View a markdown version of this page

Acheminement du trafic sortant du domaine via votre VPC - Amazon OpenSearch Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Acheminement du trafic sortant du domaine via votre VPC

Découvrez comment acheminer le trafic sortant de votre domaine Amazon OpenSearch Service VPC via votre propre VPC plutôt que via Internet public.

Note

Cette option n'affecte que le trafic sortant du domaine. L'entrée dans le domaine fonctionne toujours de la même manière, sur les ports 80 et 443.

Présentation de

Par défaut, la sortie d'un domaine VPC vers des points de terminaison personnalisés passe par l'Internet public.

Lorsque vous activez la sortie via votre VPC, le trafic sortant du domaine entre dans votre VPC et est soumis à vos tables de routage, à vos groupes de sécurité et à vos ACL réseau. Utilisez cette option lorsque vous devez quitter le domaine à contrôler via votre VPC ou pour atteindre des points de terminaison privés tels que des points de terminaison VPC depuis le domaine.

Comment ça marche

Lorsque vous activez la sortie sur un domaine VPC OpenSearch , Service place une Elastic Network Interface (ENI) supplémentaire dans chaque sous-réseau que vous fournissez pour le domaine. Le trafic sortant du domaine passe par ces ENI de sortie.

Les ENI de sortie sont gérés par les demandeurs. OpenSearch Le service les crée, les configure et les supprime pour vous, et vous ne pouvez pas les modifier depuis votre compte.

Composants de votre VPC

Lorsque la sortie est activée, deux types de ressources sont impliqués dans votre VPC :

  • ENI de domaine. Créé et géré par le OpenSearch service pour le trafic entrant vers le domaine. Ils existent sur n'importe quel domaine VPC, avec ou sans sortie activée.

  • ENI de sortie. Créé par le OpenSearch Service via son rôle lié au service et géré par le plan réseau OpenSearch Service. Ils acheminent le trafic sortant du domaine vers votre VPC.

Dans un Multi-AZ domaine, les ENI de sortie sont fournis par zone de disponibilité, correspondant exactement aux sous-réseaux que vous sélectionnez pour le domaine.

Résolution DNS pour la sortie

Lorsque la sortie via votre VPC est activée, le domaine résout les noms d'hôtes via le résolveur VPC par défaut (l'adresse « +2 » sur votre VPC CIDR). Les résolveurs DNS personnalisés ne sont pas pris en charge au lancement.

Comme le domaine utilise le résolveur VPC, il peut résoudre les problèmes suivants :

  • Enregistrements dans les zones hébergées privées Amazon Route 53 associées à votre VPC.

  • Noms DNS privés des points de terminaison VPC de votre VPC.

Important

Si le DNS de votre VPC est inaccessible ou mal configuré, les intégrations de sortie du domaine échoueront. Consultez Résolution des problèmes.

Conditions préalables

Avant d'activer la sortie via votre VPC, assurez-vous que celui-ci répond aux exigences suivantes :

  • La résolution DNS et les noms d'hôte DNS sont tous deux activés sur le VPC.

  • Le résolveur VPC par défaut (l'adresse « +2 » sur votre CIDR VPC) est accessible depuis les sous-réseaux que vous prévoyez d'utiliser pour le domaine.

Capacité IP du sous-réseau. Réservez le nombre habituel d'adresses IP pour les ENI de domaine (voirRéservation d'adresses IP dans un sous-réseau VPC), plus des adresses IP supplémentaires par sous-réseau pour les ENI de sortie.

Service-linked rôle. Le rôle lié au OpenSearch service Amazon Service existant obtient les autorisations nécessaires pour créer et gérer les ENI de sortie. Si vous utilisez déjà des domaines VPC, il n'est pas nécessaire de recréer le rôle. Pour en savoir plus, veuillez consulter la section Utilisation de rôles liés à un service pour Amazon Service OpenSearch.

Disponibilité de la région. La sortie via votre VPC est disponible dans les régions répertoriées sur la page des points de terminaison et des quotas d' OpenSearch Amazon Service.

Activer la sortie sur un domaine

Vous pouvez activer la sortie sur un domaine VPC lorsque vous créez le domaine ou en mettant à jour un domaine VPC existant. Vous ne pouvez pas activer la sortie sur un domaine de point de terminaison public. L'activation ou la désactivation de cette option déclenche un blue/green déploiement.

Console

  1. Ouvrez la console Amazon OpenSearch Service.

  2. Commencez à créer un nouveau domaine ou sélectionnez un domaine VPC existant et choisissez Modifier.

  3. Sous Réseau, choisissez l'accès au VPC, puis sélectionnez votre VPC, vos sous-réseaux et vos groupes de sécurité comme vous le feriez aujourd'hui.

