As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criação e gerenciamento de domínios OpenSearch do Amazon Service
Este capítulo descreve como criar e gerenciar domínios do Amazon OpenSearch Service. Um domínio é o equivalente AWS provisionado de um cluster de código aberto. OpenSearch Ao criar um um domínio, você especifica as configurações, os tipos de instâncias, as contagens de instâncias e a alocação de armazenamento. Para obter mais informações sobre clusters de código aberto, consulte [Como criar um cluster](https://opensearch.org/docs/latest/tuning-your-cluster/) na OpenSearch documentação.
Diferentemente das breves instruções apresentadas no [Tutorial de introdução](gsg.md), este capítulo descreve todas as opções e fornece informações de referência relevantes. Você pode concluir cada procedimento usando as instruções do console OpenSearch de serviço, do AWS Command Line Interface (AWS CLI) ou do AWS SDKs.
## Criação OpenSearch de domínios de serviço
Esta seção descreve como criar domínios OpenSearch de serviço usando o console OpenSearch de serviços ou usando o AWS CLI com o `create-domain` comando.
### Criação OpenSearch de domínios de serviço (console)
Use o procedimento a seguir para criar um domínio de OpenSearch serviço usando o console.
**Para criar um domínio OpenSearch de serviço (console)**
1. Acesse [https://aws.amazon.com](https://aws.amazon.com/)e escolha **Entrar no console**.
1. Em **Analytics**, escolha **Amazon OpenSearch Service**.
1. Escolha **Criar domínio**.
1. Em **Nome de domínio**, insira um nome de domínio O nome deve atender aos seguintes critérios:
+ Exclusivo para sua conta e Região da AWS
+ Iniciar com letra minúscula.
+ Conter de 3 a 28 caracteres.
+ Conter apenas letras minúsculas a-z, números de 0-9 e hífen (-).
1. Como método de criação de domínio, escolha **Criação padrão**.
1. Em **Modelos**, escolha a opção que melhor corresponde à finalidade do seu domínio:
+ Domínios de **produção** para workload que precisam de alta disponibilidade e desempenho. Os domínios usam Multi-AZ (com ou sem standby) e nós principais dedicados para uma maior disponibilidade.
+ **Dev/test** para desenvolvimento ou teste. Esses domínios podem usar Multi-AZ (com ou sem modo de espera) ou uma única zona de disponibilidade.
**Importante**
Diferentes tipos de implantação apresentam diferentes opções em páginas subsequentes. Essas etapas incluem todas as opções.
1. Para **Opções de implantação**, escolha **Domínio com modo de espera** para configurar um domínio 3-AZ, com os nós em uma das zonas reservados como modo de espera. Essa opção aplica várias práticas recomendadas, como contagem especificada de nós de dados, contagem de nós principais, tipo de instância, contagem de réplicas e configurações de atualização de software.
1. Em **Versão**, escolha a versão OpenSearch ou o Elasticsearch OSS legado a ser usado. Recomendamos que você escolha a versão mais recente do OpenSearch. Para obter mais informações, consulte [Versões compatíveis do Elasticsearch e OpenSearch](what-is.md#choosing-version).
(Opcional) Se você escolher uma OpenSearch versão para seu domínio, selecione **Ativar modo de compatibilidade** para OpenSearch reportar sua versão como 7.10, o que permite que determinados clientes e plug-ins do Elasticsearch OSS que verificam a versão antes de se conectar continuem trabalhando com o serviço.
1. Em **Tipo de instância** escolha um tipo de instância para os nós de dados. Para saber mais, consulte [Tipos de instância compatíveis no Amazon OpenSearch Service](supported-instance-types.md).
**nota**
Nem todas as zonas de disponibilidade são compatíveis com todos os tipos de instância. Se você escolher Multi-AZ com ou sem standby, é recomendável selecionar tipos de instância da geração atual, como R5 ou I3.
1. Em **Número de nós**, selecione o número de nós de dados.
Para valores máximos, consulte [Cotas OpenSearch de domínio e instância do serviço](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html#opensearch-limits-domain). Os clusters de nó único são excelentes para desenvolvimento e testes, mas não devem ser usados para workloads de produção. Para obter mais orientações, consulte [Dimensionamento de domínios do Amazon OpenSearch Service](sizing-domains.md) e [Configurando um domínio Multi-AZ no Amazon Service OpenSearch](managedomains-multiaz.md).
