本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Amazon OpenSearch Ingestion 管道配置 VPC 访问权限
您可以使用接口 VPC 终端节点访问您的 Amazon OpenSearch Ingestion 管道。VPC 是专为您服务的虚拟网络 Amazon Web Services 账户。它在逻辑上与 Amazon 云中的其他虚拟网络隔离。通过 VPC 终端节点访问管道可实现 OpenSearch Ingestion 与 VPC 内的其他服务之间的安全通信,无需互联网网关、NAT 设备或 VPN 连接。所有流量都安全地保存在 Amazon 云中。
OpenSearch Ingestion 通过创建由提供支持的接口端点来建立此私有连接。 Amazon PrivateLink我们在创建管道时指定的每个子网中创建一个终端节点网络接口。这些是请求者管理的网络接口,是发往 OpenSearch 摄取管道的流量的入口点。您也可以选择自己创建和管理接口端点。
使用 VPC 可以强制数据流通过 VPC 边界内的 OpenSearch 摄取管道,而不是通过公共互联网。非 VPC 内部管道通过面向公众的端点和互联网收发数据。
具有 VPC 访问权限的管道可以写入公共或 VPC OpenSearch 服务域,也可以写入公共或 VPC OpenSearch 无服务器集合。
注意事项
为管道配置 VPC 时,请考虑以下事项。
-
管道不必与其接收器位于同一 VPC 中。您也不需要在两个 VPC 之间建立连接。 OpenSearch Ingestion 负责为你连接它们。
-
您只能为管道指定一个 VPC。
-
与公共管道不同,VPC 管道必须与其写入的域或集合接收器 Amazon Web Services 区域 相同。
-
您可以选择将管道部署到 VPC 的一个、两个或三个子网中。子网分布在部署您的摄取 OpenSearch 计算单元 (OCU) 的相同可用区中。
-
如果您只在一个子网中部署管道,则可用区出现故障时,您将无法摄取数据。为确保高可用性,我们建议您使用两个或三个子网配置管道。
-
指定安全组是可选的。如果您不提供安全组, OpenSearch Ingestion 将使用在 VPC 中指定的默认安全组。
限制
具有 VPC 访问权限的管道有以下限制。
-
创建管道后,将无法更改其网络配置。如果您在 VPC 中启动管道,则后续无法将其更改为公共端点,反之亦然。
-
您可以使用接口 VPC 终端节点或公共终端节点启动管道,但不能两者兼而有之。在创建管道时只能选择其一。
-
在配置了具有 VPC 访问权限的管道后,您无法将其移至其他 VPC,也无法更改其子网或安全组设置。
-
如果您的管道写入使用 VPC 访问权限的域或集合接收器,则在创建管道后,您将无法返回并更改接收器(VPC 或公共)。必须删除,然后使用新的接收器重新创建管道。您仍然可以从公共接收器切换到具有 VPC 访问权限的接收器。
-
您无法提供对 VPC 管道的跨账户摄取访问权限。
先决条件
在配置具有 VPC 访问权限的管道之前,您必须执行以下操作:
-
创建 VPC
要创建您的 VPC,您可以使用 Amazon VPC 控制台、 Amazon CLI 或其中一个 Amazon 软件开发工具包。有关更多信息,请参阅 Amazon VPC 用户指南 中的使用 VPC。如果您已有 VPC,请跳过此步骤。
-
预留 IP 地址
OpenSearch Inge stion 会在您在创建管道时指定的每个子网中放置一个 elastic network 接口。每个网络接口都与一个 IP 地址关联。每个子网必须为网络接口保留一个 IP 地址。
为管道配置 VPC 访问权限
您可以在 OpenSearch 服务控制台中或使用,为管道启用 VPC 访问权限 Amazon CLI。
您可以在管道创建期间配置 VPC 访问权限。在网络下,选择 VPC 访问并配置以下设置:
设置 | 描述 |
---|---|
端点管理 |
选择是要自己创建 VPC 终端节点,还是让 OpenSearch Ingestion 为您创建终端节点。 |
VPC |
选择要使用的虚拟私有云 (VPC) 的 ID。VPC 和管道必须位于同一 Amazon Web Services 区域中。 |
子网 |
选择一个或多个子网。 OpenSearch 服务将在子网中放置 VPC 终端节点和弹性网络接口。 |
安全组 |
