기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
VPC를 통해 도메인 송신 트래픽 라우팅
퍼블릭 인터넷 대신 자체 VPC를 통해 Amazon OpenSearch Service VPC 도메인에서 송신 트래픽을 라우팅하는 방법을 알아봅니다.
참고
이 옵션은 도메인의 송신 트래픽에만 영향을 줍니다. 도메인으로의 수신은 포트 80 및 443에서 여전히 동일한 방식으로 작동합니다.
개요
기본적으로 VPC 도메인에서 사용자 지정 엔드포인트로 송신하면 퍼블릭 인터넷을 통해 나갈 수 있습니다.
VPC를 통해 송신을 활성화하면 도메인의 송신 트래픽이 VPC로 들어가고 라우팅 테이블, 보안 그룹 및 네트워크 ACLs 적용됩니다. VPC를 통해 제어하거나 도메인의 VPC 엔드포인트와 같은 프라이빗 엔드포인트에 도달하기 위해 도메인에서 송신해야 하는 경우이 옵션을 사용합니다.
작동 방식
VPC 도메인에서 송신을 활성화하면 OpenSearch Service는 도메인에 제공하는 각 서브넷에 추가 탄력적 네트워크 인터페이스(ENI)를 배치합니다. 도메인의 송신 트래픽은 이러한 송신 ENIs 통해 떠납니다.
송신 ENIs입니다. OpenSearch Service는 사용자를 대신하여 이를 생성, 구성 및 삭제하며 계정에서 수정할 수 없습니다.
VPC의 구성 요소
송신이 활성화되면 VPC에 두 가지 리소스 유형이 관여합니다.
-
도메인 ENIs 도메인으로의 인바운드 트래픽을 위해 OpenSearch Service에서 생성하고 관리합니다. 송신이 활성화되거나 활성화되지 않은 모든 VPC 도메인에 존재합니다.
-
ENIs. 서비스 연결 역할을 통해 OpenSearch Service에서 생성하고 OpenSearch Service 네트워크 영역에서 관리합니다. 이러한 트래픽은 도메인에서 VPC로 송신 트래픽을 전달합니다.
다중 AZ 도메인에서 송신 ENIs는 가용 영역별로 프로비저닝되어 도메인에 대해 선택한 서브넷과 정확히 일치합니다.
송신에 대한 DNS 확인
VPC를 통한 송신이 활성화되면 도메인은 기본 VPC 해석기(VPC CIDR의 "+2" 주소)를 통해 호스트 이름을 확인합니다. 사용자 지정 DNS 해석기는 시작 시 지원되지 않습니다.
도메인은 VPC 해석기를 사용하기 때문에 다음을 해결할 수 있습니다.
-
VPC와 연결된 Amazon Route 53 프라이빗 호스팅 영역의 레코드입니다.
-
VPC에 있는 VPC 엔드포인트의 프라이빗 DNS 이름입니다.
중요
VPC DNS에 연결할 수 없거나 잘못 구성된 경우 도메인의 송신 통합이 실패합니다. 문제 해결을(를) 참조하세요.
사전 조건
VPC를 통해 송신을 활성화하기 전에 VPC가 다음 요구 사항을 충족하는지 확인합니다.
-
DNS 확인 및 DNS 호스트 이름은 모두 VPC에서 활성화됩니다.
-
기본 VPC 해석기(VPC CIDR의 "+2" 주소)는 도메인에 사용할 서브넷에서 연결할 수 있습니다.
서브넷 IP 용량. 도메인 ENIs의 일반적인 IP 주소 수( 참조VPC 서브넷에서 IP 주소 예약)와 송신 ENIs.
서비스 연결 역할. 기존 Amazon OpenSearch Service 서비스 연결 역할은 송신 ENIs. 이미 VPC 도메인을 사용하는 경우 역할을 다시 생성할 필요가 없습니다. 자세한 내용은 Amazon OpenSearch Service에 대한 서비스 연결 역할 사용를 참조하세요.
리전 가용성. VPC를 통한 송신은 Amazon OpenSearch Service 엔드포인트 및 할당량 페이지에 나열된 리전에서 사용할 수 있습니다.
도메인에서 송신 활성화
도메인을 만들 때 또는 기존 VPC 도메인을 업데이트하여 VPC 도메인에서 송신을 활성화할 수 있습니다. 퍼블릭 엔드포인트 도메인에서는 송신을 활성화할 수 없습니다. 이 옵션을 활성화하거나 비활성화하면 블루/그린 배포가 트리거됩니다.
콘솔
-
Amazon OpenSearch Service 콘솔을 엽니다.
-
새 도메인 생성을 시작하거나 기존 VPC 도메인을 선택하고 편집을 선택합니다.
-
네트워크에서 VPC 액세스를 선택한 다음 현재와 같이 VPC, 서브넷 및 보안 그룹을 선택합니다.
-
VPC 송신에서 송신 활성화를 선택합니다.
