Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Routing des ausgehenden Domain-Traffics über Ihre VPC
Erfahren Sie, wie Sie ausgehenden Datenverkehr von Ihrer Amazon OpenSearch Service VPC-Domain über Ihre eigene VPC statt über das öffentliche Internet weiterleiten.
**Anmerkung**
Diese Option wirkt sich nur auf ausgehenden Datenverkehr aus der Domain aus. Der Zugang zur Domain funktioniert immer noch auf die gleiche Weise, an den Ports 80 und 443.
## -Übersicht
Standardmäßig erfolgt der Ausgang von einer VPC-Domäne zu benutzerdefinierten Endpunkten über das öffentliche Internet.
Wenn Sie Egress über Ihre VPC aktivieren, gelangt der ausgehende Traffic von der Domain in Ihre VPC und unterliegt Ihren Routing-Tabellen, Sicherheitsgruppen und Netzwerk-ACLs. Verwenden Sie diese Option, wenn der ausgehende Datenverkehr aus der Domain über Ihre VPC gesteuert werden soll oder um private Endpunkte wie VPC-Endpunkte von der Domain aus zu erreichen.
## Funktionsweise
Wenn Sie Egress auf einer VPC-Domain aktivieren, platziert OpenSearch Service ein zusätzliches *elastic network interface* (ENI) in jedem Subnetz, das Sie für die Domain bereitstellen. Der ausgehende Datenverkehr von der Domain wird über diese Ausgangs-ENIs abgeführt.
Die ausgehenden ENIs werden vom Antragsteller verwaltet. OpenSearch Der Service erstellt, konfiguriert und löscht sie für Sie, und Sie können sie nicht von Ihrem Konto aus ändern.
### Komponenten in Ihrer VPC
Wenn Egress aktiviert ist, sind zwei Ressourcentypen an Ihrer VPC beteiligt:
+ **Domänen-ENIs.** Erstellt und verwaltet von OpenSearch Service für eingehenden Datenverkehr zur Domain. Diese existieren in jeder VPC-Domäne, mit oder ohne aktiviertem Ausgang.
+ **Egress-ENIs.** Wird vom OpenSearch Service über seine dienstbezogene Rolle erstellt und von der Service-Netzwerkebene OpenSearch verwaltet. Diese leiten ausgehenden Datenverkehr von der Domain in Ihre VPC weiter.
In einer Multi-AZ Domain werden die ausgehenden ENIs pro Availability Zone bereitgestellt, sodass sie genau den Subnetzen entsprechen, die Sie für die Domain auswählen.
### DNS-Auflösung für ausgehenden Datenverkehr
Wenn der Ausgang über Ihre VPC aktiviert ist, löst die Domain Hostnamen über den Standard-VPC-Resolver auf (die „\+2"-Adresse auf Ihrem VPC-CIDR). Benutzerdefinierte DNS-Resolver werden beim Start nicht unterstützt.
Da die Domain den VPC-Resolver verwendet, kann sie Folgendes auflösen:
+ Datensätze in privaten gehosteten Zonen von Amazon Route 53, die mit Ihrer VPC verknüpft sind.
+ Private DNS-Namen von VPC-Endpunkten in Ihrer VPC.
**Wichtig**
Wenn Ihr VPC-DNS nicht erreichbar oder falsch konfiguriert ist, schlagen die Ausgangsintegrationen der Domain fehl. Siehe [Fehlerbehebung](#vpc-egress-troubleshoot).
## Voraussetzungen
Bevor Sie Egress über Ihre VPC aktivieren, stellen Sie sicher, dass Ihre VPC die folgenden Anforderungen erfüllt:
+ Die DNS-Auflösung und die DNS-Hostnamen sind beide auf der VPC aktiviert.
+ Der Standard-VPC-Resolver (die „\+2-Adresse“ auf Ihrem VPC-CIDR) ist von den Subnetzen aus erreichbar, die Sie für die Domain verwenden möchten.
