View a markdown version of this page

Merutekan lalu lintas keluar domain melalui VPC Anda - OpenSearch Layanan Amazon
IkhtisarCara kerjanyaPrasyaratMengaktifkan jalan keluar pada domainMemperbarui atau menonaktifkanVerifikasi dan pemantauanPemecahan masalahBatas dan pertimbanganPenggunaan dan penagihan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Merutekan lalu lintas keluar domain melalui VPC Anda

Pelajari cara merutekan lalu lintas keluar dari domain OpenSearch VPC Layanan Amazon Anda melalui VPC Anda sendiri, bukan internet publik.

catatan

Opsi ini hanya memengaruhi lalu lintas keluar dari domain. Masuknya ke domain masih bekerja dengan cara yang sama, pada port 80 dan 443.

Ikhtisar

Secara default, jalan keluar dari domain VPC ke titik akhir kustom meninggalkan internet publik.

Saat Anda mengaktifkan jalan keluar melalui VPC, lalu lintas keluar dari domain memasuki VPC Anda dan tunduk pada tabel rute, grup keamanan, dan ACL jaringan Anda. Gunakan opsi ini ketika Anda membutuhkan jalan keluar dari domain untuk dikontrol melalui VPC Anda, atau untuk mencapai titik akhir pribadi seperti titik akhir VPC dari domain.

Cara kerjanya

Saat Anda mengaktifkan jalan keluar pada domain VPC, OpenSearch Layanan menempatkan elastic network interface (ENI) tambahan di setiap subnet yang Anda berikan untuk domain tersebut. Lalu lintas keluar dari domain meninggalkan melalui ENI jalan keluar ini.

ENI jalan keluar dikelola oleh pemohon. OpenSearch Layanan membuat, mengonfigurasi, dan menghapusnya untuk Anda, dan Anda tidak dapat memodifikasinya dari akun Anda.

Komponen dalam VPC Anda

Saat jalan keluar diaktifkan, dua jenis sumber daya terlibat dalam VPC Anda:

  • Domain ENIS. Dibuat dan dikelola oleh OpenSearch Layanan untuk lalu lintas masuk ke domain. Ini ada di domain VPC apa pun, dengan atau tanpa jalan keluar diaktifkan.

  • Keluar dari ENI. Dibuat oleh OpenSearch Layanan melalui peran terkait layanan dan dikelola oleh pesawat jaringan OpenSearch Layanan. Ini membawa lalu lintas keluar dari domain ke VPC Anda.

Dalam Multi-AZ domain, ENI keluar disediakan per Availability Zone, sama persis dengan subnet yang Anda pilih untuk domain tersebut.

Resolusi DNS untuk jalan keluar

Ketika keluar melalui VPC Anda diaktifkan, domain menyelesaikan nama host melalui resolver VPC default (alamat “+2" pada CIDR VPC Anda). Resolver DNS kustom tidak didukung saat peluncuran.

Karena domain menggunakan resolver VPC, ia dapat menyelesaikan:

  • Catatan di Amazon Route 53 zona yang dihosting pribadi yang terkait dengan VPC Anda.

  • Nama DNS pribadi dari titik akhir VPC di VPC Anda.

penting

Jika DNS VPC Anda tidak dapat dijangkau atau salah dikonfigurasi, integrasi keluar domain akan gagal. Lihat Pemecahan masalah.

Prasyarat

Sebelum Anda mengaktifkan jalan keluar melalui VPC Anda, pastikan VPC Anda memenuhi persyaratan berikut:

  • Resolusi DNS dan nama host DNS keduanya diaktifkan pada VPC.

  • Resolver VPC default (alamat “+2" pada CIDR VPC Anda) dapat dijangkau dari subnet yang Anda rencanakan untuk digunakan untuk domain tersebut.

Kapasitas IP subnet. Cadangan jumlah alamat IP yang biasa untuk ENI domain (lihatMenyimpan alamat IP di subnet VPC), ditambah alamat IP tambahan per subnet untuk ENI keluar.

Service-linked peran. Peran terkait OpenSearch layanan Layanan Amazon yang ada mendapatkan izin yang diperlukan untuk membuat dan mengelola ENI jalan keluar. Jika Anda sudah menggunakan domain VPC, Anda tidak perlu membuat ulang peran tersebut. Untuk mempelajari selengkapnya, lihat Menggunakan peran terkait layanan untuk Amazon Service OpenSearch.

Ketersediaan wilayah. Keluar melalui VPC Anda tersedia di Wilayah yang tercantum di titik akhir OpenSearch Layanan Amazon dan halaman kuota.

Mengaktifkan jalan keluar pada domain

Anda dapat mengaktifkan jalan keluar pada domain VPC saat membuat domain, atau dengan memperbarui domain VPC yang ada. Anda tidak dapat mengaktifkan jalan keluar pada domain titik akhir publik. Mengaktifkan atau menonaktifkan opsi ini memicu penerapan. blue/green

Konsol

  1. Buka konsol OpenSearch Layanan Amazon.

  2. Mulai membuat domain baru, atau pilih domain VPC yang ada dan pilih Edit.

  3. Di bawah Jaringan, pilih akses VPC, lalu pilih VPC, subnet, dan grup keamanan Anda seperti yang Anda lakukan hari ini.