-
나머지 단계를 완료한 다음 변경 사항을 제출합니다.
AWS CLI
송신이 활성화된 도메인을 생성하려면 EgressEnabled에를 포함합니다--vpc-options.
aws opensearch create-domain \ --domain-name example-domain \ --engine-version OpenSearch_2.15 \ --cluster-config InstanceType=r6g.large.search,InstanceCount=3,ZoneAwarenessEnabled=true \ --vpc-options '{ "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"], "SecurityGroupIds": ["sg-EXAMPLE"], "EgressEnabled": true }'
기존 VPC 도메인에서 송신을 전환하려면를 사용합니다update-domain-config.
aws opensearch update-domain-config \ --domain-name example-domain \ --vpc-options '{ "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"], "SecurityGroupIds": ["sg-EXAMPLE"], "EgressEnabled": true }'
API
VPC를 통해 송신을 활성화하려면 CreateDomain 또는 true의 VPCOptions에서 EgressEnabled를 로 설정합니다UpdateDomainConfig. 값은 DescribeDomain 및의 VPCOptions에 반환됩니다DescribeDomainConfig.
{ "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"], "SecurityGroupIds": ["sg-EXAMPLE"], "EgressEnabled": true }
전체 스키마는 Amazon OpenSearch Service API 참조의 VPCOptions.
업데이트 또는 비활성화
도메인을 생성할 때 또는 이후에 언제든지 송신을 켤 수 있으며, 활성화된 도메인에서 끌 수 있습니다. 송신이 활성화된 상태로 유지되는 동안 가용 영역을 추가하거나 제거할 수도 있습니다. 를 변경하면 다른 VPC 구성 변경과 마찬가지로 블루/그린 배포가 EgressEnabled 트리거됩니다. 자세한 내용은 Amazon OpenSearch Service에서 구성 변경 단원을 참조하십시오.
송신을 비활성화하면 OpenSearch Service는 VPC에서 송신 ENIs 및 관련 서비스 관리형 리소스를 제거합니다. 도메인을 삭제하면 모든 송신 리소스가 자동으로 정리됩니다.
확인 및 모니터링
송신을 활성화한 후 Amazon EC2 콘솔에서 송신 ENIs를 확인하여 선택한 서브넷에 송신 ENI가 있는지 확인합니다. 해당 설명은 OpenSearch Service 도메인을 식별합니다. 도메인에서 나가는 송신 트래픽을 관찰하려면 송신 ENIs에서 VPC 흐름 로그를 활성화합니다. OpenSearch Service 콘솔에서 도메인 상태를 확인하고 송신 통합(경보 대상, 기계 학습 커넥터, 스냅샷 리포지토리)의 기존 성공 및 실패 신호를 사용하여 통합 수준 상태를 확인합니다.
문제 해결
송신을 활성화한 후 송신 통합 작동이 중지되었습니다. VPC 라우팅 테이블이 송신 ENIs에서 대상으로 가는 트래픽을 허용하고 VPC 해석기에 연결할 수 있으며 대상 호스트 이름을 확인할 수 있는지 확인합니다.
호스트 이름 확인이 실패합니다. VPC에서 DNS 확인 및 DNS 호스트 이름이 활성화되어 있는지 확인합니다. Route 53 프라이빗 호스팅 영역 또는 Route 53 Resolver 아웃바운드 엔드포인트를 사용하는 경우 관련 규칙이 대상을 포함하는지 확인합니다.
서브넷에 IP 주소가 충분하지 않습니다. 서브넷을 확장하거나 도메인 전용 서브넷을 사용합니다. VPC 서브넷에서 IP 주소 예약을(를) 참조하세요.
서비스 연결 역할에 권한이 없습니다. 서비스 연결 역할을 다시 생성하거나 업데이트된 정책을 연결합니다. Amazon OpenSearch Service에 대한 서비스 연결 역할 사용을(를) 참조하세요.
퍼블릭 엔드포인트 도메인에서는 송신을 활성화할 수 없습니다. VPC를 통한 송신은 VPC 도메인에서만 사용할 수 있습니다. 먼저 도메인을 변환합니다. 퍼블릭 액세스에서 VPC 액세스로 마이그레이션을(를) 참조하세요.
주의
송신 ENIs입니다. 수동으로 분리하거나 삭제하지 마세요. 제거하려면 도메인에서 송신 옵션을 비활성화하거나 도메인을 삭제합니다.
제한 및 고려 사항
VPC를 통한 송신은 Amazon OpenSearch Service 엔드포인트 및 할당량 페이지에 나열된 리전에서 사용할 수 있습니다. VPC가 활성화된 Amazon OpenSearch Service 도메인에서 지원됩니다.
사용 및 결제
VPC를 통해 송신과 관련된 데이터 전송을 모니터링하려면 AWS 결제DataTransfer-Regional-Bytes작업 VPCConnectionUsage및 제품 코드를 검토하세요AmazonES. 현재 요금은 Amazon OpenSearch Service 요금을