概要仕組み前提条件ドメインで Egress を有効にする更新または無効化検証とモニタリングトラブルシューティング制限と考慮事項使用状況と請求

VPC を介したドメイン出力トラフィックのルーティング

Amazon OpenSearch Service VPC ドメインからの出力トラフィックを、パブリックインターネットではなく独自の VPC 経由でルーティングする方法について説明します。

注記

このオプションは、ドメインからの出力トラフィックにのみ影響します。ドメインへの進入は、ポート 80 と 443 でも同じように機能します。

概要

デフォルトでは、VPC ドメインからカスタムエンドポイントへの出力はパブリックインターネット経由で送信されます。

VPC を介して Egress を有効にすると、ドメインからの Egress トラフィックが VPC に入り、ルートテーブル、セキュリティグループ、ネットワーク ACLs の対象となります。このオプションは、VPC を介してドメインからの出力を制御する必要がある場合や、ドメインから VPC エンドポイントなどのプライベートエンドポイントに到達する必要がある場合に使用します。

仕組み

VPC ドメインで Egress を有効にすると、OpenSearch Service はドメインに指定する各サブネットに追加の Elastic Network Interface (ENI) を配置します。ドメインからのエグレストラフィックは、これらのエグレス ENIs。

出力 ENIsはリクエスタマネージド型です。OpenSearch Service は、ユーザーに代わって作成、設定、削除します。アカウントから変更することはできません。

VPC 内のコンポーネント

出力が有効になっている場合、VPC には 2 つのリソースタイプが含まれます。

ドメイン ENIs。ドメインへのインバウンドトラフィック用に OpenSearch Service によって作成および管理されます。これらは、出力が有効になっているかどうかにかかわらず、任意の VPC ドメインに存在します。
Egress ENIs サービスにリンクされたロールを介して OpenSearch Service によって作成され、OpenSearch Service ネットワークプレーンによって管理されます。これらは、ドメインからの Egress トラフィックを VPC に伝送します。

マルチ AZ ドメインでは、エグレス ENIs はアベイラビリティーゾーンごとにプロビジョニングされ、ドメインに選択したサブネットと完全に一致します。

出力の DNS 解決

VPC 経由の出力が有効になっている場合、ドメインはデフォルトの VPC リゾルバー (VPC CIDR の「+2」アドレス) を介してホスト名を解決します。カスタム DNS リゾルバーは起動時にサポートされていません。

ドメインは VPC リゾルバーを使用するため、以下を解決できます。

VPC に関連付けられた Amazon Route 53 プライベートホストゾーンのレコード。
VPC 内の VPC エンドポイントのプライベート DNS 名。

重要

VPC DNS にアクセスできないか、設定が間違っている場合、ドメインの出力統合は失敗します。「トラブルシューティング」を参照してください。

前提条件

VPC 経由で Egress を有効にする前に、VPC が次の要件を満たしていることを確認してください。

DNS 解決と DNS ホスト名はどちらも VPC で有効になっています。
デフォルトの VPC リゾルバー (VPC CIDR の「+2」アドレス) は、ドメインに使用するサブネットからアクセスできます。

サブネット IP 容量。ドメイン ENIs「」を参照VPC サブネットで IP アドレスをリザーブする) と、送信 ENIs。

サービスにリンクされたロール。既存の Amazon OpenSearch Service サービスにリンクされたロールは、出力 ENIs を作成および管理するために必要なアクセス許可を取得します。すでに VPC ドメインを使用している場合は、ロールを再作成する必要はありません。詳細についてはAmazon OpenSearch Service 用のサービスにリンクされたロールの使用を参照してください。

リージョンの可用性。VPC 経由のエグレスは、Amazon OpenSearch Service エンドポイントとクォータページに記載されているリージョンで利用できます。

ドメインで Egress を有効にする

VPC ドメインの作成時、または既存の VPC ドメインを更新することで、VPC ドメインで Egress を有効にできます。パブリックエンドポイントドメインで出力を有効にすることはできません。このオプションを有効または無効にすると、ブルー/グリーンデプロイがトリガーされます。

コンソール

Amazon OpenSearch Service コンソールを開きます。
新しいドメインの作成を開始するか、既存の VPC ドメインを選択して編集を選択します。
ネットワークで、VPC アクセスを選択し、現在と同じように VPC、サブネット、セキュリティグループを選択します。
VPC Egress で、Enable Egress を選択します。
残りのステップを完了し、変更を送信します。

