使用 OpenSearch OpenSearch 服务管理的 VPC 终端节点访问亚马逊服务 ()Amazon PrivateLink - 亚马逊 OpenSearch 服务
注意事项提供针对域的访问权限创建接口 VPC 终端节点使用 OpenSearch 服务 API 操作进行管理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 OpenSearch OpenSearch 服务管理的 VPC 终端节点访问亚马逊服务 ()Amazon PrivateLink

您可以通过设置 OpenSearch 服务 OpenSearch 托管 VPC 终端节点(由提供支持 Amazon PrivateLink)来访问 Amazon 服务域。这些终端节点在您的 VPC 和 Amazon OpenSearch 服务之间创建私有连接。无需使用互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接,即可像访问您的 VPC OpenSearch 服务域一样访问服务 VPC 域。您的 VPC 中的实例不需要公有 IP 地址即可访问 OpenSearch 服务。

您可以将 OpenSearch 服务域配置为公开在同一 VPC、不同 VPC 或不同的 VPC 中的公有或私有子网上运行的其他终端节点。 Amazon Web Services 账户这使您能为访问您的域(无论这些域在何处运行)增加一层额外的安全保护,而无需管理基础架构。下图说明了同一 VPC 中的 OpenSearch 服务托管 VPC 终端节点:

您可以通过创建由提供支持的 OpenSearch 服务管理接口 VPC 终端节点来 Amazon PrivateLink建立此私有连接。我们将在您为接口 VPC 端点启用的每个子网中创建一个端点网络接口。这些是服务管理的网络接口,是发往服务的流量的入口点。 OpenSearch 标准Amazon PrivateLink 接口终端节点定价适用于计费的 OpenSearch 服务托管 VPC 终端节点。 Amazon PrivateLink

您可以为运行所有版本 OpenSearch 和旧版 Elasticsearch 的域创建 VPC 终端节点。有关更多信息,请参阅《Amazon PrivateLink 指南》中的通过 Amazon PrivateLink访问 Amazon Web Services

OpenSearch 服务的注意事项和限制

在为 OpenSearch 服务设置接口 VPC 终端节点之前,请查看Amazon PrivateLink 指南中的注意事项

使用 OpenSearch 服务管理的 VPC 终端节点时,请考虑以下几点:

  • 您只能使用接口 VPC 端点连接到 VPC 域。不支持公共域。

  • VPC 端点只能连接到同一 Amazon Web Services 区域内的域。

  • HTTPS 是 VPC 端点唯一支持的协议。不允许使用 HTTP。

  • OpenSearch 服务支持通过接口 VPC 终端节点调用所有支持的 OpenSearch API 操作

  • 每个账户最多可以配置 50 个端点,每个域最多可以配置 10 个端点。一个域最多可以有 10 个授权主体

  • 您目前无法使用 Amazon CloudFormation 创建接口 VPC 终端节点。

  • 您只能通过 OpenSearch 服务控制台或使用OpenSearch 服务 API 创建接口 VPC 终端节点。您无法使用 Amazon VPC 控制台为 OpenSearch 服务创建接口 VPC 终端节点。

  • OpenSearch 无法通过互联网访问服务管理的 VPC 终端节点。在路由表和安全组允许的情况下, OpenSearch 服务管理的 VPC 终端节点只能在配置了终端节点的 VPC 或与配置终端节点的 VPC 对等的任何 VPC 内进行访问。

  • OpenSearch 服务不支持 VPC 终端节点策略。您可以将安全组与终端节点网络接口关联,以控制通过接口 VPC 终端节点流向 OpenSearch 服务的流量。

  • 您的服务相关角色必须与您用于创建 VPC 终端节点的 Amazon 账户相同。

  • 要创建、更新和删除 OpenSearch 服务 VPC 终端节点,除了亚马逊 OpenSearch 服务权限外,您还必须拥有以下 Amazon EC2 权限:

    • ec2:CreateVpcEndpoint

    • ec2:DescribeVpcEndpoints

    • ec2:ModifyVpcEndpoint

    • ec2:DeleteVpcEndpoints

    • ec2:CreateTags

    • ec2:DescribeTags

    • ec2:DescribeSubnets

    • ec2:DescribeSecurityGroups

    • ec2:DescribeVpcs

注意

目前,您不能将 VPC 终端节点的创建限制为 OpenSearch 服务。我们正在努力,希望在未来的更新中做到这一点。

提供针对域的访问权限

如果您要访问您的域的 VPC 位于另一个域中 Amazon Web Services 账户,则需要先通过所有者的账户对其进行授权,然后才能创建接口 VPC 终端节点。

允许另一个 VPC 中的一个 VPC Amazon Web Services 账户 访问您的域

  1. 打开亚马逊 OpenSearch 服务控制台,网址为 https://console.aws.amazon.com/aos/home/

  2. 在导航窗格中,选择 Domains(域),然后打开您要为其提供访问权限的域。

  3. 转到 VPC endpoints(VPC 端点)选项卡,其中显示有权访问您的域的账户和相应的 VPC。

  4. 选择 Authorize principal(为主体授权)。

  5. 输入将访问您的域名的账户的 Amazon Web Services 账户 ID。此步骤将为指定账户授权,以针对域创建 VPC 端点。

  6. 选择授权

为 VPC 域创建接口 VPC 端点

您可以使用服务控制台或 Amazon Command Line Interface (Amazon CLI) 为 OpenSearch 服务创建接口 VPC 终端节点。 OpenSearch

为 OpenSearch 服务域创建接口 VPC 终端节点

  1. 打开亚马逊 OpenSearch 服务控制台,网址为 https://console.aws.amazon.com/aos/home/

  2. 在左侧导航窗格中,选择 VPC endpoints(VPC 端点)。

  3. 选择创建端点

  4. 选择是连接当前域 Amazon Web Services 账户 还是其他域 Amazon Web Services 账户。

  5. 选择您使用此端点连接的域。如果域名在当前域名中 Amazon Web Services 账户,请使用下拉列表选择该域。如果域位于另一个账户中,请输入要连接的域的 Amazon 资源名称(ARN)。要在其他账户中选择域名,所有者需要向您提供该域名的访问权限。要选择位于另一个账户中的域,所有者需要为您提供访问该域的权限。

  6. 对于 VPC,请选择您将从中访问 OpenSearch 服务的 VPC。

  7. 对于子网,请选择一个或多个要从中访问服务的 OpenSearch 子网。

  8. 对于 Security groups(安全组),选择要与端点网络接口关联的安全组。这是一个关键步骤,您可以在该步骤中限制您授权进入端点的入站流量的端口、协议和源。安全组规则必须允许将使用 VPC 终端节点与 OpenSearch 服务通信的资源与终端节点网络接口通信。

  9. 选择创建端点。该端点应在 2 至 5 分钟内处于活动状态。

使用配置 API 使用 OpenSearch 服务管理的 VPC 终端节点

使用以下 API 操作创建和管理 OpenSearch 服务管理的 VPC 终端节点。

使用以下 API 操作来管理针对 VPC 域的端点访问: