为 Amazon OpenSearch Ingestion 管道配置 VPC 访问权限 - 亚马逊 OpenSearch 服务
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon OpenSearch Ingestion 管道配置 VPC 访问权限

您可以使用接口 VPC 终端节点访问您的 Amazon OpenSearch Ingestion 管道。VPC 是专为您服务的虚拟网络 Amazon Web Services 账户。它在逻辑上与 Amazon 云中的其他虚拟网络隔离。通过 VPC 终端节点访问管道可实现 OpenSearch Ingestion 与 VPC 内的其他服务之间的安全通信,无需互联网网关、NAT 设备或 VPN 连接。所有流量都安全地保存在 Amazon 云中。

OpenSearch Ingestion 通过创建由提供支持的接口端点来建立此私有连接。 Amazon PrivateLink我们在创建管道时指定的每个子网中创建一个终端节点网络接口。这些是请求者管理的网络接口,是发往 OpenSearch 摄取管道的流量的入口点。

使用 VPC 可以强制数据流通过 VPC 边界内的 OpenSearch 摄取管道,而不是通过公共互联网。非 VPC 内部管道通过面向公众的端点和互联网收发数据。

具有 VPC 访问权限的管道可以写入公共或 VPC OpenSearch 服务域,也可以写入公共或 VPC OpenSearch 无服务器集合。

注意事项

为管道配置 VPC 时,请考虑以下事项。

  • 管道不必与其接收器位于同一 VPC 中。您也不需要在两个 VPC 之间建立连接。 OpenSearch Ingestion 负责为你连接它们。

  • 您只能为管道指定一个 VPC。

  • 与公共管道不同,VPC 管道必须与其写入的域或集合接收器 Amazon Web Services 区域 相同。

  • 您可以选择将管道部署到 VPC 的一个、两个或三个子网中。子网分布在部署您的摄取 OpenSearch 计算单元 (OCU) 的相同可用区中。

  • 如果您只在一个子网中部署管道,则可用区出现故障时,您将无法摄取数据。为确保高可用性,我们建议您使用两个或三个子网配置管道。

  • 指定安全组是可选的。如果您不提供安全组, OpenSearch Ingestion 将使用在 VPC 中指定的默认安全组。

限制

具有 VPC 访问权限的管道有以下限制。

  • 创建管道后,将无法更改其网络配置。如果您在 VPC 中启动管道,则后续无法将其更改为公共端点,反之亦然。

  • 您可以使用接口 VPC 终端节点或公共终端节点启动管道,但不能两者兼而有之。在创建管道时只能选择其一。

  • 在配置了具有 VPC 访问权限的管道后,您无法将其移至其他 VPC,也无法更改其子网或安全组设置。

  • 如果您的管道写入使用 VPC 访问权限的域或集合接收器,则在创建管道后,您将无法返回并更改接收器(VPC 或公共)。必须删除,然后使用新的接收器重新创建管道。您仍然可以从公共接收器切换到具有 VPC 访问权限的接收器。

  • 您无法提供对 VPC 管道的跨账户摄取访问权限

先决条件

在配置具有 VPC 访问权限的管道之前,您必须执行以下操作:

  • 创建 VPC

    要创建您的 VPC,您可以使用 Amazon VPC 控制台、 Amazon CLI 或其中一个 Amazon 软件开发工具包。有关更多信息,请参阅 Amazon VPC 用户指南 中的使用 VPC。如果您已有 VPC,请跳过此步骤。

  • 预留 IP 地址

    OpenSearch Inge stion 会在您在创建管道时指定的每个子网中放置一个 elastic network 接口。每个网络接口都与一个 IP 地址关联。每个子网必须为网络接口保留一个 IP 地址。

为管道配置 VPC 访问权限

您可以在 OpenSearch 服务控制台中或使用,为管道启用 VPC 访问权限 Amazon CLI。

您可以在管道创建期间配置 VPC 访问权限。在网络下,选择 VPC 访问并配置以下设置:

设置 描述
VPC

选择要使用的虚拟私有云 (VPC) 的 ID。VPC 和管道必须位于同一 Amazon Web Services 区域中。

子网

选择一个或多个子网。 OpenSearch 服务将在子网中放置 VPC 终端节点和弹性网络接口

安全组

选择一个或多个 VPC 安全组,允许所需的应用程序通过管道暴露的端口(80 或 443)和协议(HTTP 或 HTTP)到达接 OpenSearch 入管道。

VPC 连接选项

如果您的源是自行管理的终端节点,请将您的管道连接到 VPC。选择提供的默认 CIDR 选项之一,或使用自定义 CIDR。

要使用配置 VPC 访问权限 Amazon CLI,请指定--vpc-options参数:

aws osis create-pipeline \ --pipeline-name vpc-pipeline \ --min-units 4 \ --max-units 10 \ --vpc-options SecurityGroupIds={sg-12345678,sg-9012345},SubnetIds=subnet-1212234567834asdf \ --pipeline-configuration-body "file://pipeline-config.yaml"

VPC 访问的服务相关角色

服务相关角色是一种独特的 IAM 角色类型,它将权限委派给服务,使之能够代表您创建和管理资源。 OpenSearch 接入需要一个名为的服务相关角色AWSServiceRoleForAmazonOpenSearchIngestion来访问您的 VPC、创建管道终端节点并将网络接口放置在您的 VPC 的子网中。有关此角色的权限以及如何删除它的更多信息,请参阅 使用服务相关角色创建 OpenSearch Ingestion 管道

OpenSearch 当您创建摄取管道时,Ingestion 会自动创建角色。要成功完成自动创建,在账户中创建第一个管道的用户必须拥有 iam:CreateServiceLinkedRole 操作权限。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限。角色创建后,您可以在 Amazon Identity and Access Management (IAM) 控制台中查看该角色。