AWS CLI

出力を有効にしてドメインを作成するには、 EgressEnabled にを含めます--vpc-options。


aws opensearch create-domain \
  --domain-name example-domain \
  --engine-version OpenSearch_2.15 \
  --cluster-config InstanceType=r6g.large.search,InstanceCount=3,ZoneAwarenessEnabled=true \
  --vpc-options '{
      "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
      "SecurityGroupIds": ["sg-EXAMPLE"],
      "EgressEnabled": true
  }'

既存の VPC ドメインで出力を切り替えるには、を使用しますupdate-domain-config。


aws opensearch update-domain-config \
  --domain-name example-domain \
  --vpc-options '{
      "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
      "SecurityGroupIds": ["sg-EXAMPLE"],
      "EgressEnabled": true
  }'

API

VPC 経由で出力を有効にするには、 CreateDomain または VPCOptionsの true で EgressEnabled をに設定しますUpdateDomainConfig。値は、 DescribeDomainと VPCOptionsので返されますDescribeDomainConfig。


{
  "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
  "SecurityGroupIds": ["sg-EXAMPLE"],
  "EgressEnabled": true
}

完全なスキーマについては、Amazon OpenSearch Service API リファレンスのVPCOptions」を参照してください。

更新または無効化

Egress は、ドメインの作成時または作成後にいつでもオンにでき、有効になっているドメインではオフにできます。エグレスを有効にしたまま、アベイラビリティーゾーンを追加または削除することもできます。への変更は、他の VPC 設定の変更と同様に、ブルー/グリーンデプロイをEgressEnabledトリガーします。詳細については、「Amazon OpenSearch Service で設定変更を行う」を参照してください。

出力を無効にすると、OpenSearch Service は VPC から出力 ENIs と関連するサービスマネージドリソースを削除します。ドメインを削除すると、すべての出力リソースが自動的にクリーンアップされます。

検証とモニタリング

Egress を有効にしたら、Amazon EC2 コンソールで表示して、Egress ENIs が選択したサブネットに存在することを確認します。これらの説明は OpenSearch Service ドメインを識別します。ドメインから送信トラフィックを監視するには、送信 ENIs で VPC フローログを有効にします。OpenSearch Service コンソールでドメインの状態を確認し、エグレス統合 (アラートの送信先、機械学習コネクタ、スナップショットリポジトリ) からの既存の成功および失敗シグナルに基づいて、統合レベルのステータスを確認します。

トラブルシューティング

Egress を有効にした後、Egress 統合が機能しなくなりました。VPC ルートテーブルが送信 ENIs から送信先へのトラフィックを許可し、VPC リゾルバーに到達可能であり、送信先ホスト名を解決できることを確認します。

ホスト名の解決が失敗します。VPC で DNS 解決と DNS ホスト名が有効になっていることを確認します。Route 53 プライベートホストゾーンまたは Route 53 Resolver アウトバウンドエンドポイントを使用する場合は、関連するルールが送信先をカバーしていることを確認します。

サブネットに十分な IP アドレスがありません。サブネットを展開するか、ドメイン専用のサブネットを使用します。「VPC サブネットで IP アドレスをリザーブする」を参照してください。

サービスにリンクされたロールにアクセス許可がありません。サービスにリンクされたロールを再作成するか、更新されたポリシーをアタッチします。「Amazon OpenSearch Service 用のサービスにリンクされたロールの使用」を参照してください。

パブリックエンドポイントドメインで出力を有効にすることはできません。VPC 経由の Egress は、VPC ドメインでのみ使用できます。最初にドメインを変換します。「パブリックアクセスから VPC アクセスに移行する」を参照してください。

警告

出力 ENIsはサービスマネージド型です。手動でデタッチまたは削除しないでください。それらを削除するには、ドメインの Egress オプションを無効にするか、ドメインを削除します。

制限と考慮事項

VPC 経由のエグレスは、Amazon OpenSearch Service エンドポイントとクォータページに記載されているリージョンで利用できます。VPC が有効になっている Amazon OpenSearch Service ドメインでサポートされています。

使用状況と請求

VPC を介した出力に関連するデータ転送をモニタリングするには、AWS 請求ダッシュボードで使用タイプ DataTransfer-Regional-Bytes、オペレーション VPCConnectionUsage、製品コードを確認しますAmazonES。現在の料金については、「Amazon OpenSearch Service の料金」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

VPC サポート

インデックススナップショットの作成