Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Accesso ai dati tra regioni e account diversi con ricerca tra cluster
Utilizzando la ricerca tra cluster in Amazon OpenSearch Serverless, puoi eseguire query e aggregazioni su più domini connessi.
La ricerca tra cluster in Amazon OpenSearch Serverless utilizza i concetti di dominio di origine e dominio di destinazione. Una richiesta di ricerca tra cluster proviene da un dominio di origine. Il dominio di destinazione può appartenere a un dominio diverso Account AWS o Regione AWS (o entrambi) al dominio di origine da cui eseguire la query. Utilizzando la ricerca tra cluster, puoi configurare un dominio di origine da associare all' OpenSearch interfaccia utente nello stesso account e quindi creare connessioni ai domini di destinazione. Di conseguenza, puoi utilizzare l' OpenSearch interfaccia utente con i dati dei domini di destinazione anche se si trovano in un account o in una regione diversi.
Paghi AWS i costi standard di trasferimento
Puoi utilizzare la ricerca tra cluster come meccanismo per associare la tua OpenSearch interfaccia utente a cluster in un account o in una regione diversa. Per impostazione predefinita, le richieste tra domini sono crittografate in transito come parte della crittografia. node-to-node
Nota
Lo OpenSearch strumento open source documenta anche la ricerca tra cluster
In particolare, in Amazon OpenSearch Serverless, si configurano connessioni tra cluster utilizzando le richieste AWS Management Console anziché utilizzando. cURL Il servizio gestito utilizza AWS Identity and Access Management (IAM) per l'autenticazione tra cluster oltre al controllo granulare degli accessi.
Pertanto, consigliamo di utilizzare il contenuto di questo argomento per configurare la ricerca tra cluster per i domini anziché la documentazione open source. OpenSearch
Differenze funzionali quando si utilizza la ricerca tra cluster
Rispetto ai domini normali, i domini di destinazione creati utilizzando la ricerca tra cluster presentano le seguenti differenze e requisiti funzionali:
-
Non è possibile scrivere o eseguire
PUTcomandi nel cluster remoto. L'accesso al cluster remoto è di sola lettura. -
Sia il dominio di origine che quello di destinazione devono essere OpenSearch domini. Non puoi connettere un dominio Elasticsearch o cluster OpenSearch /Elasticsearch autogestiti per l'interfaccia utente. OpenSearch
-
Un dominio può avere un massimo di 20 connessioni ad altri domini. Ciò include sia le connessioni in uscita che quelle in entrata.
-
Il dominio di origine deve trovarsi nella stessa versione o in una versione successiva del dominio OpenSearch di destinazione. Se desideri configurare connessioni bidirezionali tra due domini, i due domini devono avere la stessa versione. Ti consigliamo di aggiornare entrambi i domini alla versione più recente prima di effettuare la connessione. Se devi aggiornare i domini dopo aver configurato la connessione bidirezionale, devi prima eliminare la connessione e poi ricrearla.
-
Non è possibile utilizzare dizionari personalizzati o SQL con i cluster remoti.
-
Non puoi utilizzarlo per AWS CloudFormation connettere domini.
-
Non è possibile utilizzare la ricerca tra cluster su istanze M3 o istanze espandibili (T2 e T3).
-
La ricerca tra cluster non funziona per le raccolte Amazon OpenSearch Serverless.
Prerequisiti di ricerca tra cluster per l'interfaccia utente OpenSearch
Prima di configurare la ricerca tra cluster con due OpenSearch domini, assicurati che i domini soddisfino i seguenti requisiti:
-
Il controllo granulare degli accessi è abilitato per entrambi i domini
-
Node-to-node la crittografia è abilitata per entrambi i domini
Argomenti
Configurazione delle autorizzazioni di accesso per l'accesso ai dati tra aree geografiche e tra account con la ricerca tra cluster
Quando invii una richiesta di ricerca tra cluster al dominio di origine, il dominio valuta tale richiesta in base alla propria politica di accesso al dominio. La ricerca tra cluster richiede un controllo granulare degli accessi. Di seguito è riportato un esempio con una politica di accesso aperto sul dominio di origine.
Nota
Se includi indici remoti nel percorso, devi codificare in formato URL l'URI nell'ARN del dominio.
Ad esempio, utilizzate il seguente formato ARN:
:arn:aws:es:us-east-1:111222333444:domain/my-domain/local_index,dst%3Aremote_index
Non utilizzare il seguente formato ARN:
arn:aws:es:us-east-1:111222333444:domain/my-domain/local_index,dst:remote_index.