**nota**
(Opcional) Os nós coordenadores dedicados oferecem suporte a todas OpenSearch as versões e ElasticSearch versões 6.8 a 7.10. Os nós coordenadores dedicados estão disponíveis para uso com domínios que têm um gerenciador de cluster dedicado ativado. Para habilitar nós coordenadores dedicados, você selecionará o tipo e a contagem de instâncias. Como prática recomendada, você deve manter a família de instâncias do seu nó coordenador dedicado igual aos seus nós de dados (instâncias baseadas em Intel ou Graviton).
1. Em **Tipo de armazenamento**, selecione Amazon EBS. Os tipos de volume disponíveis na lista dependem do tipo de instância escolhido. Para obter orientações sobre a criação de domínios especialmente grandes, consulte [Escala de petabytes no Amazon Service OpenSearch](petabyte-scale.md).
1. Em armazenamento **EBS**, configure as opções a seguir. A depender do tipo de volume escolhido, algumas configurações poderão não aparecer.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/createupdatedomains.html)
1. (Opcional) Se você selecionou um tipo de `gp3` volume, expanda **Configurações avançadas** e especifique IOPS adicionais (até 16.000 para cada tamanho de volume de 3 TiB provisionado por nó de dados) e taxa de transferência (até 1.000 para MiB/s cada tamanho de volume de 3 TiB provisionado por nó de dados) além do que está incluído no preço do armazenamento, por um custo adicional. Para obter mais informações, consulte os [preços do Amazon OpenSearch Service](https://aws.amazon.com/opensearch-service/pricing/).
1. (Opcional) Para ativar o [UltraWarm armazenamento](ultrawarm.md), escolha **Ativar nós UltraWarm de dados**. Cada tipo de instância tem uma [quantidade máxima de armazenamento](limits.md#limits-ultrawarm) que ele pode processar. Multiplique essa quantidade pelo número de nós de dados de alta atividade pelo total de armazenamento de alta atividade endereçável.
1. (Opcional) Para habilitar o [armazenamento de baixa atividade](cold-storage.md), escolha **Habilitar armazenamento de baixa atividade**. Você deve habilitar UltraWarm para habilitar o armazenamento a frio.
1. Se você usa o multi-AZ com modo de espera, três [nós principais dedicados](managedomains-dedicatedmasternodes.md) já estão habilitados. Escolha o tipo de nós principais que você deseja. Se você escolheu um domínio Multi-AZ sem modo de espera, selecione **Habilitar nós principais dedicados** e escolha o tipo e o número de nós principais que você deseja. Os nós principais dedicados aumentam a estabilidade do cluster e são necessários para domínios com contagem de instâncias superior a 10. Recomendamos três nós principais dedicados para domínios de produção.
**nota**
Você pode escolher diferentes tipos de instâncias para seus nós principais dedicados e nós de dados. Por exemplo, você pode selecionar instâncias de uso geral ou de armazenamento otimizado para os nós de dados e instâncias otimizadas para computação para os nós principais dedicados.
1. (Opcional) Para domínios que executam o Elasticsearch OpenSearch 5.3 e versões posteriores, a configuração do **Snapshot** é irrelevante. Para saber mais sobre snapshots automatizados, consulte [Criação de instantâneos de índice no Amazon Service OpenSearch](managedomains-snapshots.md).
1. Se você quiser usar um endpoint personalizado em vez do padrão `https://search-mydomain-1a2a3a4a5a6a7a8a9a0a9a8a7a.us-east-1.es.amazonaws.com`, escolha **Habilitar endpoints personalizados** e forneça um nome e um certificado. Para saber mais, consulte [Criação de um endpoint personalizado para o Amazon Service OpenSearch](customendpoint.md).
1. Na seção **Rede**, escolha **Acesso via VPC** ou **Acesso público**. Se você selecionar **Acesso público**, vá para a próxima etapa. Se escolher **Acesso à VPC**, certifique-se de atender aos [pré-requisitos](vpc.md#prerequisites-vpc-endpoints) e defina as seguintes configurações:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/createupdatedomains.html)
1. Habilite ou desabilite controle de acesso refinado:
+ Se você quiser usar o IAM para o gerenciamento de usuários, escolha **Definir ARN do IAM como usuário primário** e especifique o ARN para uma função do IAM.
