Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengkonfigurasi akses VPC untuk saluran pipa Amazon Ingestion OpenSearch
Anda dapat mengakses saluran Amazon OpenSearch Ingestion menggunakan VPC endpoint antarmuka. VPC adalah jaringan virtual yang didedikasikan untuk Anda. Akun AWS VPC diisolasi secara logis dari jaringan virtual lain di AWS Cloud. Mengakses pipa melalui VPC memungkinkan komunikasi yang aman OpenSearch antara Ingestion dan layanan lain dalam VPC tanpa perlu gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman dalam AWS Cloud.
OpenSearch Ingestion menetapkan koneksi pribadi ini dengan membuat titik akhir antarmuka, yang didukung oleh. AWS PrivateLink Kami membuat antarmuka jaringan titik akhir di setiap subnet yang Anda tentukan selama pembuatan pipeline. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk pipa Ingestion. OpenSearch Anda juga dapat memilih untuk membuat dan mengelola titik akhir antarmuka sendiri.
Menggunakan VPC memungkinkan Anda untuk menegakkan aliran data melalui pipa OpenSearch Ingestion Anda dalam batas-batas VPC, bukan melalui internet publik. Saluran pipa yang tidak berada dalam VPC mengirim dan menerima data melalui titik akhir yang menghadap publik dan internet.
Pipeline dengan akses VPC dapat menulis ke domain publik atau OpenSearch Layanan VPC, dan ke koleksi publik atau VPC Tanpa Server. OpenSearch
Topik
Pertimbangan
Pertimbangkan hal berikut saat Anda mengonfigurasi akses VPC untuk pipa.
-
Pipa tidak perlu berada di VPC yang sama dengan wastafelnya. Anda juga tidak perlu membangun koneksi antara keduanya VPCs. OpenSearch Ingestion menangani menghubungkan mereka untuk Anda.
-
Anda hanya dapat menentukan satu VPC untuk pipeline Anda.
-
Tidak seperti saluran pipa publik, pipa VPC harus Wilayah AWS sama dengan domain atau sink koleksi yang ditulisnya.
-
Anda dapat memilih untuk menyebarkan pipa ke dalam satu, dua, atau tiga subnet dari VPC Anda. Subnet didistribusikan di Availability Zone yang sama dengan yang digunakan Unit OpenSearch Komputasi Ingestion (OCUs) Anda.
-
Jika Anda hanya menerapkan pipeline di satu subnet dan Availability Zone turun, Anda tidak akan dapat menyerap data. Untuk memastikan ketersediaan tinggi, kami menyarankan Anda mengonfigurasi saluran pipa dengan dua atau tiga subnet.
-
Menentukan grup keamanan adalah opsional. Jika Anda tidak menyediakan grup keamanan, OpenSearch Ingestion menggunakan grup keamanan default yang ditentukan dalam VPC.
Batasan
Saluran pipa dengan akses VPC memiliki keterbatasan sebagai berikut.
-
Anda tidak dapat mengubah konfigurasi jaringan pipeline setelah Anda membuatnya. Jika Anda meluncurkan pipeline dalam VPC, Anda tidak dapat kemudian mengubahnya ke titik akhir publik, dan sebaliknya.
-
Anda dapat meluncurkan pipeline dengan VPC endpoint antarmuka atau titik akhir publik, tetapi Anda tidak dapat melakukan keduanya. Anda harus memilih satu atau yang lain saat membuat pipa.
-
Setelah Anda menyediakan saluran dengan akses VPC, Anda tidak dapat memindahkannya ke VPC yang berbeda, dan Anda tidak dapat mengubah subnet atau pengaturan grup keamanan.
-
Jika pipeline Anda menulis ke domain atau sink koleksi yang menggunakan akses VPC, Anda tidak dapat kembali lagi nanti dan mengubah wastafel (VPC atau publik) setelah pipeline dibuat. Anda harus menghapus dan membuat ulang pipa dengan wastafel baru. Anda masih dapat beralih dari wastafel umum ke wastafel dengan akses VPC.
-
Anda tidak dapat memberikan akses konsumsi lintas akun ke pipeline VPC.
Prasyarat
Sebelum Anda dapat menyediakan pipa dengan akses VPC, Anda harus melakukan hal berikut:
-
Buat VPC
Untuk membuat VPC Anda, Anda dapat menggunakan konsol Amazon VPC, AWS CLI, atau salah satu dari. AWS SDKs Untuk informasi selengkapnya, lihat Bekerja dengan VPCs di Panduan Pengguna Amazon VPC. Jika Anda sudah memiliki VPC, Anda dapat melewati langkah ini.
-
Menyimpan alamat IP
OpenSearch Ingestion menempatkan elastic network interface di setiap subnet yang Anda tentukan selama pembuatan pipeline. Setiap antarmuka jaringan dikaitkan dengan alamat IP. Anda harus memesan satu alamat IP per subnet untuk antarmuka jaringan.