选择一个或多个 VPC 安全组,允许所需的应用程序通过管道暴露的端口(80 或 443)和协议(HTTP 或 HTTP)到达接 OpenSearch 入管道。 |
VPC 连接选项 |
如果您的源是自行管理的终端节点,请将您的管道连接到 VPC。选择提供的默认 CIDR 选项之一,或使用自定义 CIDR。 |
要使用配置 VPC 访问权限 Amazon CLI,请指定--vpc-options
参数:
aws osis create-pipeline \ --pipeline-name
vpc-pipeline
\ --min-units 4 \ --max-units 10 \ --vpc-options SecurityGroupIds={sg-12345678
,sg-9012345
},SubnetIds=subnet-1212234567834asdf
\ --pipeline-configuration-body "file://pipeline-config.yaml
"
自管 VPC 终端节点
创建管道时,您可以使用端点管理来创建具有自我管理终端节点或服务管理终端节点的管道。端点管理是可选的,默认为由 OpenSearch Ingestion 管理的端点。
要在中创建带有自行管理 VPC 终端节点的管道 Amazon Web Services Management Console,请参阅使用 OpenSearch 服务控制台创建管道。要在中创建带有自行管理 VPC 终端节点的管道 Amazon CLI,您可以在 create- pipelin --vpc-options
e 命令中使用参数:
--vpc-options SubnetIds=subnet-abcdef01234567890,VpcEndpointManagement=CUSTOMER
在指定终端节点服务时,您可以自己为管道创建终端节点。要查找您的终端节点服务,请使用 get-pipelin e 命令,该命令会返回类似于以下内容的响应:
"vpcEndpointService" : "com.amazonaws.osis.us-east-1.pipeline-id-1234567890abcdef1234567890", "vpcEndpoints" : [ { "vpcId" : "vpc-1234567890abcdef0", "vpcOptions" : { "subnetIds" : [ "subnet-abcdef01234567890", "subnet-021345abcdef6789" ], "vpcEndpointManagement" : "CUSTOMER" } }
使用响应vpcEndpointService
中的创建带有 Amazon Web Services Management Console 或的 VPC 终端节点 Amazon CLI。
如果您使用自行管理的 VPC 终端节点,则必须在您的 VPC enableDnsHostnames
中启用 DNS 属enableDnsSupport
性和和。请注意,如果您的管道中包含可以停止并重启的自管理终端节点,则必须在您的账户中重新创建 VPC 终端节点。
VPC 访问的服务相关角色
服务相关角色是一种独特的 IAM 角色类型,它将权限委派给服务,使之能够代表您创建和管理资源。如果您选择服务托管的 VPC 终端节点, OpenSearch Ingestion 需要一个名为的服务相关角色来AWSServiceRoleForAmazonOpenSearchIngestionService访问您的 VPC、创建管道终端节点并将网络接口放置在您的 VPC 的子网中。
如果您选择自我管理的 VPC 终端节点, OpenSearch Ingestion 需要一个名为的服务相关角色。AWSServiceRoleForOpensearchIngestionSelfManagedVpce有关这些角色、其权限以及如何删除它们的更多信息,请参阅使用服务相关角色创建 OpenSearch 摄取管道。
OpenSearch 当您创建摄取管道时,Ingestion 会自动创建角色。要成功完成自动创建,在账户中创建第一个管道的用户必须拥有 iam:CreateServiceLinkedRole
操作权限。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限。角色创建后,您可以在 Amazon Identity and Access Management (IAM) 控制台中查看该角色。