+ Se quiser usar o banco de dados de usuário interno, escolha **Criar usuário primário** e especifique um nome de usuário e senha.
Qualquer que seja a opção escolhida, o usuário principal pode acessar todos os índices do cluster e tudo mais. OpenSearch APIs Para obter orientações sobre qual opção escolher, consulte [Principais conceitos](fgac.md#fgac-concepts).
Se você desabilitar o controle de acesso refinado, ainda assim poderá controlar o acesso ao seu domínio, colocando-o em uma VPC, aplicando uma política de acesso restritiva ou ambos. Você deve habilitar a node-to-node criptografia e a criptografia em repouso para usar um controle de acesso refinado.
**nota**
Recomendamos *enfaticamente* habilitar o controle de acesso refinado para proteger os dados do seu domínio. O controle de acesso refinado fornece segurança nos níveis de cluster, índice, documento e campo.
1. (Opcional) Se você quiser usar a autenticação SAML para OpenSearch painéis, escolha **Habilitar autenticação SAML** e configure as opções de SAML para o domínio. Para instruções, consulte [Autenticação SAML para painéis OpenSearch](saml.md).
1. (Opcional) Se você quiser usar a autenticação do Amazon Cognito para OpenSearch painéis, escolha Habilitar a autenticação do Amazon **Cognito**. Em seguida, escolha o grupo de usuários e o grupo de identidades do Amazon Cognito que você deseja usar para autenticação de OpenSearch painéis. Para obter orientações sobre a criação desses recursos, consulte [Configurando a autenticação do Amazon Cognito para painéis OpenSearch](cognito-auth.md).
1. (Opcional) Se você quiser usar a autenticação do IAM Identity Center (IDC) para conectar sua fonte de identidade existente e dar aos AWS aplicativos uma visão comum dos seus usuários, escolha **Habilitar o acesso à API autenticado com o IAM Identity** Center. Para saber mais, consulte [Visão geral da propagação de identidades de confiança](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html?icmpid=docs_console_unmapped) no *Guia do usuário do IAM Identity Center*.
1. (Opcional) Na seção **Recursos avançados**, deixe **Habilitar geração de consultas em linguagem natural e os atributos do Amazon Q Developer** selecionado, se quiser usar esses atributos.
1. Escolha **Habilitar o S3 Vectors como uma opção de mecanismo** para obter opções avançadas de pesquisa vetorial. Para obter mais informações, consulte [Recursos avançados de pesquisa com um mecanismo vetorial Amazon S3](s3-vector-opensearch-integration-engine.md).
1. Escolha **Ativar aceleração de GPU para opções aprimoradas de pesquisa vetorial. Para obter mais informações, consulte [Aceleração por GPU para indexação vetorial](gpu-acceleration-vector-index.md).**
1. Para **Política de acesso**, escolha uma política de acesso ou configure uma das suas próprias políticas. Se você optar por criar uma política personalizada, poderá configurá-la você mesmo ou importar uma política de outro domínio. Para saber mais, consulte [Identity and Access Management no Amazon OpenSearch Service](ac.md).
**nota**
Se você ativou o acesso à VPC, não poderá usar políticas baseadas em IP. Em vez disso, você poderá usar [grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) para controlar quais endereços IP poderão acessar o domínio. Para saber mais, consulte [Sobre políticas de acesso em domínios da VPC](vpc.md#vpc-security).
1. (Opcional) Para exigir que todas as solicitações ao domínio sejam recebidas por HTTPS, selecione **Exigir HTTPS para todo o tráfego do domínio**. Para ativar a node-to-node criptografia, selecione **ode-to-nodeCriptografia N.** Para obter mais informações, consulte [Node-to-node criptografia para Amazon OpenSearch Service](ntn.md). Para habilitar criptografia de dados em repouso, selecione **Ativar criptografia em repouso**. Essas opções são pré-selecionadas se você escolher a opção de implantação multi-AZ com modo de espera.
