domain in Ihre VPC und unterliegt Ihren Routing-Tabellen, Sicherheitsgruppen und Netzwerk-ACLs. Verwenden Sie diese Option, wenn der ausgehende Datenverkehr aus der Domain über Ihre VPC gesteuert werden soll oder um private Endpunkte wie VPC-Endpunkte von der Domain aus zu erreichen.

Funktionsweise

Wenn Sie Egress auf einer VPC-Domain aktivieren, platziert OpenSearch Service ein zusätzliches elastic network interface (ENI) in jedem Subnetz, das Sie für die Domain bereitstellen. Der ausgehende Datenverkehr von der Domain wird über diese Ausgangs-ENIs abgeführt.

Die ausgehenden ENIs werden vom Antragsteller verwaltet. OpenSearch Der Service erstellt, konfiguriert und löscht sie für Sie, und Sie können sie nicht von Ihrem Konto aus ändern.

Komponenten in Ihrer VPC

Wenn Egress aktiviert ist, sind zwei Ressourcentypen an Ihrer VPC beteiligt:

  • Domänen-ENIs. Erstellt und verwaltet von OpenSearch Service für eingehenden Datenverkehr zur Domain. Diese existieren in jeder VPC-Domäne, mit oder ohne aktiviertem Ausgang.

  • Egress-ENIs. Wird vom OpenSearch Service über seine dienstbezogene Rolle erstellt und von der Service-Netzwerkebene OpenSearch verwaltet. Diese leiten ausgehenden Datenverkehr von der Domain in Ihre VPC weiter.

In einer Multi-AZ Domain werden die ausgehenden ENIs pro Availability Zone bereitgestellt, sodass sie genau den Subnetzen entsprechen, die Sie für die Domain auswählen.

DNS-Auflösung für ausgehenden Datenverkehr

Wenn der Ausgang über Ihre VPC aktiviert ist, löst die Domain Hostnamen über den Standard-VPC-Resolver auf (die „+2"-Adresse auf Ihrem VPC-CIDR). Benutzerdefinierte DNS-Resolver werden beim Start nicht unterstützt.

Da die Domain den VPC-Resolver verwendet, kann sie Folgendes auflösen:

  • Datensätze in privaten gehosteten Zonen von Amazon Route 53, die mit Ihrer VPC verknüpft sind.

  • Private DNS-Namen von VPC-Endpunkten in Ihrer VPC.

Wichtig

Wenn Ihr VPC-DNS nicht erreichbar oder falsch konfiguriert ist, schlagen die Ausgangsintegrationen der Domain fehl. Siehe Fehlerbehebung.

Voraussetzungen

Bevor Sie Egress über Ihre VPC aktivieren, stellen Sie sicher, dass Ihre VPC die folgenden Anforderungen erfüllt:

  • Die DNS-Auflösung und die DNS-Hostnamen sind beide auf der VPC aktiviert.

  • Der Standard-VPC-Resolver (die „+2-Adresse“ auf Ihrem VPC-CIDR) ist von den Subnetzen aus erreichbar, die Sie für die Domain verwenden möchten.

Subnetz-IP-Kapazität. Reservieren Sie die übliche Anzahl von IP-Adressen für die Domain-ENIs (sieheReservieren von IP-Adressen in einem VPC-Subnetz) sowie zusätzliche IP-Adressen pro Subnetz für die ausgehenden ENIs.

Service-linked Rolle. Die bestehende serviceverknüpfte Amazon OpenSearch Service-Rolle erhält die erforderlichen Berechtigungen, um die ausgehenden ENIs zu erstellen und zu verwalten. Wenn Sie bereits VPC-Domänen verwenden, müssen Sie die Rolle nicht neu erstellen. Weitere Informationen hierzu finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon OpenSearch Service.

Verfügbarkeit in der Region. Egress über Ihre VPC ist in den Regionen verfügbar, die auf der Amazon OpenSearch Service-Seite Endpunkte und Kontingente aufgeführt sind.

Egress auf einer Domain aktivieren

Sie können Egress auf einer VPC-Domain aktivieren, wenn Sie die Domain erstellen, oder indem Sie eine bestehende VPC-Domain aktualisieren. Sie können ausgehenden Datenverkehr nicht auf einer öffentlichen Endpunktdomäne aktivieren. Wenn Sie diese Option aktivieren oder deaktivieren, wird eine Bereitstellung ausgelöst. blue/green

Konsole

  1. Öffnen Sie die Amazon OpenSearch Service-Konsole.

  2. Beginnen Sie mit der Erstellung einer neuen Domain oder wählen Sie eine bestehende VPC-Domain aus und klicken Sie auf Bearbeiten.

  3. Wählen Sie unter Netzwerk die Option VPC-Zugriff und wählen Sie dann wie heute Ihre VPC, Subnetze und Sicherheitsgruppen aus.

