Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Instradamento del traffico in uscita dal dominio tramite il tuo VPC
<a name="vpc-egress"></a>

Scopri come indirizzare il traffico in uscita dal tuo dominio Amazon OpenSearch Service VPC attraverso il tuo VPC anziché tramite la rete Internet pubblica.

**Nota**  
Questa opzione influisce solo sul traffico in uscita dal dominio. L'ingresso nel dominio funziona ancora allo stesso modo, sulle porte 80 e 443.

## Panoramica di
<a name="vpc-egress-overview"></a>

Per impostazione predefinita, l'uscita da un dominio VPC verso gli endpoint personalizzati avviene sulla rete Internet pubblica.

Quando abiliti l'uscita tramite il tuo VPC, il traffico in uscita dal dominio entra nel tuo VPC ed è soggetto alle tabelle di routing, ai gruppi di sicurezza e agli ACL di rete. Utilizza questa opzione quando devi controllare l'uscita dal dominio tramite il tuo VPC o per raggiungere endpoint privati come gli endpoint VPC dal dominio.

## Come funziona
<a name="vpc-egress-architecture"></a>

Quando abiliti l'uscita su un dominio VPC OpenSearch , Service inserisce un'interfaccia di *rete elastica (ENI) aggiuntiva* in ogni sottorete fornita per il dominio. Il traffico in uscita dal dominio passa attraverso questi ENI in uscita.

Gli ENI in uscita sono gestiti dal richiedente. OpenSearch Il servizio li crea, configura ed elimina per te e non puoi modificarli dal tuo account.

### Componenti nel tuo VPC
<a name="vpc-egress-components"></a>

Quando l'uscita è abilitata, nel tuo VPC sono coinvolti due tipi di risorse:
+ **ENI di dominio.** Creato e gestito da OpenSearch Service per il traffico in entrata verso il dominio. Esistono su qualsiasi dominio VPC, con o senza uscita abilitata.
+ **ENI in uscita.** Creato da OpenSearch Service tramite il suo ruolo collegato ai servizi e gestito dal piano di rete Service. OpenSearch Questi trasportano il traffico in uscita dal dominio al tuo VPC.

In un Multi-AZ dominio, gli ENI in uscita vengono assegnati per zona di disponibilità, in modo che corrispondano esattamente alle sottoreti selezionate per il dominio.

### Risoluzione DNS per l'uscita
<a name="vpc-egress-dns"></a>

Quando l'uscita tramite VPC è abilitata, il dominio risolve i nomi host tramite il resolver VPC predefinito (l'indirizzo «\+2" sul tuo VPC CIDR). I resolver DNS personalizzati non sono supportati all'avvio.

Poiché il dominio utilizza il resolver VPC, può risolvere:
+ Record nelle zone private ospitate di Amazon Route 53 associate al tuo VPC.
+ Nomi DNS privati degli endpoint VPC nel tuo VPC.

**Importante**  
Se il DNS del VPC non è raggiungibile o non è configurato correttamente, le integrazioni in uscita del dominio falliranno. Per informazioni, consulta [Risoluzione dei problemi](#vpc-egress-troubleshoot).

## Prerequisiti
<a name="vpc-egress-prereqs"></a>

Prima di abilitare l'uscita tramite il VPC, assicurati che il VPC soddisfi i seguenti requisiti:
+ La risoluzione DNS e i nomi host DNS sono entrambi abilitati sul VPC.
+ Il resolver VPC predefinito (l'indirizzo «\+2" sul tuo VPC CIDR) è raggiungibile dalle sottoreti che intendi utilizzare per il dominio.

**Capacità IP della sottorete.** Riserva il numero normale di indirizzi IP per gli ENI del dominio (vedi[Prenotazione di indirizzi IP in una sottorete VPC](vpc.md#reserving-ip-vpc-endpoints)), più indirizzi IP aggiuntivi per sottorete per gli ENI in uscita.

**Service-linked ruolo.** Il ruolo esistente collegato al OpenSearch servizio Amazon Service ottiene le autorizzazioni necessarie per creare e gestire gli ENI in uscita. Se utilizzi già domini VPC, non è necessario ricreare il ruolo. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon Service OpenSearch](slr.md).

**Disponibilità regionale.** L'ingresso tramite il tuo VPC è disponibile nelle regioni elencate nella pagina degli endpoint e delle OpenSearch quote di Amazon Service.

## Abilitare l'uscita su un dominio
<a name="vpc-egress-enable"></a>

Puoi abilitare l'uscita su un dominio VPC quando crei il dominio o aggiornando un dominio VPC esistente. Non è possibile abilitare l'uscita su un dominio di endpoint pubblico. L'attivazione o la disabilitazione di questa opzione attiva una distribuzione. blue/green 

### Console
<a name="vpc-egress-enable-console"></a>

1. Apri la console Amazon OpenSearch Service.

1. **Inizia a creare un nuovo dominio oppure seleziona un dominio VPC esistente e scegli Modifica.**

1. In **Rete**, scegli **Accesso VPC**, quindi seleziona il tuo VPC, le sottoreti e i gruppi di sicurezza come faresti oggi.