1. (Opcional) Selecione ** AWS Usar chave própria** para que o OpenSearch Serviço crie uma chave de AWS KMS criptografia em seu nome (ou use a que já foi criada). Caso contrário, escolha sua própria chave do KMS. Para obter mais informações, consulte [Criptografia de dados em repouso para o Amazon OpenSearch Service](encryption-at-rest.md).
1. Para a **janela fora do pico**, selecione um horário de início para agendar atualizações do software de serviço e otimizações do Auto-Tune que exijam uma implantação. blue/green As atualizações fora do horário de pico ajudam a minimizar a sobrecarga nos nós principais dedicados de um cluster durante períodos de tráfego intenso.
1. Para o **Auto-Tune**, escolha se deseja permitir que o OpenSearch Serviço sugira alterações de configuração relacionadas à memória para seu domínio para melhorar a velocidade e a estabilidade. Para obter mais informações, consulte [Auto-Tune para Amazon Service OpenSearch](auto-tune.md).
(Opcional) Selecione **Janela fora do horário de pico** para agendar uma janela recorrente durante a qual o Auto-Tune atualizará o domínio.
1. (Opcional) Selecione **Atualização automática de software** para habilitar atualizações automáticas de software.
1. (Opcional) Adicione tags para descrever seu domínio para que você possa categorizar e filtrar essas informações. Para saber mais, consulte [Marcação de domínios do Amazon OpenSearch Service](managedomains-awsresourcetagging.md).
1. (Opcional) Expanda e defina as **Configurações avançadas de cluster**. Para obter um resumo dessas opções, consulte [Configurações avançadas do cluster](#createdomain-configure-advanced-options).
1. Escolha **Criar**.
### Criação OpenSearch de domínios de serviço ()AWS CLI
Em vez de criar um domínio de OpenSearch serviço usando o console, você pode usar AWS CLI o. Para obter a sintaxe, consulte Amazon OpenSearch Service na referência de [comandos da AWS CLI a.](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/opensearch/index.html)
#### Exemplos de comando
Este primeiro exemplo demonstra a seguinte configuração do domínio OpenSearch de serviço:
+ Cria um domínio OpenSearch de serviço chamado *mylogs* com a OpenSearch versão 1.2
+ Preenche o domínio com duas instâncias do tipo `r6g.large.search`
+ Utilização de um volume `gp3` de Finalidade geral (SSD) do EBS de 100 GiB como armazenamento para cada nó de dados
+ Permite acesso anônimo, mas apenas de endereço IP único: 192.0.2.0/32.
```
aws opensearch create-domain \
--domain-name mylogs \
--engine-version OpenSearch_1.2 \
--cluster-config InstanceType=r6g.large.search,InstanceCount=2 \
--ebs-options EBSEnabled=true,VolumeType=gp3,VolumeSize=100,Iops=3500,Throughput=125 \
--access-policies '{"Version": "2012-10-17", "Statement": [{"Action": "es:*", "Principal":"*","Effect": "Allow", "Condition": {"IpAddress":{"aws:SourceIp":["192.0.2.0/32"]}}}]}'
```
O próximo exemplo demonstra a seguinte configuração do domínio OpenSearch de serviço:
+ Cria um domínio OpenSearch de serviço chamado *mylogs* com a versão 7.10 do Elasticsearch
+ Preenche o domínio com seis instâncias do tipo `r6g.large.search`
+ Utilização de um volume `gp2` de Finalidade geral (SSD) do EBS de 100 GiB como armazenamento para cada nó de dados
+ Restringe o acesso ao serviço a um único usuário, identificado pelo Conta da AWS ID do usuário: 555555555555
+ Distribui as instâncias em três zonas de disponibilidade
```
aws opensearch create-domain \
--domain-name mylogs \
--engine-version Elasticsearch_7.10 \
--cluster-config InstanceType=r6g.large.search,InstanceCount=6,ZoneAwarenessEnabled=true,ZoneAwarenessConfig={AvailabilityZoneCount=3} \
--ebs-options EBSEnabled=true,VolumeType=gp2,VolumeSize=100 \
--access-policies '{"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:root" }, "Action":"es:*", "Resource": "arn:aws:es:us-east-1:555555555555:domain/mylogs/*" } ] }'
```
O próximo exemplo demonstra a seguinte configuração do domínio OpenSearch de serviço:
+ Cria um domínio OpenSearch de serviço chamado *mylogs* com a OpenSearch versão 1.0
+ Preenche o domínio com 10 instâncias do tipo `r6g.xlarge.search`
+ Preenche o domínio com três instâncias do tipo `r6g.large.search` para funcionar como nós principais dedicados
+ Usa um volume de EBS de IOPS provisionadas de 100 GiB como armazenamento, configurado com performance de referência de 1.000 IOPS para cada nó de dados.
