Solución de problemas de conectividad de puntos de conexión de FIPS en zonas alojadas privadas - OpenSearch Servicio Amazon
Problemas comunes

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas de conectividad de puntos de conexión de FIPS en zonas alojadas privadas

Los puntos de enlace FIPS funcionan con las colecciones de Amazon OpenSearch Serverless que tienen acceso público. Para las nuevas colecciones de VPC que utilizan puntos de conexión de VPC recién creados, los puntos de conexión de FIPS funcionan según lo esperado. Para otras colecciones de VPC, es posible que deba realizar una configuración manual para garantizar que los puntos de conexión de FIPS funcionen correctamente.

Para configurar zonas alojadas privadas de FIPS en Amazon Route 53

  1. Abra la consola de Route 53 en. https://console.aws.amazon.com/route53/

  2. Revise sus zonas alojadas:

    1. Localice las zonas alojadas en las que se encuentran Regiones de AWS sus colecciones.

    2. Compruebe los patrones de nomenclatura de las zonas alojadas:

      • Formato que no es de FIPS: region.aoss.amazonaws.com.

      • Formato que es de FIPS: region.aoss-fips.amazonaws.com.

    3. Confirme que el Tipo de todas sus zonas alojadas esté configurado como Zona alojada privada.

  3. Si falta la zona alojada privada de FIPS:

    1. Seleccione la zona alojada privada no FIPS correspondiente.

    2. Copia la VPCs información asociada. Por ejemplo: vpc-1234567890abcdef0 | us-east-2.

    3. Busque el registro de dominio con comodín. Por ejemplo: *.us-east-2.aoss.amazonaws.com.

    4. Copie la información de Valor/Dirigir el tráfico a. Por ejemplo: uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws.

  4. Cree la zona alojada privada de FIPS:

    1. Cree una nueva zona alojada privada con el formato de FIPS. Por ejemplo: us-east-2.aoss-fips.amazonaws.com.

    2. VPCsEn Asociado, introduzca la información de la VPC que copió de la zona alojada privada que no es de FIPS.

  5. Agregue una nueva regla con las siguientes opciones de configuración:

    1. Nombre del registro: *

    2. Tipo de registro: CNAME

    3. Valor: ingrese la información de Valor/Dirigir el tráfico a que copió anteriormente.

Problemas comunes

Si tiene problemas de conectividad con los puntos de conexión de VPC compatibles con FIPS, consulte la siguiente información para ayudar a resolverlos.

  • Errores de resolución de DNS: no puede resolver el nombre de dominio del punto de conexión de FIPS en su VPC

  • Tiempos de espera de conexión: se agota el tiempo de espera de sus solicitudes al punto de conexión de FIPS

  • Errores de acceso denegado: la autenticación o la autorización fallan cuando se utilizan puntos de conexión de FIPS

  • Faltan registros de zonas alojadas privadas para colecciones exclusivas de VPC

Para solucionar problemas de conectividad de puntos de conexión de FIPS

  1. Compruebe la configuración de su zona alojada privada:

    1. Confirme que existe una zona alojada privada para el dominio del punto de conexión de FIPS (*.region.aoss-fips.amazonaws.com).

    2. Compruebe que la zona alojada privada esté asociada a la VPC correcta.

      Para obtener más información, consulte Zonas alojadas privadas en la Guía para desarrolladores de Amazon Route 53 y Administración de nombres de DNS en la Guía de AWS PrivateLink .

  2. Pruebe de la resolución de DNS:

    1. Conéctese a una EC2 instancia de su VPC.

    2. Use el siguiente comando:

      nslookup collection-id.region.aoss-fips.amazonaws.com

    3. Compruebe que la respuesta incluya la dirección IP privada del punto de conexión de VPC.

      Para obtener más información, consulte Políticas de puntos de conexión y Atributos de DNS en la Guía del usuario de Amazon VPC.

  3. Compruebe la configuración del grupo de seguridad:

    1. Compruebe que el grupo de seguridad adjunto al punto de conexión de VPC permita el tráfico HTTPS (puerto 443) desde sus recursos.

    2. Confirme que los grupos de seguridad de sus recursos permitan el tráfico saliente al punto de conexión de VPC.

    Para obtener más información, consulte Políticas de puntos de conexión en la Guía de AWS PrivateLink y Grupos de seguridad en la Guía del usuario de Amazon VPC.

  4. Revise la configuración de la ACL de red:

    1. Compruebe que la red ACLs permita el tráfico entre sus recursos y el punto final de la VPC.

      Para obtener más información, consulte Red ACLs en la Guía del usuario de Amazon VPC.

  5. Revise su política de puntos de conexión:

    1. Compruebe que la política de puntos finales de la VPC permita las acciones necesarias en sus recursos OpenSearch sin servidor.

      Para obtener más información, consulte Permisos de puntos de conexión de VPC necesarios y Políticas de puntos de conexión en la Guía de AWS PrivateLink .

sugerencia

Si utilizas resolutores de DNS personalizados en tu VPC, configúralos para que reenvíen las *.amazonaws.com solicitudes de dominios a AWS los servidores.