View a markdown version of this page

Greifen Sie über einen OpenSearch Service-managed VPC-Endpunkt auf Amazon OpenSearch Service zu (AWS PrivateLink) - OpenSearch Amazon-Dienst
ÜberlegungenZugriff auf eine Domain bereitstellenErstellen eines Schnittstellen-VPC-EndpunktsVerwaltung mithilfe von OpenSearch Service-API-Vorgängen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Greifen Sie über einen OpenSearch Service-managed VPC-Endpunkt auf Amazon OpenSearch Service zu (AWS PrivateLink)

Sie können auf eine Amazon OpenSearch Service-Domain zugreifen, indem Sie einen OpenSearch Service-managed VPC-Endpunkt (powered by AWS PrivateLink) einrichten. Diese Endpunkte stellen eine private Verbindung zwischen Ihrer VPC und Amazon OpenSearch Service her. Sie können auf OpenSearch Service-VPC-Domänen zugreifen, als ob sie sich in Ihrer VPC befinden würden, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung verwenden zu müssen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf den OpenSearch Service zuzugreifen.

Sie können OpenSearch Dienstdomänen so konfigurieren, dass zusätzliche Endpunkte verfügbar gemacht werden, die in öffentlichen oder privaten Subnetzen innerhalb derselben VPC, einer anderen VPC oder einer anderen ausgeführt werden. AWS-Konten Auf diese Weise können Sie eine zusätzliche Sicherheitsebene für den Zugriff auf Ihre Domains hinzufügen, unabhängig davon, wo diese ausgeführt werden, ohne dass eine Infrastruktur verwaltet werden muss. Das folgende Diagramm zeigt OpenSearch Service-managed VPC-Endpunkte innerhalb derselben VPC:

PrivateLink im öffentlichen Subnetz, Verbindung zu OpenSearch Service einem privaten Subnetz über VPC.

Sie stellen diese private Verbindung her, indem Sie einen OpenSearch Service-managed VPC-Schnittstellen-Endpunkt erstellen, der von AWS PrivateLink betrieben wird. Wir erstellen in jedem Subnetz, das Sie für den Schnittstellen-VPC-Endpunkt aktivieren, eine Endpunkt-Netzwerkschnittstelle. Dabei handelt es sich um vom Service verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für den Service bestimmt ist. OpenSearch Für vom OpenSearch Service verwaltete VPC-Endpunkte, die unter abgerechnet werden, gelten die Standardpreise für AWS PrivateLink Schnittstellen-Endpunkte. AWS PrivateLink

Sie können VPC-Endpoints für Domains erstellen, auf denen alle Versionen von Elasticsearch OpenSearch und Legacy-Versionen ausgeführt werden. Weitere Informationen finden Sie unter Zugriff auf AWS-Services über AWS PrivateLink im AWS PrivateLink -Leitfaden.

Überlegungen und Einschränkungen für Service OpenSearch

Bevor Sie einen VPC-Schnittstellen-Endpunkt für OpenSearch Service einrichten, lesen Sie im Handbuch den Abschnitt Zugriff auf einen AWS Dienst mithilfe eines Schnittstellen-VPC-Endpunkts.AWS PrivateLink

Beachten Sie bei der Verwendung von OpenSearch Service-managed VPC-Endpunkten Folgendes:

  • Sie können nur Schnittstellen-VPC-Endpunkte verwenden, um eine Verbindung zu VPC-Domains herzustellen. Öffentliche Domains werden nicht unterstützt.

  • VPC-Endpunkte können nur eine Verbindung zu Domains innerhalb derselben AWS-Region herstellen.

  • HTTPS ist das einzige unterstützte Protokoll für VPC-Endpunkte. HTTP ist nicht zulässig.

  • OpenSearch Der Service unterstützt Aufrufe aller unterstützten OpenSearch API-Operationen über einen Schnittstellen-VPC-Endpunkt.

  • Sie können maximal 50 Endpunkte pro Konto und maximal 10 Endpunkte pro Domain konfigurieren. Eine einzelne Domain kann maximal über 10 autorisierte Prinzipale verfügen.

  • Sie können derzeit keine VPC-Endpoints mit Schnittstellen erstellen. AWS CloudFormation

  • Sie können Schnittstellen-VPC-Endpoints nur über die OpenSearch Servicekonsole oder mithilfe der OpenSearch Service-API erstellen. Mit der Amazon VPC-Konsole können Sie keine VPC-Schnittstellen-Endpunkte für OpenSearch Service erstellen.

  • OpenSearch Service-managed VPC-Endpunkte sind nicht über das Internet zugänglich. Auf einen OpenSearch Service-managed VPC-Endpunkt kann nur innerhalb der VPC zugegriffen werden, in der der Endpunkt bereitgestellt wird, oder innerhalb aller VPCs, die mit der VPC verbunden sind, auf der der Endpunkt bereitgestellt wird, sofern dies in den Routentabellen und Sicherheitsgruppen zulässig ist.

  • VPC-Endpunktrichtlinien werden für OpenSearch Service nicht unterstützt. Sie können den Endpunkt-Netzwerkschnittstellen eine Sicherheitsgruppe zuordnen, um den Datenverkehr zum OpenSearch Service über den VPC-Endpunkt der Schnittstelle zu steuern.