+ Restringe o acesso a um único usuário e a um único sub-recurso, a API `_search`
```
aws opensearch create-domain \
--domain-name mylogs \
--engine-version OpenSearch_1.0 \
--cluster-config InstanceType=r6g.xlarge.search,InstanceCount=10,DedicatedMasterEnabled=true,DedicatedMasterType=r6g.large.search,DedicatedMasterCount=3 \
--ebs-options EBSEnabled=true,VolumeType=io1,VolumeSize=100,Iops=1000 \
--access-policies '{"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::555555555555:root" }, "Action": "es:*", "Resource": "arn:aws:es:us-east-1:555555555555:domain/mylogs/_search" } ] }'
```
**nota**
Se você tentar criar um domínio OpenSearch de serviço e já existir um domínio com o mesmo nome, a CLI não relatará um erro. Em vez disso, ela retornará detalhes do domínio existente.
### Criação OpenSearch de domínios de serviço ()AWS SDKs
O AWS SDKs (exceto o Android e o iOS SDKs) suporta todas as ações definidas na [Amazon OpenSearch Service API Reference](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/Welcome.html), inclusive`CreateDomain`. Para obter o código de exemplo, consulte [Usando o AWS SDKs para interagir com o Amazon OpenSearch Service](configuration-samples.md). Para obter mais informações sobre como instalar e usar o AWS SDKs, consulte [Kits AWS de desenvolvimento de software](https://aws.amazon.com/code).
### Criação OpenSearch de domínios de serviço ()AWS CloudFormation
OpenSearch O serviço é integrado com AWS CloudFormation, um serviço que ajuda você a modelar e configurar seus AWS recursos para que você possa gastar menos tempo criando e gerenciando seus recursos e infraestrutura. Você cria um modelo que descreve o OpenSearch domínio que você deseja criar e CloudFormation provisiona e configura o domínio para você. *Para obter mais informações, incluindo exemplos de modelos JSON e YAML para OpenSearch domínios, consulte a [referência do tipo de recurso do Amazon OpenSearch Service no Guia](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-elasticsearch-domain.html) do AWS CloudFormation usuário.*
## Configuração de políticas de acesso
O Amazon OpenSearch Service oferece várias maneiras de configurar o acesso aos seus domínios do OpenSearch Serviço. Para obter mais informações, consulte [Identity and Access Management no Amazon OpenSearch Service](ac.md) e [Controle de acesso refinado no Amazon Service OpenSearch](fgac.md).
O console fornece políticas de acesso pré-configuradas que você pode personalizar de acordo com as necessidades específicas de seu domínio. Você também pode importar políticas de acesso de outros domínios do OpenSearch Serviço. Para obter informações sobre como essas políticas de acesso interagem com o acesso à VPC, consulte [Sobre políticas de acesso em domínios da VPC](vpc.md#vpc-security).
**Para configurar políticas de acesso (console)**
1. Vá para [https://aws.amazon.com](https://aws.amazon.com/), e escolha **Sign In to the Console** (Faça login no Console).
1. Em **Analytics**, escolha **Amazon OpenSearch Service**.
1. No painel de navegação, em **Domínios**, escolha o domínio que deseja atualizar.
1. Escolha **Ações** e **Editar configuração de segurança**.
1. Edite a política de acesso JSON ou importe uma opção pré-configurada.
1. Escolha **Salvar alterações**.
## Migração para o OpenSearch serviço com o Migration Assistant
O Migration Assistant for Amazon OpenSearch Service é uma solução abrangente que simplifica o processo de migração do Elasticsearch ou clusters autogerenciados para o Service. OpenSearch OpenSearch Esse kit de ferramentas lida com a complexidade operacional das migrações e, ao mesmo tempo, garante a integridade dos dados e valida a performance após a migração.