1. **In **Uscita VPC, seleziona Abilita uscita**.**

1. Completa i passaggi rimanenti, quindi invia la modifica.

### AWS CLI
<a name="vpc-egress-enable-cli"></a>

Per creare un dominio con l'uscita abilitata, includi `EgressEnabled` in`--vpc-options`:

```
aws opensearch create-domain \
  --domain-name example-domain \
  --engine-version OpenSearch_2.15 \
  --cluster-config InstanceType=r6g.large.search,InstanceCount=3,ZoneAwarenessEnabled=true \
  --vpc-options '{
      "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
      "SecurityGroupIds": ["sg-EXAMPLE"],
      "EgressEnabled": true
  }'
```

Per attivare l'uscita su un dominio VPC esistente, usa: `update-domain-config`

```
aws opensearch update-domain-config \
  --domain-name example-domain \
  --vpc-options '{
      "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
      "SecurityGroupIds": ["sg-EXAMPLE"],
      "EgressEnabled": true
  }'
```

### "Hello, World\!"
<a name="vpc-egress-enable-api"></a>

Per abilitare l'uscita tramite il tuo VPC, `EgressEnabled` imposta su `true` or`VPCOptions`. `CreateDomain` `UpdateDomainConfig` Il valore viene restituito in `VPCOptions` on and. `DescribeDomain` `DescribeDomainConfig`

```
{
  "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
  "SecurityGroupIds": ["sg-EXAMPLE"],
  "EgressEnabled": true
}
```

Per lo schema completo, consulta [VPCOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_VPCOptions.html) nell'*Amazon OpenSearch Service* API Reference.

## Aggiornamento o disabilitazione
<a name="vpc-egress-update"></a>

Puoi attivare l'uscita in uscita quando crei un dominio o in qualsiasi momento successivo e puoi disattivarla su un dominio che lo ha abilitato. Puoi anche aggiungere o rimuovere zone di disponibilità mentre l'uscita rimane abilitata. Una modifica a `EgressEnabled` attiva una blue/green distribuzione, come le altre modifiche alla configurazione del VPC. Per ulteriori informazioni, consulta [Apportare modifiche alla configurazione in Amazon OpenSearch Service](managedomains-configuration-changes.md).

Quando disabiliti l'uscita, OpenSearch Service rimuove gli ENI in uscita e le relative risorse gestite dal servizio dal tuo VPC. L'eliminazione del dominio pulisce automaticamente tutte le risorse in uscita.

## Verifica e monitoraggio
<a name="vpc-egress-monitor"></a>

Dopo aver abilitato l'uscita, verifica che gli ENI in uscita esistano nelle sottoreti selezionate visualizzandoli nella console Amazon EC2. Le loro descrizioni identificano il dominio del servizio. OpenSearch Per osservare il traffico in uscita dal dominio, abilita i log di flusso VPC sugli ENI in uscita. Controlla lo stato del dominio nella console di OpenSearch servizio e affidati ai segnali di successo e fallimento esistenti dalle integrazioni in uscita (destinazioni di avvisi, connettori di machine learning, archivi di snapshot) per verificare lo stato a livello di integrazione.

## Risoluzione dei problemi
<a name="vpc-egress-troubleshoot"></a>

**L'integrazione in uscita ha smesso di funzionare dopo aver abilitato l'uscita.** Verifica che la tabella di routing VPC consenta il traffico dagli ENI in uscita alla destinazione e che il resolver VPC sia raggiungibile e possa risolvere il nome host di destinazione.

**La risoluzione del nome host non riesce.** Verifica che la risoluzione DNS e i nomi host DNS siano abilitati sul VPC. Se utilizzi zone ospitate private Route 53 o un endpoint in uscita Route 53 Resolver, verifica che le regole associate coprano la destinazione.

**Indirizzi IP insufficienti nella sottorete.** Espandi la sottorete o utilizzate una sottorete dedicata per il dominio. Per informazioni, consulta [Prenotazione di indirizzi IP in una sottorete VPC](vpc.md#reserving-ip-vpc-endpoints).

**Service-linked al ruolo mancano le autorizzazioni.** Ricrea il ruolo collegato al servizio o allega la policy aggiornata. Per informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Amazon Service OpenSearch](slr.md).

**Non è possibile abilitare l'uscita su un dominio pubblico di endpoint.** L'uscita tramite VPC è disponibile solo sui domini VPC. Converti prima il dominio. Per informazioni, consulta [Migrazione dall'accesso pubblico all'accesso VPC](vpc.md#migrating-public-to-vpc).

**avvertimento**  
Gli ENI in uscita sono gestiti dal servizio. Non scollegarli o eliminarli manualmente. Per rimuoverli, disattiva l'opzione di uscita sul dominio o elimina il dominio.

## Limiti e considerazioni
<a name="vpc-egress-limits"></a>

L'ingresso tramite il tuo VPC è disponibile nelle regioni elencate nella pagina degli endpoint e delle OpenSearch quote di Amazon Service. È supportato sui domini Amazon OpenSearch Service con VPC abilitato.

## Utilizzo e fatturazione
<a name="vpc-egress-billing"></a>

Per monitorare il trasferimento dei dati associato all'uscita tramite il tuo VPC, consulta la dashboard di fatturazione per [AWS il](https://console.aws.amazon.com/billing/home) `DataTransfer-Regional-Bytes` tipo di utilizzo, il `VPCConnectionUsage` funzionamento e il codice del prodotto. `AmazonES` Per le tariffe attuali, consulta i [prezzi OpenSearch di Amazon Service](https://aws.amazon.com/opensearch-service/pricing/).