Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración del acceso a la VPC para las canalizaciones de Amazon Ingestion OpenSearch
Puede acceder a sus canalizaciones de Amazon OpenSearch Ingestion mediante un punto de enlace de VPC de interfaz. Una VPC es una red virtual dedicada a usted. Cuenta de AWS Está aislada de forma lógica de otras redes virtuales de la AWS nube. El acceso a una canalización a través de un punto final de la VPC permite una comunicación segura entre OpenSearch Ingestion y otros servicios de la VPC sin necesidad de una puerta de enlace a Internet, un dispositivo NAT o una conexión VPN. Todo el tráfico permanece seguro en la nube. AWS
OpenSearch Ingestion establece esta conexión privada mediante la creación de un punto final de interfaz, con la tecnología de AWS PrivateLink. Crearemos una interfaz de red de punto de conexión en cada subred que especifique durante la creación de la canalización. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a la canalización de ingestión. OpenSearch También puede elegir crear y administrar los puntos de conexión de la interfaz.
El uso de una VPC le permite hacer cumplir el flujo de datos a través de sus canalizaciones de OpenSearch ingestión dentro de los límites de la VPC, en lugar de hacerlo a través de la Internet pública. Las canalizaciones que no están dentro de una VPC envían y reciben datos a través de puntos de conexión públicos e Internet.
Una canalización con acceso a VPC puede escribir en dominios públicos o de OpenSearch servicio de VPC y en colecciones públicas o sin servidor de VPC. OpenSearch
Temas
Consideraciones
Tenga en cuenta lo siguiente cuando configure el acceso mediante VPC para una canalización.
-
No es necesario que una canalización esté en la misma VPC que su receptor. Tampoco es necesario establecer una conexión entre ambos. VPCs OpenSearch Ingestion se encarga de conectarlos por ti.
-
Solo puede especificar una VPC para la canalización.
-
A diferencia de las canalizaciones públicas, una canalización de VPC debe estar en la misma Región de AWS que el receptor de dominios o colecciones en el que se escribe. Puede configurar una fuente S3 para la canalización a fin de escribir entre regiones.
-
Puede elegir implementar una canalización en una, dos o tres subredes de la VPC. Las subredes se distribuyen en las mismas zonas de disponibilidad en las que están desplegadas las unidades de OpenSearch cómputo de ingesta (OCUs).
-
Si solo implementa una canalización en una subred y la zona de disponibilidad deja de funcionar, no podrá incorporar datos. Para garantizar una alta disponibilidad, le recomendamos que configure las canalizaciones con dos o tres subredes.
-
La especificación de grupos de seguridad es opcional. Si no proporciona un grupo de seguridad, OpenSearch Ingestion utiliza el grupo de seguridad predeterminado que se especifica en la VPC.
Limitaciones
Las canalizaciones con acceso a la VPC presentan las siguientes limitaciones.
-
No puede cambiar la configuración de red de una canalización después de crearla. Si lanza una canalización dentro de una VPC, no podrá cambiarla posteriormente a un punto de conexión público y viceversa.
-
Puede lanzar la canalización dentro de un punto de conexión de VPC de la interfaz o un punto de conexión público, pero no es posible hacer las dos cosas. Se debe elegir una de ellas al crear una canalización.
-
Después de aprovisionar una canalización con acceso a la VPC, no se puede mover a otra VPC, y no puede cambiar la configuración de sus subredes y grupos de seguridad.
-
Si su canalización escribe en un receptor de dominios o colecciones que usa un acceso de VPC, no podrá volver atrás más adelante y cambiar el receptor (de VPC o público) una vez creada la canalización. Debe eliminar y volver a crear manualmente la canalización con el nuevo receptor. Aún puede cambiar un receptor de público a un receptor con acceso de VPC.
-
No puede proporcionar acceso de incorporación entre cuentas a las canalizaciones de VPC.
Requisitos previos
Antes de poder aprovisionar una canalización con acceso a la VPC, debe hacer lo siguiente:
-
Creación de una VPC
Para crear su VPC, puede utilizar la consola de Amazon VPC, la AWS CLI o una de las. AWS SDKs Para obtener más información, consulte Trabajar con VPCs en la Guía del usuario de Amazon VPC. Si ya tiene una VPC, puede omitir este paso.
-
Reservar direcciones IP
OpenSearch La ingestión coloca una interface de red elástica en cada subred que especifique durante la creación de la canalización. Cada interfaz de red tiene asociada una dirección IP. Debe reservar una dirección IP por subred para las interfaces de red.