### Visão geral do
Se você estiver configurando uma proof-of-concept entrada AWS, fazendo a transição de cargas de trabalho de produção ou atualizando para OpenSearch as versões mais recentes, o Assistente de Migração fornece step-by-step orientação, melhores práticas e ferramentas para aproveitar todo o potencial das migrações. OpenSearch
Estes são os principais benefícios do Migration Assistant:
+ **Migração de metadados**: migra metadados de cluster, incluindo configurações de índice, mapeamentos de tipos, modelos de índice e aliases
+ **Migração de dados** - migra dados existentes de clusters legados para domínios OpenSearch de serviço
+ **Tratamento de tráfego ao vivo** - intercepta e redireciona o tráfego ao vivo de clusters autogerenciados para domínios de OpenSearch serviço com latência mínima
+ **Replicação de tráfego**: replica o tráfego de produção nos clusters de destino para validar precisão e performance
+ **Teste de performance**: simula o tráfego do mundo real capturando e reproduzindo padrões de solicitações para ajustar a performance do sistema
+ **Disponibilidade global** - Implantações AWS nas regiões mais comuns para alcance e escalabilidade globais
O Migration Assistant oferece suporte à migração das versões 6.x e 7.x e 1.x e 2.x do Elasticsearch. OpenSearch Para saber mais, consulte [Caminhos de migração compatíveis](https://docs.opensearch.org/latest/migration-assistant/is-migration-assistant-right-for-you/#supported-migration-paths).
**nota**
Observe as informações a seguir sobre o Migration Assistant.
A ferramenta oferece suporte a migrações de vários saltos (por exemplo, migração do Elasticsearch 5.x para o OpenSearch Service 3.x em um único salto).
É possível reverter uma migração.
Em alguns casos de uso, a ferramenta requer pouco ou nenhum tempo de inatividade.
A ferramenta fornece backfill de alta performance sem afetar o cluster de origem.
### Cenários de migração
O Migration Assistant foi projetado para lidar com os seguintes cenários de migração:
**Migração de metadados**
Migra metadados do cluster, como configurações de índice, aliases e modelos do seu cluster de origem para o domínio do Serviço de destino OpenSearch .
**Migração de backfill**
Migra dados existentes ou históricos de um cluster de origem para um domínio de OpenSearch serviço de destino, garantindo que todos os seus dados importantes sejam preservados durante a transição.
**Migração de tráfego ao vivo**
Replica o tráfego ativo contínuo do seu cluster de origem para o domínio de OpenSearch serviço de destino, permitindo que você mantenha a disponibilidade do serviço durante a migração.
**Importante**
As estratégias de migração não são universalmente aplicáveis. O Migration Assistant fornece orientação com base nas práticas recomendadas de engenharia, mas você deve avaliar seus requisitos específicos e testar cuidadosamente antes de migrar workloads de produção.
### Introdução ao Migration Assistant
O Migration Assistant for Amazon OpenSearch Service está disponível como uma AWS solução com documentação abrangente, modelos de implantação e código-fonte. Para começar com o Migration Assistant:
**Para acessar os recursos do Migration Assistant**
1. Consulte a documentação completa da solução na [visão geral da solução Migration Assistant for Amazon OpenSearch Service](https://docs.aws.amazon.com/solutions/latest/migration-assistant-for-amazon-opensearch-service/solution-overview.html).
1. Entenda os custos e os requisitos lendo o [guia de planejamento de implantação](https://docs.aws.amazon.com/solutions/latest/migration-assistant-for-amazon-opensearch-service/plan-your-deployment.html).
1. Implante a solução usando as [instruções de implantação](https://docs.opensearch.org/latest/migration-assistant/migration-phases/) e siga o [guia de uso](https://docs.aws.amazon.com/solutions/latest/migration-assistant-for-amazon-opensearch-service/use-the-solution.html) para realizar a migração.
Para desenvolvedores e usuários avançados, o código-fonte e a documentação adicional do Assistente de Migração estão disponíveis no [ GitHub repositório de OpenSearch migrações](https://github.com/opensearch-project/opensearch-migrations).