  • Ihre serviceverknüpfte Rolle muss sich in demselben AWS Konto befinden, mit dem Sie den VPC-Endpunkt erstellt haben.

  • Um den OpenSearch Service VPC-Endpunkt zu erstellen, zu aktualisieren und zu löschen, benötigen Sie zusätzlich zu Ihren Amazon OpenSearch Service-Berechtigungen die folgenden Amazon EC2-Berechtigungen:

    • ec2:CreateVpcEndpoint

    • ec2:DescribeVpcEndpoints

    • ec2:ModifyVpcEndpoint

    • ec2:DeleteVpcEndpoints

    • ec2:CreateTags

    • ec2:DescribeTags

    • ec2:DescribeSubnets

    • ec2:DescribeSecurityGroups

    • ec2:DescribeVpcs

Anmerkung

Derzeit können Sie die Erstellung von VPC-Endpunkten nicht auf OpenSearch Service beschränken. Wir arbeiten daran, dies in einem future Update zu ermöglichen.

Zugriff auf eine Domain bereitstellen

Wenn sich die VPC, auf die Sie auf Ihre Domain zugreifen möchten, in einer anderen befindet AWS-Konto, müssen Sie sie über das Konto des Besitzers autorisieren, bevor Sie einen VPC-Schnittstellen-Endpunkt erstellen können.

Um eine VPC in einer anderen zuzulassen AWS-Konto um auf Ihre Domain zuzugreifen

  1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter https://console.aws.amazon.com/aos/home/.

  2. Wählen Sie im Navigationsbereich Domains aus und öffnen Sie die Domain, auf die Sie Zugriff gewähren möchten.

  3. Wechseln Sie zur Registerkarte VPC endpoints (VPC-Endpunkte), auf der die Konten und entsprechenden VPCs angezeigt werden, die Zugriff auf Ihre Domain haben.

  4. Wählen Sie Authorize principal (Prinzipal autorisieren) aus.

  5. Geben Sie die AWS-Konto ID des Kontos ein, das auf Ihre Domain zugreift. Dieser Schritt autorisiert das angegebene Konto, VPC-Endpunkte für die Domain zu erstellen.

  6. Klicken Sie auf Authorize.

Erstellen eines Schnittstellen-VPC-Endpunkts für eine VPC-Domain

Sie können einen VPC-Schnittstellen-Endpunkt für OpenSearch Service entweder mit der OpenSearch Servicekonsole oder mit AWS Command Line Interface (AWS CLI) erstellen.

So erstellen Sie einen VPC-Schnittstellen-Endpunkt für eine OpenSearch Dienstdomäne

  1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter https://console.aws.amazon.com/aos/home/.

  2. Wählen Sie im linken Navigationsbereich VPC endpoints (VPC-Endpunkte) aus.

  3. Wählen Sie Endpunkt erstellen aus.

  4. Wählen Sie aus, ob eine Domain in der aktuellen AWS-Konto oder einer anderen verbunden werden soll AWS-Konto.

  5. Wählen Sie die Domain aus, zu der Sie mit diesem Endpunkt eine Verbindung herstellen. Wenn sich die Domain in der aktuellen Domain befindet AWS-Konto, verwenden Sie das Drop-down-Menü, um die Domain auszuwählen. Wenn sich die Domain in einem anderen Konto befindet, geben Sie den Amazon-Ressourcennamen (ARN) der Domain ein, zu der eine Verbindung hergestellt werden soll. Um eine Domain in einem anderen Konto auszuwählen, muss der Eigentümer Ihnen Zugriff auf die Domain gewähren.

  6. Wählen Sie für VPC die VPC aus, von der aus Sie auf Service zugreifen OpenSearch .

  7. Wählen Sie für Subnetze ein oder mehrere Subnetze aus, von denen aus Sie auf Service zugreifen möchten. OpenSearch

  8. Wählen Sie für Sicherheitsgruppen die Sicherheitsgruppen aus, die den Security groups (Endpunkt-Netzwerkschnittstellen) zugeordnet werden sollen. Dies ist ein wichtiger Schritt, in dem Sie einschränken, welche Ports, Protokolle und Quellen für eingehenden Datenverkehr Sie für Ihren Endpunkt autorisieren. Die Sicherheitsgruppenregeln müssen den Ressourcen, die den VPC-Endpunkt für die Kommunikation mit dem OpenSearch Service verwenden, die Kommunikation mit der Endpunkt-Netzwerkschnittstelle ermöglichen.

  9. Wählen Sie Endpunkt erstellen aus. Der Endpunkt sollte innerhalb von 2–5 Minuten aktiv sein.

Arbeiten mit OpenSearch Service-managed VPC-Endpunkten mithilfe der Konfigurations-API

Verwenden Sie die folgenden API-Operationen, um OpenSearch Service-managed VPC-Endpoints zu erstellen und zu verwalten.

Verwenden Sie die folgenden API-Operationen, um den Endpunktzugriff auf VPC-Domains zu verwalten: