Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Merutekan lalu lintas keluar domain melalui VPC Anda
<a name="vpc-egress"></a>

Pelajari cara merutekan lalu lintas keluar dari domain OpenSearch VPC Layanan Amazon Anda melalui VPC Anda sendiri, bukan internet publik.

**catatan**  
Opsi ini hanya memengaruhi lalu lintas keluar dari domain. Masuknya ke domain masih bekerja dengan cara yang sama, pada port 80 dan 443.

## Ikhtisar
<a name="vpc-egress-overview"></a>

Secara default, jalan keluar dari domain VPC ke titik akhir kustom meninggalkan internet publik.

Saat Anda mengaktifkan jalan keluar melalui VPC, lalu lintas keluar dari domain memasuki VPC Anda dan tunduk pada tabel rute, grup keamanan, dan ACL jaringan Anda. Gunakan opsi ini ketika Anda membutuhkan jalan keluar dari domain untuk dikontrol melalui VPC Anda, atau untuk mencapai titik akhir pribadi seperti titik akhir VPC dari domain.

## Cara kerjanya
<a name="vpc-egress-architecture"></a>

Saat Anda mengaktifkan jalan keluar pada domain VPC, OpenSearch Layanan menempatkan *elastic network interface* (ENI) tambahan di setiap subnet yang Anda berikan untuk domain tersebut. Lalu lintas keluar dari domain meninggalkan melalui ENI jalan keluar ini.

ENI jalan keluar dikelola oleh pemohon. OpenSearch Layanan membuat, mengonfigurasi, dan menghapusnya untuk Anda, dan Anda tidak dapat memodifikasinya dari akun Anda.

### Komponen dalam VPC Anda
<a name="vpc-egress-components"></a>

Saat jalan keluar diaktifkan, dua jenis sumber daya terlibat dalam VPC Anda:
+ **Domain ENIS.** Dibuat dan dikelola oleh OpenSearch Layanan untuk lalu lintas masuk ke domain. Ini ada di domain VPC apa pun, dengan atau tanpa jalan keluar diaktifkan.
+ **Keluar dari ENI.** Dibuat oleh OpenSearch Layanan melalui peran terkait layanan dan dikelola oleh pesawat jaringan OpenSearch Layanan. Ini membawa lalu lintas keluar dari domain ke VPC Anda.

Dalam Multi-AZ domain, ENI keluar disediakan per Availability Zone, sama persis dengan subnet yang Anda pilih untuk domain tersebut.

### Resolusi DNS untuk jalan keluar
<a name="vpc-egress-dns"></a>

Ketika keluar melalui VPC Anda diaktifkan, domain menyelesaikan nama host melalui resolver VPC default (alamat “\+2" pada CIDR VPC Anda). Resolver DNS kustom tidak didukung saat peluncuran.

Karena domain menggunakan resolver VPC, ia dapat menyelesaikan:
+ Catatan di Amazon Route 53 zona yang dihosting pribadi yang terkait dengan VPC Anda.
+ Nama DNS pribadi dari titik akhir VPC di VPC Anda.

**penting**  
Jika DNS VPC Anda tidak dapat dijangkau atau salah dikonfigurasi, integrasi keluar domain akan gagal. Lihat [Pemecahan masalah](#vpc-egress-troubleshoot).

## Prasyarat
<a name="vpc-egress-prereqs"></a>

Sebelum Anda mengaktifkan jalan keluar melalui VPC Anda, pastikan VPC Anda memenuhi persyaratan berikut:
+ Resolusi DNS dan nama host DNS keduanya diaktifkan pada VPC.
+ Resolver VPC default (alamat “\+2" pada CIDR VPC Anda) dapat dijangkau dari subnet yang Anda rencanakan untuk digunakan untuk domain tersebut.

**Kapasitas IP subnet.** Cadangan jumlah alamat IP yang biasa untuk ENI domain (lihat[Menyimpan alamat IP di subnet VPC](vpc.md#reserving-ip-vpc-endpoints)), ditambah alamat IP tambahan per subnet untuk ENI keluar.

**Service-linked peran.** Peran terkait OpenSearch layanan Layanan Amazon yang ada mendapatkan izin yang diperlukan untuk membuat dan mengelola ENI jalan keluar. Jika Anda sudah menggunakan domain VPC, Anda tidak perlu membuat ulang peran tersebut. Untuk mempelajari selengkapnya, lihat [Menggunakan peran terkait layanan untuk Amazon Service OpenSearch](slr.md).

**Ketersediaan wilayah.** Keluar melalui VPC Anda tersedia di Wilayah yang tercantum di titik akhir OpenSearch Layanan Amazon dan halaman kuota.

## Mengaktifkan jalan keluar pada domain
<a name="vpc-egress-enable"></a>

Anda dapat mengaktifkan jalan keluar pada domain VPC saat membuat domain, atau dengan memperbarui domain VPC yang ada. Anda tidak dapat mengaktifkan jalan keluar pada domain titik akhir publik. Mengaktifkan atau menonaktifkan opsi ini memicu penerapan. blue/green 

### Konsol
<a name="vpc-egress-enable-console"></a>

1. Buka konsol OpenSearch Layanan Amazon.

1. **Mulai membuat domain baru, atau pilih domain VPC yang ada dan pilih Edit.**

1. Di bawah **Jaringan**, pilih **akses VPC**, lalu pilih VPC, subnet, dan grup keamanan Anda seperti yang Anda lakukan hari ini.