### Arquitetura da solução
Quando implantado no AWS, o Assistente de Migração usa vários AWS serviços para fornecer uma solução de migração abrangente:
+ **AWS CloudFormation**: fornece modelos de infraestrutura como código (IaC) para implantar e configurar o Migration Assistant
+ **OpenSearch Serviço** - O serviço de destino para suas cargas de trabalho migradas de pesquisa e análise
+ **Amazon Managed Streaming para Apache Kafka**: fornece recursos de processamento de fluxos para armazenamento durável e reutilização do tráfego HTTP
+ **Amazon Elastic Container Service**: executa o Migration Management Console e o Traffic Replayer em contêineres seguros escaláveis
+ **Amazon Elastic File System**: fornece armazenamento persistente escalável para dados de solicitações e respostas dos clusters de origem e de destino
+ **Amazon Simple Storage Service**: armazena snapshots para tarefas históricas de backfill e conteúdo infraestrutura como código
Para obter informações detalhadas, consulte [Detalhes da arquitetura do Migration Assistant](https://docs.opensearch.org/latest/migration-assistant/architecture/).
## Configurações avançadas do cluster
Use as opções avançadas para configurar o seguinte:
**Índices em corpos de solicitações**
Especifica se são permitidas referências explícitas aos índices dentro do corpo das solicitações HTTP. A definição dessa propriedade como `false` impede que os usuários ignorem o controle de acesso para sub-recursos. Por padrão, o valor é `true`. Para saber mais, consulte [Opções avançadas e considerações sobre a API](ac.md#ac-advanced).
**Alocação de cache de dados de campo**
Especifica a porcentagem de espaço do heap do Java alocada a dados de campo. Por padrão, essa configuração é 20% do heap JVM.
Muitos clientes consultam índices alternados diariamente. Recomenda-se começar a realizar um teste de comparação com `indices.fielddata.cache.size` configurado como 40% do heap de JVM para a maioria desses casos de uso. Para índices muito grandes, talvez um cache de dados de campo grande seja necessário.
**Contagem máxima de cláusulas**
Especifica o número máximo de cláusulas permitidas em uma consulta booliana no Lucene. O padrão é 1.024. Consultas que ultrapassam o número permitido de cláusulas geram o erro `TooManyClauses`. Para saber mais, consulte a [documentação do Lucene](https://lucene.apache.org/core/6_6_0/core/org/apache/lucene/search/BooleanQuery.html).
# Enriquecimento semântico automático para Amazon Service OpenSearch
## Introdução
O Amazon OpenSearch Service usa word-to-word correspondência (pesquisa léxica) para encontrar resultados, semelhante a outros mecanismos de pesquisa tradicionais. Essa abordagem funciona bem para consultas específicas, como códigos de produtos ou números de modelos, mas tem dificuldades com pesquisas abstratas, nas quais entender a intenção do usuário se torna crucial. Por exemplo, quando você pesquisa por “sapatos para a praia”, a pesquisa léxica corresponde às palavras individuais “sapatos”, “praia”, “para” e “o” nos itens do catálogo, possivelmente ausentes de produtos relevantes, como “sandálias resistentes à água” ou “calçados de surfe”, que não contêm os termos de pesquisa exatos.
O enriquecimento semântico automático resolve essa limitação considerando as correspondências de palavras-chave e o significado contextual por trás das pesquisas. Esse recurso compreende a intenção da pesquisa e melhora a relevância da pesquisa em até 20%. Ative esse recurso para campos de texto em seu índice para aprimorar os resultados da pesquisa.
**nota**
O enriquecimento semântico automático está disponível para domínios de OpenSearch serviço que executam a versão 2.19 ou posterior. Além disso, os domínios com a OpenSearch versão 2.19 também precisam estar na atualização mais recente da versão do software de serviço. Atualmente, o recurso está disponível para domínios públicos, e os domínios VPC não são compatíveis.
## Detalhes do modelo e benchmark de desempenho
Embora esse recurso lide com as complexidades técnicas nos bastidores sem expor o modelo subjacente, fornecemos transparência por meio de uma breve descrição do modelo e resultados de benchmark para ajudá-lo a tomar decisões informadas sobre a adoção de recursos em suas cargas de trabalho críticas.