  4. Wählen Sie unter VPC-Egress die Option Enable Egress aus.

  5. Führen Sie die verbleibenden Schritte aus und reichen Sie dann die Änderung ein.

AWS CLI

Um eine Domain mit aktiviertem Egress zu erstellen, fügen Sie Folgendes hinzu: EgressEnabled --vpc-options

aws opensearch create-domain \
  --domain-name example-domain \
  --engine-version OpenSearch_2.15 \
  --cluster-config InstanceType=r6g.large.search,InstanceCount=3,ZoneAwarenessEnabled=true \
  --vpc-options '{
      "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
      "SecurityGroupIds": ["sg-EXAMPLE"],
      "EgressEnabled": true
  }'

Verwenden Sie Folgendes, um den ausgehenden Datenverkehr in einer vorhandenen VPC-Domäne umzuschalten: update-domain-config

aws opensearch update-domain-config \
  --domain-name example-domain \
  --vpc-options '{
      "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
      "SecurityGroupIds": ["sg-EXAMPLE"],
      "EgressEnabled": true
  }'

API

Um den ausgehenden Datenverkehr über Ihre VPC zu aktivieren, stellen Sie EgressEnabled die Option true in VPCOptions on CreateDomain oder ein. UpdateDomainConfig Der Wert wird in VPCOptions on DescribeDomain und zurückgegeben. DescribeDomainConfig

{
  "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
  "SecurityGroupIds": ["sg-EXAMPLE"],
  "EgressEnabled": true
}

Das vollständige Schema finden Sie unter VPCoptions in der Amazon OpenSearch Service API-Referenz.

Aktualisierung oder Deaktivierung

Sie können Egress bei der Erstellung einer Domain oder zu einem beliebigen späteren Zeitpunkt aktivieren, und Sie können ihn für eine Domain, für die er aktiviert ist, ausschalten. Sie können auch Availability Zones hinzufügen oder entfernen, solange Egress aktiviert bleibt. Eine Änderung an EgressEnabled löst eine blue/green Bereitstellung aus, genau wie andere VPC-Konfigurationsänderungen. Weitere Informationen finden Sie unter Konfigurationsänderungen in Amazon OpenSearch Service vornehmen.

Wenn Sie Egress deaktivieren, entfernt OpenSearch Service die Egress-ENIs und die zugehörigen serviceverwalteten Ressourcen aus Ihrer VPC. Durch das Löschen der Domain werden alle Ausgangsressourcen automatisch bereinigt.

Überprüfung und Überwachung

Nachdem Sie Egress aktiviert haben, überprüfen Sie, ob die Egress-ENIs in Ihren ausgewählten Subnetzen vorhanden sind, indem Sie sie in der Amazon EC2 EC2-Konsole anzeigen. Ihre Beschreibungen identifizieren die Service-Domain. OpenSearch Um den ausgehenden Datenverkehr zu beobachten, der die Domain verlässt, aktivieren Sie VPC Flow Logs auf den Ausgangs-ENIs. Überprüfen Sie den Zustand der Domain in der OpenSearch Service-Konsole und verlassen Sie sich auf die vorhandenen Erfolgs- und Fehlschlagssignale Ihrer Ausgangsintegrationen (Warnziele, Machine-Learning-Konnektoren, Snapshot-Repositorys), um den Status auf Integrationsebene zu ermitteln.

Fehlerbehebung

Eine Ausgangsintegration funktionierte nicht mehr, nachdem Sie Egress aktiviert haben. Vergewissern Sie sich, dass Ihre VPC-Routentabelle den Verkehr von den Ausgangs-ENIs zum Ziel zulässt und dass der VPC-Resolver erreichbar ist und den Ziel-Hostnamen auflösen kann.

Die Auflösung des Hostnamens schlägt fehl. Vergewissern Sie sich, dass die DNS-Auflösung und die DNS-Hostnamen auf der VPC aktiviert sind. Wenn Sie private gehostete Zonen von Route 53 oder einen ausgehenden Route 53 Resolver-Endpunkt verwenden, stellen Sie sicher, dass die zugehörigen Regeln das Ziel abdecken.

Nicht genug IP-Adressen im Subnetz. Erweitern Sie das Subnetz oder verwenden Sie ein dediziertes Subnetz für die Domain. Siehe Reservieren von IP-Adressen in einem VPC-Subnetz.

Service-linked Für die Rolle fehlen Berechtigungen. Erstellen Sie die dienstbezogene Rolle neu oder fügen Sie die aktualisierte Richtlinie an. Siehe Verwenden von serviceverknüpften Rollen für Amazon OpenSearch Service.

Sie können ausgehenden Datenverkehr in einer öffentlichen Endpunktdomäne nicht aktivieren. Egress über Ihre VPC ist nur auf VPC-Domains verfügbar. Konvertieren Sie zuerst die Domain. Siehe Migrieren vom öffentlichen Zugriff zum VPC-Zugriff.

Warnung

Die ausgehenden ENIs werden vom Service verwaltet. Trennen oder löschen Sie sie nicht manuell. Um sie zu entfernen, deaktivieren Sie die Ausgangsoption auf der Domain oder löschen Sie die Domain.

Grenzen und Überlegungen

Egress über Ihre VPC ist in den Regionen verfügbar, die auf der Amazon OpenSearch Service-Seite Endpunkte und Kontingente aufgeführt sind. Es wird auf Amazon OpenSearch Service-Domains unterstützt, für die VPC aktiviert ist.

Nutzung und Abrechnung

Um den Datentransfer im Zusammenhang mit ausgehendem Datenverkehr über Ihre VPC zu überwachen, überprüfen Sie in Ihrem AWS Abrechnungs-Dashboard die NutzungsartDataTransfer-Regional-Bytes, den Vorgang VPCConnectionUsage und den Produktcode. AmazonES Aktuelle Tarife finden Sie unter Amazon OpenSearch Service-Preise.