View a markdown version of this page

Enrutamiento del tráfico de salida del dominio a través de tu VPC - OpenSearch Servicio Amazon
Descripción general deFuncionamientoRequisitos previosHabilitar la salida en un dominioActualizar o deshabilitarVerificación y monitoreoResolución de problemasLímites y consideracionesUso y facturación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Enrutamiento del tráfico de salida del dominio a través de tu VPC

Descubre cómo enrutar el tráfico de salida de tu dominio de VPC de Amazon OpenSearch Service a través de tu propia VPC en lugar de hacerlo a través de la Internet pública.

nota

Esta opción solo afecta al tráfico de salida del dominio. La entrada al dominio sigue funcionando de la misma manera, en los puertos 80 y 443.

Descripción general de

De forma predeterminada, la salida de un dominio de VPC a puntos finales personalizados se realiza a través de la Internet pública.

Al habilitar la salida a través de la VPC, el tráfico de salida del dominio entra en la VPC y está sujeto a las tablas de enrutamiento, los grupos de seguridad y las ACL de la red. Use esta opción cuando necesite controlar la salida del dominio a través de su VPC o para llegar a puntos de enlace privados, como los puntos de enlace de VPC, desde el dominio.

Funcionamiento

Al habilitar la salida en un dominio de VPC OpenSearch , el servicio coloca una interfaz de red elástica (ENI) adicional en cada subred que suministre al dominio. El tráfico de salida del dominio sale a través de estas ENI de salida.

Los ENI de salida están gestionados por el solicitante. OpenSearch El servicio los crea, configura y elimina por ti, y no puedes modificarlos desde tu cuenta.

Componentes de su VPC

Cuando la salida está habilitada, la VPC incluye dos tipos de recursos:

  • ENI de dominio. Creado y administrado por el OpenSearch Servicio para el tráfico entrante al dominio. Existen en cualquier dominio de VPC, con o sin la salida habilitada.

  • ENI de salida. Creado por el OpenSearch servicio a través de su función vinculada al servicio y gestionado por el plano de la red del OpenSearch servicio. Estos transportan el tráfico de salida del dominio a su VPC.

En un Multi-AZ dominio, las ENI de salida se aprovisionan por zona de disponibilidad y coinciden exactamente con las subredes que selecciones para el dominio.

Resolución de DNS para la salida

Cuando la salida a través de la VPC está habilitada, el dominio resuelve los nombres de host mediante la resolución de VPC predeterminada (la dirección «+2" del CIDR de la VPC). Los resolutores de DNS personalizados no son compatibles en el momento del lanzamiento.

Como el dominio usa el solucionador de VPC, puede resolver:

  • Registra en las zonas alojadas privadas de Amazon Route 53 asociadas a su VPC.

  • Nombres DNS privados de los puntos de enlace de la VPC de su VPC.

importante

Si el DNS de su VPC es inalcanzable o está mal configurado, las integraciones de salida del dominio fallarán. Consulte Resolución de problemas.

Requisitos previos

Antes de habilitar la salida a través de la VPC, asegúrese de que la VPC cumpla los siguientes requisitos:

  • La resolución de DNS y los nombres de host de DNS están habilitados en la VPC.

  • Se puede acceder a la resolución de VPC predeterminada (la dirección «+2" del CIDR de la VPC) desde las subredes que planea usar para el dominio.

Capacidad de IP de subred. Reserve la cantidad habitual de direcciones IP para los ENI del dominio (consulteReserva de direcciones IP en una subred de una VPC), además de direcciones IP adicionales por subred para los ENI de salida.

Service-linked rol. La función vinculada OpenSearch al servicio de Amazon Service existente obtiene los permisos necesarios para crear y gestionar las ENI de salida. Si ya utilizas dominios de VPC, no necesitas volver a crear el rol. Para obtener más información, consulte Uso de roles vinculados a servicios para Amazon Service OpenSearch.

Disponibilidad regional. La salida a través de tu VPC está disponible en las regiones que aparecen en la página de puntos de conexión y OpenSearch cuotas de Amazon Service.

Habilitar la salida en un dominio

Puedes habilitar la salida en un dominio de VPC al crear el dominio o actualizando un dominio de VPC existente. No puedes habilitar la salida en un dominio de punto final público. Al habilitar o deshabilitar esta opción, se desencadena una implementación. blue/green

Consola

  1. Abre la consola OpenSearch de Amazon Service.

  2. Comience a crear un dominio nuevo o seleccione un dominio de VPC existente y elija Editar.

  3. En Red, elige Acceso a la VPC y, a continuación, selecciona la VPC, las subredes y los grupos de seguridad como lo harías hoy.