1. **Di bawah **VPC Egress, pilih Aktifkan Jalan Keluar**.**

1. Selesaikan langkah-langkah yang tersisa, lalu kirimkan perubahan.

### AWS CLI
<a name="vpc-egress-enable-cli"></a>

Untuk membuat domain dengan jalan keluar diaktifkan, sertakan `EgressEnabled` dalam: `--vpc-options`

```
aws opensearch create-domain \
  --domain-name example-domain \
  --engine-version OpenSearch_2.15 \
  --cluster-config InstanceType=r6g.large.search,InstanceCount=3,ZoneAwarenessEnabled=true \
  --vpc-options '{
      "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
      "SecurityGroupIds": ["sg-EXAMPLE"],
      "EgressEnabled": true
  }'
```

Untuk mengaktifkan jalan keluar pada domain VPC yang ada, gunakan: `update-domain-config`

```
aws opensearch update-domain-config \
  --domain-name example-domain \
  --vpc-options '{
      "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
      "SecurityGroupIds": ["sg-EXAMPLE"],
      "EgressEnabled": true
  }'
```

### API
<a name="vpc-egress-enable-api"></a>

Untuk mengaktifkan jalan keluar melalui VPC Anda, atur `EgressEnabled` ke `true` aktif atau. `VPCOptions` `CreateDomain` `UpdateDomainConfig` Nilai dikembalikan `VPCOptions` pada `DescribeDomain` dan`DescribeDomainConfig`.

```
{
  "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
  "SecurityGroupIds": ["sg-EXAMPLE"],
  "EgressEnabled": true
}
```

Untuk skema selengkapnya, lihat [VPCoptions di Referensi](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_VPCOptions.html) API Layanan *Amazon OpenSearch *.

## Memperbarui atau menonaktifkan
<a name="vpc-egress-update"></a>

Anda dapat mengaktifkan jalan keluar saat Anda membuat domain atau kapan saja sesudahnya, dan Anda dapat mematikannya di domain yang telah mengaktifkannya. Anda juga dapat menambah atau menghapus Availability Zones sementara jalan keluar tetap diaktifkan. Perubahan untuk `EgressEnabled` memicu blue/green penerapan, sama seperti perubahan konfigurasi VPC lainnya. Untuk informasi selengkapnya, lihat [Membuat perubahan konfigurasi di Amazon OpenSearch Service](managedomains-configuration-changes.md).

Saat Anda menonaktifkan jalan keluar, OpenSearch Layanan menghapus ENI jalan keluar dan sumber daya yang dikelola layanan terkait dari VPC Anda. Menghapus domain membersihkan semua sumber daya keluar secara otomatis.

## Verifikasi dan pemantauan
<a name="vpc-egress-monitor"></a>

Setelah Anda mengaktifkan jalan keluar, konfirmasikan bahwa ENIS keluar ada di subnet yang Anda pilih dengan melihatnya di konsol Amazon EC2. Deskripsi mereka mengidentifikasi domain OpenSearch Layanan. Untuk mengamati lalu lintas keluar yang meninggalkan domain, aktifkan VPC Flow Logs pada ENI jalan keluar. Periksa kesehatan domain di konsol OpenSearch Layanan, dan andalkan sinyal keberhasilan dan kegagalan yang ada dari integrasi jalan keluar Anda (tujuan peringatan, konektor pembelajaran mesin, repositori snapshot) untuk status tingkat integrasi.

## Pemecahan masalah
<a name="vpc-egress-troubleshoot"></a>

**Integrasi jalan keluar berhenti berfungsi setelah Anda mengaktifkan jalan keluar.** Konfirmasikan bahwa tabel rute VPC Anda mengizinkan lalu lintas dari ENI jalan keluar ke tujuan, dan bahwa penyelesai VPC dapat dijangkau dan dapat menyelesaikan nama host tujuan.

**Resolusi nama host gagal.** Konfirmasikan bahwa resolusi DNS dan nama host DNS diaktifkan di VPC. Jika Anda menggunakan zona host pribadi Route 53 atau titik akhir keluar Route 53 Resolver, konfirmasikan bahwa aturan terkait mencakup tujuan.

**Tidak cukup alamat IP di subnet.** Perluas subnet atau gunakan subnet khusus untuk domain. Lihat [Menyimpan alamat IP di subnet VPC](vpc.md#reserving-ip-vpc-endpoints).

**Service-linked peran tidak memiliki izin.** Buat ulang peran terkait layanan atau lampirkan kebijakan yang diperbarui. Lihat [Menggunakan peran terkait layanan untuk Amazon Service OpenSearch](slr.md).

**Anda tidak dapat mengaktifkan jalan keluar pada domain titik akhir publik.** Keluar melalui VPC Anda hanya tersedia di domain VPC. Konversikan domain terlebih dahulu. Lihat [Migrasi dari akses publik ke akses VPC](vpc.md#migrating-public-to-vpc).

**Awas**  
EniS jalan keluar dikelola layanan. Jangan lepaskan atau hapus secara manual. Untuk menghapusnya, nonaktifkan opsi keluar pada domain atau hapus domain.

## Batas dan pertimbangan
<a name="vpc-egress-limits"></a>

Keluar melalui VPC Anda tersedia di Wilayah yang tercantum di titik akhir OpenSearch Layanan Amazon dan halaman kuota. Ini didukung di domain OpenSearch Layanan Amazon yang mengaktifkan VPC.

## Penggunaan dan penagihan
<a name="vpc-egress-billing"></a>

Untuk memantau transfer data yang terkait dengan jalan keluar melalui VPC Anda, tinjau dasbor [AWS Penagihan](https://console.aws.amazon.com/billing/home) untuk jenis penggunaan`DataTransfer-Regional-Bytes`, pengoperasian`VPCConnectionUsage`, dan kode produk. `AmazonES` Untuk tarif saat ini, lihat [harga OpenSearch Layanan Amazon](https://aws.amazon.com/opensearch-service/pricing/).