Configuración del acceso mediante VPC para una canalización
Puede habilitar el acceso a la VPC para una canalización desde la consola OpenSearch de servicio o mediante. AWS CLI
El acceso a la VPC se configura durante la creación de la canalización. Bajo Opciones de red de origen, elija Acceso a VPC y configure los siguientes ajustes:
| Opción | Description (Descripción) |
|---|---|
| Administración de puntos de conexión |
Elija si quiere crear sus puntos de conexión de VPC usted mismo o dejar que OpenSearch Ingestion los cree por usted. |
| VPC |
Seleccione el ID de la nube privada virtual (VPC) que desee utilizar. La VPC y la canalización deben estar en la misma Región de AWS. |
| Subredes |
Elija una o más subredes. OpenSearch El servicio coloca un punto final de VPC e interfaces de red elásticas en las subredes. |
| Grupos de seguridad |
Elija uno o más grupos de seguridad de VPC que permitan que la aplicación requerida llegue a la canalización de OpenSearch ingestión en los puertos (80 o 443) y protocolos (HTTP o HTTPs) expuestos por la canalización. |
| Opciones de conexión de VPC |
Si su fuente requiere una comunicación entre VPC, como Amazon DocumentDB, OpenSearch self-managed o Confluent Kafka OpenSearch , Ingestion crea interfaces de red elásticas ENIs () en las subredes que especifique para conectarse a estas fuentes. OpenSearch Ingestion utiliza en cada zona de disponibilidad para llegar a las fuentes ENIs especificadas. La opción Adjuntar a la VPC conecta la VPC del plano de datos de OpenSearch ingestión a la VPC especificada. Seleccione una reserva de CIDR para que la VPC administrada implemente la interfaz de red. |
Para configurar el acceso a la VPC mediante AWS CLI, especifique el --vpc-options parámetro:
aws osis create-pipeline \ --pipeline-namevpc-pipeline\ --min-units 4 \ --max-units 10 \ --vpc-options SecurityGroupIds={sg-12345678,sg-9012345},SubnetIds=subnet-1212234567834asdf\ --pipeline-configuration-body "file://pipeline-config.yaml"
Puntos de conexión de VPC autogestionados
Al crear una canalización, puede utilizar la administración de puntos de conexión para crear una canalización con puntos de conexión autogestionados o puntos de conexión administrados por el servicio. La administración de puntos finales es opcional y, de forma predeterminada, son los puntos finales administrados por Ingestion. OpenSearch
Para crear una canalización con un punto final de VPC autogestionado en, consulte Crear canalizaciones con Consola de administración de AWS OpenSearch la consola de servicio. Para crear una canalización con un punto final de VPC autogestionado en, puedes usar AWS CLI el parámetro --vpc-options del comando create-pipeline:
--vpc-options SubnetIds=subnet-abcdef01234567890,VpcEndpointManagement=CUSTOMER
Puede crear un punto de conexión para la canalización al especificar el servicio del punto de conexión. Para encontrar el servicio del punto de conexión, use el comando get-pipeline, que devuelve una respuesta similar a la siguiente:
"vpcEndpointService" : "com.amazonaws.osis.us-east-1.pipeline-id-1234567890abcdef1234567890", "vpcEndpoints" : [ { "vpcId" : "vpc-1234567890abcdef0", "vpcOptions" : { "subnetIds" : [ "subnet-abcdef01234567890", "subnet-021345abcdef6789" ], "vpcEndpointManagement" : "CUSTOMER" } }
Utilice la respuesta vpcEndpointService de la respuesta para crear un punto final de VPC con o. Consola de administración de AWS AWS CLI
Si utiliza puntos de conexión de VPC autogestionados, debe habilitar los atributos de DNS enableDnsSupport y enableDnsHostnames en su VPC. Tenga en cuenta que, si tiene una canalización con un punto de conexión autoadministrado que debe detener y reiniciar, debe volver a crear el punto de conexión de VPC en su cuenta.
Roles vinculados a servicios para el acceso mediante VPC
Un rol vinculado a un servicio es un tipo único de rol de IAM; que delega permisos en un servicio para que pueda crear y administrar recursos en nombre del usuario. Si elige un punto de enlace de VPC gestionado por un servicio, OpenSearch Ingestion requiere un rol vinculado al servicio llamado para AWSServiceRoleForAmazonOpenSearchIngestionServiceacceder a su VPC, crear el punto de enlace de canalización y colocar las interfaces de red en una subred de su VPC.
Si eliges un endpoint de VPC autogestionado OpenSearch , Ingestion requiere un rol vinculado a un servicio denominado. AWSServiceRoleForOpensearchIngestionSelfManagedVpce Para obtener más información sobre estos roles, sus permisos y cómo se eliminan, consulte Uso de roles vinculados a servicios para crear canalizaciones de ingestión OpenSearch.
OpenSearch Ingestion crea el rol automáticamente al crear una canalización de ingestión. Para que esta creación automática se realice correctamente, el usuario que cree la primera canalización en una cuenta debe tener permisos para realizar la acción iam:CreateServiceLinkedRole. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM. Puede ver el rol en la consola AWS Identity and Access Management (IAM) una vez creado.