  4. En Salida de VPC, selecciona Habilitar salida.

  5. Complete los pasos restantes y, a continuación, envíe el cambio.

AWS CLI

Para crear un dominio con la salida habilitada, inclúyalo EgressEnabled en--vpc-options:

aws opensearch create-domain \
  --domain-name example-domain \
  --engine-version OpenSearch_2.15 \
  --cluster-config InstanceType=r6g.large.search,InstanceCount=3,ZoneAwarenessEnabled=true \
  --vpc-options '{
      "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
      "SecurityGroupIds": ["sg-EXAMPLE"],
      "EgressEnabled": true
  }'

Para alternar la salida en un dominio de VPC existente, usa: update-domain-config

aws opensearch update-domain-config \
  --domain-name example-domain \
  --vpc-options '{
      "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
      "SecurityGroupIds": ["sg-EXAMPLE"],
      "EgressEnabled": true
  }'

API

Para habilitar la salida a través de la VPC, EgressEnabled true configúrelo VPCOptions en CreateDomain o. UpdateDomainConfig El valor se devuelve VPCOptions en DescribeDomain y. DescribeDomainConfig

{
  "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
  "SecurityGroupIds": ["sg-EXAMPLE"],
  "EgressEnabled": true
}

Para ver el esquema completo, consulta VPOPtions en la referencia de la API de Amazon OpenSearch Service.

Actualizar o deshabilitar

Puedes activar la salida al crear un dominio o en cualquier momento posterior, y puedes desactivarla en un dominio que la tenga habilitada. También puedes añadir o eliminar zonas de disponibilidad mientras la salida permanezca activada. Un cambio que EgressEnabled desencadena una blue/green implementación, al igual que otros cambios en la configuración de la VPC. Para obtener más información, consulte Realizar cambios de configuración en Amazon OpenSearch Service.

Al deshabilitar la salida, el OpenSearch servicio elimina las ENI de salida y los recursos relacionados administrados por el servicio de la VPC. Al eliminar el dominio, se limpian todos los recursos de salida automáticamente.

Verificación y monitoreo

Tras activar la salida, confirme que los ENI de salida existen en las subredes seleccionadas visualizándolos en la consola Amazon EC2. Sus descripciones identifican el dominio del servicio. OpenSearch Para observar el tráfico de salida que sale del dominio, habilite los registros de flujo de VPC en los ENI de salida. Comprueba el estado del dominio en la consola de OpenSearch servicio y confía en las señales de éxito y fracaso existentes de tus integraciones de salida (destinos de alertas, conectores de aprendizaje automático, repositorios de instantáneas) para comprobar el estado de la integración.

Resolución de problemas

Una integración de salida dejó de funcionar después de activar la salida. Confirme que la tabla de enrutamiento de la VPC permita el tráfico desde los ENI de salida hacia el destino y que el solucionador de VPC esté disponible y pueda resolver el nombre de host de destino.

Se produce un error al resolver el nombre de host. Confirme que la resolución DNS y los nombres de host DNS estén habilitados en la VPC. Si utiliza zonas alojadas privadas de Route 53 o un punto final de salida de Route 53 Resolver, confirme que las reglas asociadas cubran el destino.

No hay suficientes direcciones IP en la subred. Amplíe la subred o utilice una subred dedicada para el dominio. Consulte Reserva de direcciones IP en una subred de una VPC.

Service-linked al rol le faltan permisos. Vuelva a crear el rol vinculado al servicio o adjunte la política actualizada. Consulte Uso de roles vinculados a servicios para Amazon Service OpenSearch.

No puedes habilitar la salida en un dominio de punto final público. La salida a través de la VPC solo está disponible en los dominios de VPC. Convierte primero el dominio. Consulte Migración del acceso público al acceso mediante VPC.

aviso

Los ENI de salida están gestionados por el servicio. No los separe ni elimine manualmente. Para eliminarlos, desactiva la opción de salida en el dominio o elimina el dominio.

Límites y consideraciones

La salida a través de tu VPC está disponible en las regiones que aparecen en la página de puntos de conexión y OpenSearch cuotas de Amazon Service. Es compatible con los dominios de Amazon OpenSearch Service que tienen la VPC habilitada.

Uso y facturación

Para supervisar la transferencia de datos asociada a la salida a través de la VPC, revise el panel de facturación para AWS ver el DataTransfer-Regional-Bytes tipo de uso, la VPCConnectionUsage operación y el código de producto. AmazonES Para conocer las tarifas actuales, consulta los precios OpenSearch de Amazon Service.