Se si sceglie di utilizzare una politica di accesso restrittiva oltre al controllo granulare degli accessi, la politica deve almeno consentire l'accesso a. es:ESHttpGet Di seguito è riportato un esempio:
Il controllo granulare degli accessi sul dominio di origine valuta la richiesta per determinare se è firmata con credenziali di base IAM o HTTP valide. In caso affermativo, il controllo granulare degli accessi valuta successivamente se l'utente è autorizzato a eseguire la ricerca e accedere ai dati.
Di seguito sono riportati i requisiti di autorizzazione per le ricerche:
-
Se la richiesta cerca solo dati nel dominio di destinazione (ad esempio
dest-alias:dest-index/_search), le autorizzazioni sono richieste solo nel dominio di destinazione). -
Se la richiesta cerca dati su entrambi i domini (ad esempio
source-index,dest-alias:dest-index/_search), le autorizzazioni sono necessarie su entrambi i domini). -
Per utilizzare un controllo granulare degli accessi,
indices:admin/shards/search_shardsè necessaria l'autorizzazione in aggiunta alle autorizzazioni standard di lettura o ricerca per gli indici pertinenti.
Il dominio di origine invia la richiesta al dominio di destinazione. Il dominio di destinazione valuta la richiesta in base alla policy di accesso al dominio. Per supportare tutte le funzionalità OpenSearch dell'interfaccia utente, come l'indicizzazione dei documenti e l'esecuzione di ricerche standard, è necessario impostare le autorizzazioni complete. Di seguito è riportato un esempio della nostra politica consigliata sul dominio di destinazione:
Se desideri eseguire solo ricerche di base, il requisito minimo richiesto dalla policy è l'es:ESCrossClusterGetautorizzazione da applicare per il dominio di destinazione senza il supporto dei caratteri jolly. Ad esempio, nella politica precedente, è necessario specificare il nome di dominio con e senza. /my-destination-domain /my-destination-domain/*
In questo caso, il dominio di destinazione esegue la ricerca e restituisce i risultati al dominio di origine. Il dominio di origine combina i propri risultati (se presenti) con i risultati del dominio di destinazione e li restituisce all'utente.
Creazione di una connessione tra domini
Una connessione di ricerca tra cluster è unidirezionale dal dominio di origine al dominio di destinazione. Ciò significa che i domini di destinazione (in un account o in una regione diversi) non possono interrogare il dominio di origine, che è locale all'interfaccia utente. OpenSearch Il dominio di origine crea una connessione in uscita al dominio di destinazione. Il dominio di destinazione riceve una richiesta di connessione in entrata dal dominio di origine.
Per creare una connessione tra domini
-
Accedi alla console di Amazon OpenSearch Service da https://console.aws.amazon.com/aos/casa
. -
Nella barra di navigazione a sinistra, scegli Domini.
-
Scegli il nome di un dominio da utilizzare come dominio di origine, quindi scegli la scheda Connessioni.
-
Nell'area Connessioni in uscita, scegli Richiesta.
-
Per Alias di connessione, specifica un nome per la connessione. L'alias di connessione viene utilizzato nell' OpenSearch interfaccia utente per selezionare i domini di destinazione.
-
Per la modalità di connessione, scegli Direct per le ricerche o la replica tra cluster.
-
Per specificare che la connessione deve ignorare i cluster non disponibili durante una ricerca, seleziona la casella Ignora i cluster non disponibili. La scelta di questa opzione garantisce che le query tra cluster restituiscano risultati parziali indipendentemente dagli errori su uno o più cluster remoti.
-
Per Cluster di destinazione, scegli tra Connetti a un cluster in questo Account AWS e Connetti a un cluster in un altro Account AWS.
-
Per l'ARN del dominio remoto, inserisci l'Amazon Resource Name (ARN) per il cluster. L'ARN del dominio può essere posizionato nell'area Informazioni generali della pagina di dettaglio del dominio.
Il dominio deve soddisfare i seguenti requisiti:
-
L'ARN deve essere nel formato.
arn:Per esempio:partition:es:regionaccount-id:type/domain-idarn:aws:es:us-east-2:111222333444:domain/my-domain -
Il dominio deve essere configurato per utilizzare la OpenSearch versione 1.0 (o successiva) o la versione 6.7 di Elasticsearch (o successiva).
-
Il controllo granulare degli accessi deve essere abilitato sul dominio.
-
Il dominio deve essere in esecuzione. OpenSearch
-
-
Scegli Richiedi.
La ricerca tra cluster convalida innanzitutto la richiesta di connessione per assicurare che i prerequisiti siano soddisfatti. Se i domini sono incompatibili, la richiesta di connessione entra nello Validation failed stato.
Se la richiesta di connessione viene convalidata correttamente, viene inviata al dominio di destinazione, dove deve essere approvata. Fino a quando non viene concessa questa approvazione, la connessione rimane in uno Pending acceptance stato. Quando la richiesta di connessione viene accettata nel dominio di destinazione, lo stato cambia in Active e il dominio di destinazione diventa disponibile per le query.
