使用 OpenSearch Service 托管的 VPC 端点访问 Amazon OpenSearch Service(Amazon PrivateLink) - 亚马逊 OpenSearch 服务
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 OpenSearch Service 托管的 VPC 端点访问 Amazon OpenSearch Service(Amazon PrivateLink)

您可以通过设置 OpenSearch Service 托管的 VPC 端点(由 Amazon PrivateLink 提供支持)来访问 Amazon OpenSearch Service 域。这些端点可在您的 VPC 与 Amazon OpenSearch Service 之间创建私有连接。您可以像在 VPC 中一样访问 OpenSearch Service VPC 域,而无需使用互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。VPC 中的实例不需要公共 IP 地址即可访问 OpenSearch Service。

您可以配置 OpenSearch Service 域,以公开在同一 VPC、不同 VPC 或不同 Amazon Web Services 账户内的公有或私有子网上运行的其他端点。这使您能为访问您的域(无论这些域在何处运行)增加一层额外的安全保护,而无需管理基础架构。下图阐明了位于同一 VPC 内的 OpenSearch Service 托管的 VPC 端点:

VPC diagram showing Amazon PrivateLink in public subnet connecting to OpenSearch Service in private subnet.

您可以通过创建 OpenSearch Service 托管的接口 VPC 端点(由 Amazon PrivateLink 提供支持)来建立此私有连接。我们将在您为接口 VPC 端点启用的每个子网中创建一个端点网络接口。这些是服务托管的网络接口,用作发往 OpenSearch Service 的流量的入口点。标准 Amazon PrivateLink 接口端点定价适用于按 Amazon PrivateLink 计费的 OpenSearch Service 托管的 VPC 端点。

您可以为运行所有版本 OpenSearch 和旧式 Elasticsearch 的域创建 VPC 端点。有关更多信息,请参阅《Amazon PrivateLink 指南》中的通过 Amazon PrivateLink 访问 Amazon Web Services 服务

OpenSearch Service 的注意事项和限制

在为 OpenSearch Service 设置接口 VPC 端点之前,请查看《Amazon PrivateLink 指南》中的注意事项

在使用 OpenSearch Service 托管的 VPC 端点时,请考虑以下事项:

  • 您只能使用接口 VPC 端点连接到 VPC 域。不支持公共域。

  • VPC 端点只能连接到同一 Amazon Web Services 区域内的域。

  • HTTPS 是 VPC 端点唯一支持的协议。不允许使用 HTTP。

  • OpenSearch Service 支持通过接口 VPC 端点调用所有受支持的 OpenSearch API 操作

  • 每个账户最多可以配置 50 个端点,每个域最多可以配置 10 个端点。一个域最多可以有 10 个授权主体

  • 目前无法使用 Amazon CloudFormation 创建接口 VPC 端点。

  • 您只能通过 OpenSearch Service 控制台或使用 OpenSearch Service API 创建接口 VPC 端点。无法使用 Amazon VPC 控制台为 OpenSearch Service 创建接口 VPC 端点。

  • 无法从互联网访问 OpenSearch Service 托管的 VPC 端点。OpenSearch Service 托管的 VPC 端点只能在预调配端点的 VPC 中访问,或者在路由表和安全组允许的情况下与预调配端点的 VPC 对等连接的任何 VPC 中访问。

  • OpenSearch Service 不支持 VPC 端点策略。您可以将安全组与端点网络接口关联起来,以控制通过接口 VPC 端点流向 OpenSearch Service 的流量。

  • 您的服务相关角色必须与用于创建 VPC 端点的 Amazon 账户相同。

  • 要创建、更新和删除 OpenSearch Service VPC 端点,除 Amazon OpenSearch Service 权限之外,还必须拥有以下 Amazon EC2 权限:

    • ec2:CreateVpcEndpoint

    • ec2:DescribeVpcEndpoints

    • ec2:ModifyVpcEndpoint

    • ec2:DeleteVpcEndpoints

    • ec2:CreateTags

    • ec2:DescribeTags

    • ec2:DescribeSubnets

    • ec2:DescribeSecurityGroups

    • ec2:DescribeVpcs

注意

目前,无法仅限在 OpenSearch Service 中创建 VPC 端点。我们正在努力,希望在未来的更新中做到这一点。

提供针对域的访问权限

如果您要访问域的 VPC 位于另一个 Amazon Web Services 账户中,您需要从所有者账户中为其授权,然后才能创建接口 VPC 端点。

允许另一个 Amazon Web Services 账户中的 VPC 访问您的域
  1. https://console.aws.amazon.com/aos/home/ 打开 Amazon OpenSearch Service 控制台。

  2. 在导航窗格中,选择 Domains(域),然后打开您要为其提供访问权限的域。

  3. 转到 VPC endpoints(VPC 端点)选项卡,其中显示有权访问您的域的账户和相应的 VPC。

  4. 选择 Authorize principal(为主体授权)。

  5. 输入要访问您的域的账户的 Amazon Web Services 账户 ID。此步骤将为指定账户授权,以针对域创建 VPC 端点。

  6. 选择授权

为 VPC 域创建接口 VPC 端点

您可以使用 OpenSearch Service 控制台或 Amazon Command Line Interface(Amazon CLI)为 OpenSearch Service 创建接口 VPC 端点。

为 OpenSearch Service 域创建接口 VPC 端点
  1. https://console.aws.amazon.com/aos/home/ 打开 Amazon OpenSearch Service 控制台。

  2. 在左侧导航窗格中,选择 VPC endpoints(VPC 端点)。

  3. 选择创建端点

  4. 选择是连接位于当前 Amazon Web Services 账户中的域,还是连接位于其他 Amazon Web Services 账户中的域。

  5. 选择您使用此端点连接的域。如果域位于当前 Amazon Web Services 账户中,请使用下拉列表选择该域。如果域位于另一个账户中,请输入要连接的域的 Amazon 资源名称(ARN)。要在其他账户中选择域名,所有者需要向您提供该域名的访问权限。要选择位于另一个账户中的域,所有者需要为您提供访问该域的权限。

  6. 对于 VPC,选择您要从中访问 OpenSearch Service 的 VPC。

  7. 对于 Subnets(子网),选择您要从中访问 OpenSearch Service 的一个或多个子网。

  8. 对于 Security groups(安全组),选择要与端点网络接口关联的安全组。这是一个关键步骤,您可以在该步骤中限制您授权进入端点的入站流量的端口、协议和源。安全组规则必须允许将使用 VPC 端点与 OpenSearch Service 通信的资源与端点网络接口进行通信。

  9. 选择创建端点。该端点应在 2 至 5 分钟内处于活动状态。

使用配置 API 使用 OpenSearch Service 托管的 VPC 端点

使用以下 API 操作来创建和管理 OpenSearch Service 托管的 VPC 端点。

使用以下 API 操作来管理针对 VPC 域的端点访问: