Resolver los problemas de conectividad de los terminales FIPS en zonas alojadas privadas - OpenSearch Servicio Amazon
Problemas comunes

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Resolver los problemas de conectividad de los terminales FIPS en zonas alojadas privadas

Los puntos de enlace FIPS funcionan con las colecciones de Amazon OpenSearch Serverless que tienen acceso público. Para las colecciones de VPC recién creadas que utilizan puntos de enlace de VPC recién creados, los puntos de enlace de FIPS funcionan según lo esperado. Para otras colecciones de VPC, es posible que deba realizar una configuración manual para garantizar que los puntos finales FIPS funcionen correctamente.

Para configurar las zonas alojadas privadas de FIPS en Amazon Route 53

  1. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.

  2. Revise sus zonas alojadas:

    1. Localiza las zonas alojadas en las que se encuentran Regiones de AWS tus colecciones.

    2. Verifica los patrones de nomenclatura de las zonas alojadas:

      • Formato que no es FIPS:. region.aoss.amazonaws.com

      • Formato FIPS:. region.aoss-fips.amazonaws.com

    3. Confirme que el tipo de todas sus zonas alojadas esté configurado como Zona alojada privada.

  3. Si falta la zona alojada privada de FIPS:

    1. Seleccione la zona alojada privada no FIPS correspondiente.

    2. Copia la información asociada VPCs. Por ejemplo: vpc-1234567890abcdef0 | us-east-2.

    3. Busque el registro de dominio comodín. Por ejemplo: *.us-east-2.aoss.amazonaws.com.

    4. Copia el tráfico de valor/ruta a la información. Por ejemplo: uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws.

  4. Cree la zona alojada privada de FIPS:

    1. Cree una nueva zona alojada privada con el formato FIPS. Por ejemplo: us-east-2.aoss-fips.amazonaws.com.

    2. VPCsEn Asociado, introduzca la información de la VPC que copió de la zona alojada privada que no es de FIPS.

  5. Agrega un registro nuevo con la siguiente configuración:

    1. Nombre del registro: *

    2. Tipo de registro: CNAME

    3. Valor: introduzca el valor/ruta del tráfico de la información que copió anteriormente.

Problemas comunes

Si tiene problemas de conectividad con sus puntos finales de VPC compatibles con FIPS, utilice la siguiente información para ayudar a resolver el problema.

  • Fallos de resolución de DNS: no puede resolver el nombre de dominio del punto final FIPS en su VPC

  • Tiempos de espera de conexión: se agota el tiempo de espera de sus solicitudes al punto final de FIPS

  • Errores de acceso denegado: la autenticación o la autorización fallan cuando se utilizan puntos de conexión FIPS

  • Faltan registros de zonas alojadas privadas para colecciones exclusivas de VPC

Para solucionar problemas de conectividad de puntos finales FIPS

  1. Compruebe la configuración de su zona alojada privada:

    1. Confirme que existe una zona alojada privada para el dominio del punto final de FIPS (*.region.aoss-fips.amazonaws.com.

    2. Compruebe que la zona alojada privada esté asociada a la VPC correcta.

      Para obtener más información, consulte Zonas alojadas privadas en la Guía para desarrolladores de Amazon Route 53 y Administrar nombres de DNS en la AWS PrivateLink Guía.

  2. Pruebe la resolución de DNS:

    1. Conéctese a una EC2 instancia de su VPC.

    2. Ejecuta el siguiente comando:

      nslookup collection-id.region.aoss-fips.amazonaws.com

    3. Confirme que la respuesta incluya la dirección IP privada del punto final de la VPC.

      Para obtener más información, consulte las políticas de punto final y los atributos de DNS en la Guía del usuario de Amazon VPC.

  3. Compruebe la configuración de su grupo de seguridad:

    1. Compruebe que el grupo de seguridad adjunto al punto final de la VPC permita el tráfico HTTPS (puerto 443) desde sus recursos.

    2. Confirme que los grupos de seguridad de sus recursos permitan el tráfico saliente al punto final de la VPC.

    Para obtener más información, consulte las políticas de puntos finales en la AWS PrivateLink Guía y los grupos de seguridad en la Guía del usuario de Amazon VPC.

  4. Revise la configuración de ACL de su red:

    1. Compruebe que la red ACLs permita el tráfico entre sus recursos y el punto final de la VPC.

      Para obtener más información, consulte Red ACLs en la Guía del usuario de Amazon VPC.

  5. Revise su política de puntos finales:

    1. Compruebe que la política de puntos finales de la VPC permita las acciones necesarias en sus recursos OpenSearch sin servidor.

      Para obtener más información, consulte los permisos de punto final de la VPC necesarios y las políticas de puntos de enlace en la guía.AWS PrivateLink

sugerencia

Si utilizas resolutores de DNS personalizados en tu VPC, configúralos para que reenvíen las *.amazonaws.com solicitudes de dominios a AWS los servidores.