**Subnetz-IP-Kapazität.** Reservieren Sie die übliche Anzahl von IP-Adressen für die Domain-ENIs (siehe[Reservieren von IP-Adressen in einem VPC-Subnetz](vpc.md#reserving-ip-vpc-endpoints)) sowie zusätzliche IP-Adressen pro Subnetz für die ausgehenden ENIs.
**Service-linked Rolle.** Die bestehende serviceverknüpfte Amazon OpenSearch Service-Rolle erhält die erforderlichen Berechtigungen, um die ausgehenden ENIs zu erstellen und zu verwalten. Wenn Sie bereits VPC-Domänen verwenden, müssen Sie die Rolle nicht neu erstellen. Weitere Informationen hierzu finden Sie unter [Verwenden von serviceverknüpften Rollen für Amazon OpenSearch Service](slr.md).
**Verfügbarkeit in der Region.** Egress über Ihre VPC ist in den Regionen verfügbar, die auf der Amazon OpenSearch Service-Seite Endpunkte und Kontingente aufgeführt sind.
## Egress auf einer Domain aktivieren
Sie können Egress auf einer VPC-Domain aktivieren, wenn Sie die Domain erstellen, oder indem Sie eine bestehende VPC-Domain aktualisieren. Sie können ausgehenden Datenverkehr nicht auf einer öffentlichen Endpunktdomäne aktivieren. Wenn Sie diese Option aktivieren oder deaktivieren, wird eine Bereitstellung ausgelöst. blue/green
### Konsole
1. Öffnen Sie die Amazon OpenSearch Service-Konsole.
1. Beginnen Sie mit der Erstellung einer neuen Domain oder wählen Sie eine bestehende VPC-Domain aus und klicken Sie auf **Bearbeiten**.
1. Wählen Sie unter **Netzwerk** die Option **VPC-Zugriff** und wählen Sie dann wie heute Ihre VPC, Subnetze und Sicherheitsgruppen aus.
1. **Wählen Sie unter **VPC-Egress** die Option Enable Egress aus.**
1. Führen Sie die verbleibenden Schritte aus und reichen Sie dann die Änderung ein.
### AWS CLI
Um eine Domain mit aktiviertem Egress zu erstellen, fügen Sie Folgendes hinzu: `EgressEnabled` `--vpc-options`
```
aws opensearch create-domain \
--domain-name example-domain \
--engine-version OpenSearch_2.15 \
--cluster-config InstanceType=r6g.large.search,InstanceCount=3,ZoneAwarenessEnabled=true \
--vpc-options '{
"SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
"SecurityGroupIds": ["sg-EXAMPLE"],
"EgressEnabled": true
}'
```
Verwenden Sie Folgendes, um den ausgehenden Datenverkehr in einer vorhandenen VPC-Domäne umzuschalten: `update-domain-config`
```
aws opensearch update-domain-config \
--domain-name example-domain \
--vpc-options '{
"SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
"SecurityGroupIds": ["sg-EXAMPLE"],
"EgressEnabled": true
}'
```
### API
Um den ausgehenden Datenverkehr über Ihre VPC zu aktivieren, stellen Sie `EgressEnabled` die Option `true` in `VPCOptions` on `CreateDomain` oder ein. `UpdateDomainConfig` Der Wert wird in `VPCOptions` on `DescribeDomain` und zurückgegeben. `DescribeDomainConfig`
```
{
"SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
"SecurityGroupIds": ["sg-EXAMPLE"],
"EgressEnabled": true
}
```
Das vollständige Schema finden Sie unter [VPCoptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_VPCOptions.html) in der *Amazon OpenSearch Service API-Referenz*.
## Aktualisierung oder Deaktivierung
Sie können Egress bei der Erstellung einer Domain oder zu einem beliebigen späteren Zeitpunkt aktivieren, und Sie können ihn für eine Domain, für die er aktiviert ist, ausschalten. Sie können auch Availability Zones hinzufügen oder entfernen, solange Egress aktiviert bleibt. Eine Änderung an `EgressEnabled` löst eine blue/green Bereitstellung aus, genau wie andere VPC-Konfigurationsänderungen. Weitere Informationen finden Sie unter [Konfigurationsänderungen in Amazon OpenSearch Service vornehmen](managedomains-configuration-changes.md).