Mengonfigurasi akses VPC untuk pipa
Anda dapat mengaktifkan akses VPC untuk pipeline di dalam konsol OpenSearch Layanan atau menggunakan. AWS CLI
Anda mengonfigurasi akses VPC selama pembuatan pipeline. Di bawah Opsi jaringan sumber, pilih akses VPC dan konfigurasikan pengaturan berikut:
| Pengaturan | Deskripsi |
|---|---|
| Manajemen titik akhir |
Pilih apakah Anda ingin membuat titik akhir VPC sendiri, atau minta OpenSearch Ingestion membuatnya untuk Anda. |
| VPC |
Pilih ID virtual private cloud (VPC) yang ingin Anda gunakan. VPC dan pipa harus sama. Wilayah AWS |
| Subnet |
Pilih satu subnet atau lebih. OpenSearch Layanan menempatkan VPC dan antarmuka jaringan elastis di subnet. |
| Grup keamanan |
Pilih satu atau lebih grup keamanan VPC yang memungkinkan aplikasi yang diperlukan untuk mencapai pipa OpenSearch Ingestion pada port (80 atau 443) dan protokol (HTTP atau) yang terpapar oleh pipeline. HTTPs |
| Opsi lampiran VPC |
Jika sumber Anda memerlukan komunikasi lintas-VPC, seperti Amazon DocumentDB, OpenSearch dikelola sendiri, atau Confluent Kafka OpenSearch , Ingestion membuat Elastic Network Interfaces ENIs () di subnet yang Anda tentukan untuk terhubung ke sumber-sumber ini. OpenSearch Penggunaan konsumsi ENIs di setiap Availability Zone untuk mencapai sumber yang ditentukan. Opsi Lampirkan ke VPC menghubungkan VPC bidang OpenSearch data Ingestion ke VPC yang Anda tentukan. Pilih reservasi CIDR untuk VPC terkelola untuk menerapkan antarmuka jaringan. |
Untuk mengkonfigurasi akses VPC menggunakan AWS CLI, tentukan parameter: --vpc-options
aws osis create-pipeline \ --pipeline-namevpc-pipeline\ --min-units 4 \ --max-units 10 \ --vpc-options SecurityGroupIds={sg-12345678,sg-9012345},SubnetIds=subnet-1212234567834asdf\ --pipeline-configuration-body "file://pipeline-config.yaml"
Titik akhir VPC yang dikelola sendiri
Saat membuat pipeline, Anda dapat menggunakan manajemen titik akhir untuk membuat pipeline dengan titik akhir yang dikelola sendiri atau titik akhir yang dikelola layanan. Manajemen titik akhir bersifat opsional, dan default ke titik akhir yang dikelola oleh Ingestion. OpenSearch
Untuk membuat pipeline dengan titik akhir VPC yang dikelola sendiri di AWS Management Console, lihat Membuat pipeline dengan konsol Layanan. OpenSearch Untuk membuat pipeline dengan titik akhir VPC yang dikelola sendiri di, Anda dapat menggunakan parameter dalam AWS CLI perintah --vpc-options create-pipeline:
--vpc-options SubnetIds=subnet-abcdef01234567890,VpcEndpointManagement=CUSTOMER
Anda dapat membuat sendiri endpoint ke pipeline saat menentukan layanan endpoint. Untuk menemukan layanan endpoint Anda, gunakan perintah get-pipeline, yang menampilkan respons yang mirip dengan berikut ini:
"vpcEndpointService" : "com.amazonaws.osis.us-east-1.pipeline-id-1234567890abcdef1234567890", "vpcEndpoints" : [ { "vpcId" : "vpc-1234567890abcdef0", "vpcOptions" : { "subnetIds" : [ "subnet-abcdef01234567890", "subnet-021345abcdef6789" ], "vpcEndpointManagement" : "CUSTOMER" } }
Gunakan vpcEndpointService dari respons untuk membuat titik akhir VPC dengan atau. AWS Management Console AWS CLI
Jika Anda menggunakan endpoint VPC yang dikelola sendiri, Anda harus mengaktifkan atribut DNS enableDnsSupport dan enableDnsHostnames di VPC Anda. Perhatikan bahwa jika Anda memiliki pipeline dengan titik akhir yang dikelola sendiri yang Anda hentikan dan restart, Anda harus membuat ulang titik akhir VPC di akun Anda.
Peran yang terhubung dengan layanan untuk akses VPC
Peran yang terhubung dengan layanan adalah tipe IAM role unik yang mendelegasikan izin untuk layanan sehingga dapat membuat dan mengelola sumber daya atas nama Anda. Jika Anda memilih VPC yang dikelola layanan, OpenSearch Ingestion memerlukan peran yang terhubung dengan layanan AWSServiceRoleForAmazonOpenSearchIngestionServiceuntuk mengakses VPC Anda, membuat titik akhir pipeline, dan menempatkan antarmuka jaringan di subnet dari VPC Anda.
Jika Anda memilih titik akhir VPC yang dikelola sendiri OpenSearch , Ingestion memerlukan peran terkait layanan yang disebut. AWSServiceRoleForOpensearchIngestionSelfManagedVpce Untuk informasi selengkapnya tentang peran ini, izinnya, dan cara menghapusnya, lihatMenggunakan peran yang terhubung dengan layanan untuk membuat OpenSearch pipa Ingestion.
OpenSearch Ingestion secara otomatis membuat peran saat Anda membuat pipeline konsumsi. Agar pembuatan otomatis ini berhasil, pengguna yang membuat pipa pertama di akun harus memiliki izin untuk iam:CreateServiceLinkedRole tindakan. Untuk mempelajari selengkapnya, lihat Izin peran terkait layanan di Panduan Pengguna IAM. Anda dapat melihat peran di konsol AWS Identity and Access Management (IAM) setelah dibuat.
