本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
运营和安全
当您迁移到 Amazon OpenSearch 服务时,您的运营活动将发生变化。您将不再负责预调配节点、添加存储、安装及修补操作系统、配置和维护高可用性、扩展和其他低级活动。相反,您可以将注意力集中在构建使用案例和新的用户体验上。
Amazon Ser OpenSearch vice 提供日志、监控和故障排除功能,您需要熟悉这些功能才能优化操作流程。
运行手册和新流程
在规划阶段,确定需要修改或去除的现有流程。然后,您可以添加过去可能没有时间/精力去做的新运营流程。
虽然 Amazon S OpenSearch ervice 消除了无差别的繁重工作,但您仍然需要确保应用程序的设计和监控能够提供最佳性能。您需要为您的域配置监控和提醒,以便充分了解由于内部或外部因素造成的任何运行状况问题。您需要安排和启动对最新版本的升级。
所有此类运营活动都需要创建运行手册并修改现有的运行手册。要监控基础设施并分析 Amazon S OpenSearch ervice 中的运营指标,维护运行手册至关重要。运行手册可确保您始终如一地按照合规和监管要求进行运营。如果您还没有使用运行手册,现在是考虑这样做的好时机。创建流程以定期运行预先规划的步骤,以确保修复流程(例如从应用程序崩溃和意外故障中恢复)完全自动化。
支持和工单系统
要捕获与您的部署关联的事件,我们建议您规划和操作工单系统(您可能已经这样做了)。您可能需要培训您的支持人员如何使用 AWS Support 创建支持工单。我们建议在工单分类期间简化上报流程。
本指南后面的卓越运营部分将为您提供一些最佳实践和领域的链接,您可能需要在运行手册中考虑这些实践和领域,并围绕这些实践和领域构建流程。
安全性
在 AWS,安全是重中之重。Amazon OpenSearch 服务提供多层安全保护。该服务负责处理所有安全补丁,并通过 VPC 提供网络分段、精细访问权限控制和多租户支持。您的数据使用您通过 AWS Key Management Service(AWS KMS)创建和控制的密钥进行静态加密。 node-to-node加密功能为域中实例之间的所有通信提供传输层安全 (TLS)。亚马逊 OpenSearch 服务还符合 HIPAA 资格,符合 PCI DSS、SOC、ISO 和 FedRAMP 标准,可帮助您满足行业特定要求或监管要求。
在规划阶段,确定与域交互的人员和进程,选择网络拓扑,并规划每位主体的身份验证和授权。根据您的组织安全和合规性要求,您可以使用多种安全功能来创建满足业务需求的环境。此外,请考虑以下因素:
-
VPC — 您可以在 AWS 上的虚拟私有云 (VPC) 中配置亚马逊 OpenSearch 服务。这是建议的配置。我们不建议使用公有端点创建域。计划创建必要的网络架构,以允许您的客户端应用程序和用户访问目标环境。
-
身份验证 — Amazon S OpenSearch ervice 支持多种方式对用户或软件客户端进行身份验证。它支持使用现有身份提供商进行 Amazon Cognito 或 SAML 身份验证以访问控制面板。OpenSearch
它还提供与 IAM 身份的集成,以及使用内部用户数据库的基本 HTTP 身份验证。您应该计划配置和测试适当的身份验证选项。有关更多信息,请参阅OpenSearch 服务安全文档。 -
授权:建议您在配置对服务的访问权限时遵循最低权限原则。Amazon S OpenSearch ervice 提供精细的访问控制,帮助您配置文档、行和列级别的访问权限。
熟悉各项安全功能,并在 PoC 阶段进行测试。
