解决私有托管区中的 FIPS 端点连接问题

通过以下网址打开 Route 53 控制台：https://console.aws.amazon.com/route53/。

查看您的托管区：

1. 查找集合所在 AWS 区域 的托管区。

2. 验证托管区的命名模式：

   • 非 FIPS 格式：region.aoss.amazonaws.com。

   • FIPS 格式：region.aoss-fips.amazonaws.com。

3. 确认所有托管区的类型均设置为私有托管区。

如果缺少 FIPS 私有托管区：

1. 选择相应的非 FIPS 私有托管区。

2. 复制关联的 VPC 信息。例如：vpc-1234567890abcdef0 | us-east-2。

3. 查找通配符域记录。例如：*.us-east-2.aoss.amazonaws.com。

4. 复制值/路由流量至信息。例如：uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws

创建 FIPS 私有托管区：

1. 使用 FIPS 格式创建新的私有托管区。例如：us-east-2.aoss-fips.amazonaws.com。

2. 对于关联的 VPC，输入从非 FIPS 私有托管区复制的 VPC 信息。

使用以下设置添加新的记录：

1. 记录名称：*

2. 记录类型：CNAME

3. 值：输入之前复制的值/路由流量至信息。

验证私有托管区配置：

1. 确认 FIPS 端点域存在私有托管区（*.region.aoss-fips.amazonaws.com。

2. 验证私有托管区是否已关联至正确的 VPC。

   有关更多信息，请参阅《Amazon Route 53开发人员指南》中的私有托管区以及《AWS PrivateLink 指南》中的管理 DNS 名称。

测试 DNS 解析：

1. 连接到 VPC 中的 EC2 Linux 实例。

2. 运行以下命令：

   nslookup collection-id.region.aoss-fips.amazonaws.com

3. 确认响应中包含 VPC 端点的私有 IP 地址。

   有关更多信息，请参阅《Amazon VPC 用户指南》中的端点策略和 DNS 属性。

检查安全组设置：

1. 验证连接到 VPC 端点的安全组是否允许来自您资源的 HTTPS 流量（端口 443）。

2. 确认资源的安全组允许流向 VPC 端点的出站流量。

有关更多信息，请参阅《AWS PrivateLink 指南》中的端点策略以及《Amazon VPC 用户指南》中的安全组。

检查网络 ACL 配置：

1. 验证网络 ACL 是否允许资源与 VPC 端点之间的流量。

   有关更多信息，请参阅 Amazon VPC 用户指南中的网络 ACL。

查看端点政策：

1. 检查 VPC 端点策略是否允许对 OpenSearch 无服务器资源执行所需的操作。

   有关更多信息，请参阅《AWS PrivateLink 指南》中的所需的 VPC 端点权限以及端点策略。