La pagina del dominio mostra i dettagli generali dello stato del dominio e dello stato dell'istanza del dominio di destinazione. Solo i proprietari dei domini dispongono della flessibilità necessaria per creare, visualizzare, rimuovere e monitorare le connessioni da o verso i propri domini.
Dopo aver stabilito la connessione, tutto il traffico che passa tra i nodi dei domini connessi viene crittografato. Quando connetti un dominio VPC a un dominio non VPC e il dominio non VPC è un endpoint pubblico in grado di ricevere traffico da Internet, il traffico intercluster tra i domini è ancora crittografato e sicuro.
Test della configurazione di sicurezza per l'accesso ai dati tra regioni e account diversi con la ricerca tra cluster
Dopo aver impostato le autorizzazioni di accesso per l'accesso ai dati tra aree geografiche e tra account con la ricerca tra cluster, ti consigliamo di testare la configurazione utilizzando una piattaforma di terze parti per lo sviluppo collaborativo di Postman
Per impostare la configurazione di sicurezza utilizzando Postman
-
Nel dominio di destinazione, indicizza un documento. Di seguito è riportato un esempio di richiesta:
POST https://dst-domain.us-east-1.es.amazonaws.com/books/_doc/1 { "Dracula": "Bram Stoker" } -
Per eseguire una query su questo indice dal dominio di origine, includere l'alias di connessione del dominio di destinazione all'interno della query. È possibile trovare l'alias di connessione nella scheda Connessioni nel pannello di controllo del dominio. Di seguito sono riportati un esempio di richiesta e una risposta troncata:
GET https://src-domain.us-east-1.es.amazonaws.com/connection_alias:books/_search { ... "hits": [ { "_index": "source-destination:books", "_type": "_doc", "_id": "1", "_score": 1, "_source": { "Dracula": "Bram Stoker" } } ] } -
(Facoltativo) È possibile creare una configurazione che includa più domini in un'unica ricerca. Ad esempio, supponiamo di aver impostato quanto segue:
Una connessione tra
domain-aadomain-b, con un alias di connessione denominatocluster_bUna connessione tra
domain-aadomain-c, con un alias di connessione denominatocluster_cIn questo caso, le ricerche includono il contenuto
domain-adomain-b, e.domain-cDi seguito sono riportati alcuni esempi di richiesta e risposta:Richiesta
GET https://src-domain.us-east-1.es.amazonaws.com/local_index,cluster_b:b_index,cluster_c:c_index/_search { "query": { "match": { "user": "domino" } } }Risposta:
{ "took": 150, "timed_out": false, "_shards": { "total": 3, "successful": 3, "failed": 0, "skipped": 0 }, "_clusters": { "total": 3, "successful": 3, "skipped": 0 }, "hits": { "total": 3, "max_score": 1, "hits": [ { "_index": "local_index", "_type": "_doc", "_id": "0", "_score": 1, "_source": { "user": "domino", "message": "This is message 1", "likes": 0 } }, { "_index": "cluster_b:b_index", "_type": "_doc", "_id": "0", "_score": 2, "_source": { "user": "domino", "message": "This is message 2", "likes": 0 } }, { "_index": "cluster_c:c_index", "_type": "_doc", "_id": "0", "_score": 3, "_source": { "user": "domino", "message": "This is message 3", "likes": 0 } } ] } }
Se non hai scelto di ignorare i cluster non disponibili nella configurazione della connessione, tutti i cluster di destinazione che cerchi devono essere disponibili affinché la richiesta di ricerca venga eseguita correttamente. In caso contrario, l'intera richiesta avrà esito negativo: anche se uno dei domini non è disponibile non verrà restituito alcun risultato della ricerca.
Eliminazione di una connessione
L'eliminazione di una connessione interrompe tutte le operazioni di ricerca tra cluster nel dominio di destinazione.
È possibile eseguire la procedura seguente sul dominio di origine o di destinazione per rimuovere la connessione. Dopo aver rimosso la connessione, questa rimane visibile con uno stato Deleted di 15 giorni.
Non è possibile eliminare un dominio con connessioni tra cluster attive. Per eliminare un dominio, rimuovere innanzitutto tutte le connessioni in ingresso e in uscita da tale dominio. Questo per essere certi di considerare gli utenti del dominio tra cluster prima di eliminare il dominio.
Per eliminare una connessione
-
Accedi alla console di Amazon OpenSearch Service da https://console.aws.amazon.com/aos/casa
. -
Nella barra di navigazione a sinistra, scegli Domini.
-
Scegli il nome di un dominio da eliminare, quindi scegli la scheda Connessioni.
-
Seleziona il nome di una connessione da eliminare.
-
Scegli Elimina, quindi conferma l'eliminazione.