  4. Di bawah VPC Egress, pilih Aktifkan Jalan Keluar.

  5. Selesaikan langkah-langkah yang tersisa, lalu kirimkan perubahan.

AWS CLI

Untuk membuat domain dengan jalan keluar diaktifkan, sertakan EgressEnabled dalam: --vpc-options

aws opensearch create-domain \
  --domain-name example-domain \
  --engine-version OpenSearch_2.15 \
  --cluster-config InstanceType=r6g.large.search,InstanceCount=3,ZoneAwarenessEnabled=true \
  --vpc-options '{
      "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
      "SecurityGroupIds": ["sg-EXAMPLE"],
      "EgressEnabled": true
  }'

Untuk mengaktifkan jalan keluar pada domain VPC yang ada, gunakan: update-domain-config

aws opensearch update-domain-config \
  --domain-name example-domain \
  --vpc-options '{
      "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
      "SecurityGroupIds": ["sg-EXAMPLE"],
      "EgressEnabled": true
  }'

API

Untuk mengaktifkan jalan keluar melalui VPC Anda, atur EgressEnabled ke true aktif atau. VPCOptions CreateDomain UpdateDomainConfig Nilai dikembalikan VPCOptions pada DescribeDomain danDescribeDomainConfig.

{
  "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
  "SecurityGroupIds": ["sg-EXAMPLE"],
  "EgressEnabled": true
}

Untuk skema selengkapnya, lihat VPCoptions di Referensi API Layanan Amazon OpenSearch .

Memperbarui atau menonaktifkan

Anda dapat mengaktifkan jalan keluar saat Anda membuat domain atau kapan saja sesudahnya, dan Anda dapat mematikannya di domain yang telah mengaktifkannya. Anda juga dapat menambah atau menghapus Availability Zones sementara jalan keluar tetap diaktifkan. Perubahan untuk EgressEnabled memicu blue/green penerapan, sama seperti perubahan konfigurasi VPC lainnya. Untuk informasi selengkapnya, lihat Membuat perubahan konfigurasi di Amazon OpenSearch Service.

Saat Anda menonaktifkan jalan keluar, OpenSearch Layanan menghapus ENI jalan keluar dan sumber daya yang dikelola layanan terkait dari VPC Anda. Menghapus domain membersihkan semua sumber daya keluar secara otomatis.

Verifikasi dan pemantauan

Setelah Anda mengaktifkan jalan keluar, konfirmasikan bahwa ENIS keluar ada di subnet yang Anda pilih dengan melihatnya di konsol Amazon EC2. Deskripsi mereka mengidentifikasi domain OpenSearch Layanan. Untuk mengamati lalu lintas keluar yang meninggalkan domain, aktifkan VPC Flow Logs pada ENI jalan keluar. Periksa kesehatan domain di konsol OpenSearch Layanan, dan andalkan sinyal keberhasilan dan kegagalan yang ada dari integrasi jalan keluar Anda (tujuan peringatan, konektor pembelajaran mesin, repositori snapshot) untuk status tingkat integrasi.

Pemecahan masalah

Integrasi jalan keluar berhenti berfungsi setelah Anda mengaktifkan jalan keluar. Konfirmasikan bahwa tabel rute VPC Anda mengizinkan lalu lintas dari ENI jalan keluar ke tujuan, dan bahwa penyelesai VPC dapat dijangkau dan dapat menyelesaikan nama host tujuan.

Resolusi nama host gagal. Konfirmasikan bahwa resolusi DNS dan nama host DNS diaktifkan di VPC. Jika Anda menggunakan zona host pribadi Route 53 atau titik akhir keluar Route 53 Resolver, konfirmasikan bahwa aturan terkait mencakup tujuan.

Tidak cukup alamat IP di subnet. Perluas subnet atau gunakan subnet khusus untuk domain. Lihat Menyimpan alamat IP di subnet VPC.

Service-linked peran tidak memiliki izin. Buat ulang peran terkait layanan atau lampirkan kebijakan yang diperbarui. Lihat Menggunakan peran terkait layanan untuk Amazon Service OpenSearch.

Anda tidak dapat mengaktifkan jalan keluar pada domain titik akhir publik. Keluar melalui VPC Anda hanya tersedia di domain VPC. Konversikan domain terlebih dahulu. Lihat Migrasi dari akses publik ke akses VPC.

Awas

EniS jalan keluar dikelola layanan. Jangan lepaskan atau hapus secara manual. Untuk menghapusnya, nonaktifkan opsi keluar pada domain atau hapus domain.

Batas dan pertimbangan

Keluar melalui VPC Anda tersedia di Wilayah yang tercantum di titik akhir OpenSearch Layanan Amazon dan halaman kuota. Ini didukung di domain OpenSearch Layanan Amazon yang mengaktifkan VPC.

Penggunaan dan penagihan

Untuk memantau transfer data yang terkait dengan jalan keluar melalui VPC Anda, tinjau dasbor AWS Penagihan untuk jenis penggunaanDataTransfer-Regional-Bytes, pengoperasianVPCConnectionUsage, dan kode produk. AmazonES Untuk tarif saat ini, lihat harga OpenSearch Layanan Amazon.