  4. Sous VPC Egress, sélectionnez Activer la sortie.

  5. Effectuez les étapes restantes, puis soumettez la modification.

AWS INTERFACE DE LIGNE DE COMMANDE (CLI)

Pour créer un domaine avec la sortie activée, incluez-le EgressEnabled dans --vpc-options :

aws opensearch create-domain \ --domain-name example-domain \ --engine-version OpenSearch_2.15 \ --cluster-config InstanceType=r6g.large.search,InstanceCount=3,ZoneAwarenessEnabled=true \ --vpc-options '{ "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"], "SecurityGroupIds": ["sg-EXAMPLE"], "EgressEnabled": true }'

Pour activer la sortie sur un domaine VPC existant, utilisez : update-domain-config

aws opensearch update-domain-config \ --domain-name example-domain \ --vpc-options '{ "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"], "SecurityGroupIds": ["sg-EXAMPLE"], "EgressEnabled": true }'

API

Pour activer la sortie via votre VPC, EgressEnabled configurez sur VPCOptions in CreateDomain on true ou. UpdateDomainConfig La valeur est renvoyée VPCOptions dans DescribeDomain etDescribeDomainConfig.

{ "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"], "SecurityGroupIds": ["sg-EXAMPLE"], "EgressEnabled": true }

Pour le schéma complet, consultez VPCoptions dans le manuel Amazon OpenSearch Service API Reference.

Mise à jour ou désactivation

Vous pouvez activer la sortie lorsque vous créez un domaine ou à tout moment par la suite, et vous pouvez la désactiver sur un domaine sur lequel elle est activée. Vous pouvez également ajouter ou supprimer des zones de disponibilité pendant que la sortie reste activée. Une modification EgressEnabled déclenche un blue/green déploiement, comme les autres modifications de configuration du VPC. Pour de plus amples informations, veuillez consulter Apporter des modifications de configuration dans Amazon OpenSearch Service.

Lorsque vous désactivez la sortie, le OpenSearch Service supprime les ENI de sortie et les ressources gérées par les services associées de votre VPC. La suppression du domaine nettoie automatiquement toutes les ressources de sortie.

Vérification et surveillance

Après avoir activé la sortie, vérifiez que les ENI de sortie existent dans les sous-réseaux que vous avez sélectionnés en les affichant dans la console Amazon EC2. Leurs descriptions identifient le domaine du OpenSearch service. Pour observer le trafic sortant du domaine, activez les journaux de flux VPC sur les ENI de sortie. Vérifiez l'état du domaine dans la console de OpenSearch service et fiez-vous aux signaux de réussite et d'échec existants provenant de vos intégrations de sortie (destinations d'alerte, connecteurs d'apprentissage automatique, référentiels de snapshots) pour connaître l'état de l'intégration.

Résolution des problèmes

Une intégration de sortie a cessé de fonctionner une fois que vous avez activé la sortie. Vérifiez que votre table de routage VPC autorise le trafic entre les ENI de sortie et la destination, que le résolveur VPC est accessible et peut résoudre le nom d'hôte de destination.

La résolution du nom d'hôte échoue. Vérifiez que la résolution DNS et les noms d'hôte DNS sont activés sur le VPC. Si vous utilisez des zones hébergées privées Route 53 ou un point de terminaison sortant Route 53 Resolver, vérifiez que les règles associées couvrent la destination.

Il n'y a pas assez d'adresses IP dans le sous-réseau. Développez le sous-réseau ou utilisez un sous-réseau dédié pour le domaine. Consultez Réservation d'adresses IP dans un sous-réseau VPC.

Service-linked le rôle ne dispose pas d'autorisations. Recréez le rôle lié au service ou joignez la politique mise à jour. Consultez Utilisation de rôles liés à un service pour Amazon Service OpenSearch.

Vous ne pouvez pas activer la sortie sur un domaine de point de terminaison public. La sortie via votre VPC n'est disponible que sur les domaines VPC. Convertissez d'abord le domaine. Consultez Migration d'un accès public vers un accès VPC.

Avertissement

Les ENI de sortie sont gérés par des services. Ne les détachez pas et ne les supprimez pas manuellement. Pour les supprimer, désactivez l'option de sortie sur le domaine ou supprimez-le.

Limites et considérations

La sortie via votre VPC est disponible dans les régions répertoriées sur la page des points de terminaison et des quotas d' OpenSearch Amazon Service. Il est pris en charge sur les domaines Amazon OpenSearch Service sur lesquels le VPC est activé.

Utilisation et facturation

Pour surveiller le transfert de données associé à la sortie via votre VPC, consultez AWS votre tableau de bord de facturation pour connaître le DataTransfer-Regional-Bytes type d'utilisation, le VPCConnectionUsage fonctionnement et le code produit. AmazonES Pour connaître les tarifs actuels, consultez les tarifs d'Amazon OpenSearch Service.