Wenn Sie Egress deaktivieren, entfernt OpenSearch Service die Egress-ENIs und die zugehörigen serviceverwalteten Ressourcen aus Ihrer VPC. Durch das Löschen der Domain werden alle Ausgangsressourcen automatisch bereinigt.
## Überprüfung und Überwachung
Nachdem Sie Egress aktiviert haben, überprüfen Sie, ob die Egress-ENIs in Ihren ausgewählten Subnetzen vorhanden sind, indem Sie sie in der Amazon EC2 EC2-Konsole anzeigen. Ihre Beschreibungen identifizieren die Service-Domain. OpenSearch Um den ausgehenden Datenverkehr zu beobachten, der die Domain verlässt, aktivieren Sie VPC Flow Logs auf den Ausgangs-ENIs. Überprüfen Sie den Zustand der Domain in der OpenSearch Service-Konsole und verlassen Sie sich auf die vorhandenen Erfolgs- und Fehlschlagssignale Ihrer Ausgangsintegrationen (Warnziele, Machine-Learning-Konnektoren, Snapshot-Repositorys), um den Status auf Integrationsebene zu ermitteln.
## Fehlerbehebung
**Eine Ausgangsintegration funktionierte nicht mehr, nachdem Sie Egress aktiviert haben.** Vergewissern Sie sich, dass Ihre VPC-Routentabelle den Verkehr von den Ausgangs-ENIs zum Ziel zulässt und dass der VPC-Resolver erreichbar ist und den Ziel-Hostnamen auflösen kann.
**Die Auflösung des Hostnamens schlägt fehl.** Vergewissern Sie sich, dass die DNS-Auflösung und die DNS-Hostnamen auf der VPC aktiviert sind. Wenn Sie private gehostete Zonen von Route 53 oder einen ausgehenden Route 53 Resolver-Endpunkt verwenden, stellen Sie sicher, dass die zugehörigen Regeln das Ziel abdecken.
**Nicht genug IP-Adressen im Subnetz.** Erweitern Sie das Subnetz oder verwenden Sie ein dediziertes Subnetz für die Domain. Siehe [Reservieren von IP-Adressen in einem VPC-Subnetz](vpc.md#reserving-ip-vpc-endpoints).
**Service-linked Für die Rolle fehlen Berechtigungen.** Erstellen Sie die dienstbezogene Rolle neu oder fügen Sie die aktualisierte Richtlinie an. Siehe [Verwenden von serviceverknüpften Rollen für Amazon OpenSearch Service](slr.md).
**Sie können ausgehenden Datenverkehr in einer öffentlichen Endpunktdomäne nicht aktivieren.** Egress über Ihre VPC ist nur auf VPC-Domains verfügbar. Konvertieren Sie zuerst die Domain. Siehe [Migrieren vom öffentlichen Zugriff zum VPC-Zugriff](vpc.md#migrating-public-to-vpc).
**Warnung**
Die ausgehenden ENIs werden vom Service verwaltet. Trennen oder löschen Sie sie nicht manuell. Um sie zu entfernen, deaktivieren Sie die Ausgangsoption auf der Domain oder löschen Sie die Domain.
## Grenzen und Überlegungen
Egress über Ihre VPC ist in den Regionen verfügbar, die auf der Amazon OpenSearch Service-Seite Endpunkte und Kontingente aufgeführt sind. Es wird auf Amazon OpenSearch Service-Domains unterstützt, für die VPC aktiviert ist.
## Nutzung und Abrechnung
Um den Datentransfer im Zusammenhang mit ausgehendem Datenverkehr über Ihre VPC zu überwachen, überprüfen Sie in Ihrem [AWS Abrechnungs-Dashboard](https://console.aws.amazon.com/billing/home) die Nutzungsart`DataTransfer-Regional-Bytes`, den Vorgang `VPCConnectionUsage` und den Produktcode. `AmazonES` Aktuelle Tarife finden Sie unter [Amazon OpenSearch Service-Preise](https://aws.amazon.com/opensearch-service/pricing/).