O enriquecimento semântico automático usa um modelo esparso pré-treinado e gerenciado por serviços que funciona de forma eficaz sem exigir ajustes personalizados. O modelo analisa os campos que você especifica, expandindo-os em vetores esparsos com base em associações aprendidas de diversos dados de treinamento. Os termos expandidos e seus pesos de significância são armazenados no formato nativo do índice Lucene para uma recuperação eficiente. Otimizamos esse processo usando o [modo somente documentos,](https://docs.opensearch.org/docs/latest/vector-search/ai-search/neural-sparse-with-pipelines/#step-1a-choose-the-search-mode) em que a codificação ocorre somente durante a ingestão de dados. As consultas de pesquisa são meramente tokenizadas em vez de processadas por meio de um modelo esparso, tornando a solução econômica e eficiente.
Nossa validação de desempenho durante o desenvolvimento do recurso usou o conjunto de dados de recuperação de passagens [MS MARCO](https://huggingface.co/datasets/BeIR/msmarco), com passagens com média de 334 caracteres. Para pontuação de relevância, medimos a média de ganho cumulativo com desconto normalizado (NDCG) para os primeiros 10 resultados de pesquisa (ndcg @10) no benchmark [BEIR](https://github.com/beir-cellar/beir) para conteúdo em inglês e a média de ndcg @10 no MIRACL para conteúdo multilíngue. [Avaliamos a latência por meio de medições do percentil 90 (p90) do lado do cliente e a resposta de pesquisa p90 obteve valores.](https://github.com/beir-cellar/beir) Esses benchmarks fornecem indicadores básicos de desempenho para a relevância da pesquisa e os tempos de resposta. Aqui estão os principais números de referência -
+ Idioma inglês - Melhoria de relevância de 20% em relação à pesquisa léxica. Também reduziu a latência de pesquisa do P90 em 7,7% em relação à pesquisa lexical (BM25 é 26 ms e o enriquecimento semântico automático é 24 ms).
+ Multilíngue - Melhoria de relevância de 105% em relação à pesquisa lexical, enquanto a latência da pesquisa P90 aumentou 38,4% em relação à pesquisa lexical (BM25 é 26 ms e o enriquecimento semântico automático é 36 ms).
Dada a natureza exclusiva de cada carga de trabalho, recomendamos que você avalie esse recurso em seu ambiente de desenvolvimento usando seus próprios critérios de benchmarking antes de tomar decisões de implementação.
## Idiomas suportados
O recurso oferece suporte ao inglês. Além disso, o modelo também oferece suporte para árabe, bengali, chinês, finlandês, francês, hindi, indonésio, japonês, coreano, persa, russo, espanhol, suaíli e telugu.
## Configure um índice automático de enriquecimento semântico para domínios
É fácil configurar um índice com o enriquecimento semântico automático ativado para seus campos de texto e você pode gerenciá-lo por meio do console e de CloudFormation modelos durante a criação do novo índice. APIs Para habilitá-lo para um índice existente, você precisa recriar o índice com o enriquecimento semântico automático ativado para campos de texto.
Experiência de console - O AWS console permite criar facilmente um índice com campos de enriquecimento semântico automático. Depois de selecionar um domínio, você encontrará o botão criar índice na parte superior do console. Depois de clicar no botão criar índice, você encontrará opções para definir campos de enriquecimento semântico automático. Em um índice, você pode ter combinações de enriquecimento semântico automático para inglês e multilíngue, bem como campos lexicais.
![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/images/ase-console-exp.png)
Experiência de API - Para criar um índice automático de enriquecimento semântico usando a interface de linha de AWS comando (AWS CLI), use o comando create-index:
```
aws opensearch create-index \
--domain-name [domain_name] \
--index-name [index_name] \
--index-schema [index_body] \
```
**No exemplo de esquema de índice a seguir, o campo *title\$1semantic* tem um tipo de campo definido como *texto* e o parâmetro semantic\$1enrichment definido como status ENABLED.** *Definir o parâmetro *semantic\$1enrichment ativa o enriquecimento* semântico automático no campo title\$1semantic.* *Você pode usar o campo *language\$1options* para especificar *inglês* ou multilíngue.*
```
aws opensearch create-index \
--id XXXXXXXXX \
--index-name 'product-catalog' \
--index-schema '{
"mappings": {
"properties": {
"product_id": {
"type": "keyword"
},
"title_semantic": {
"type": "text",
"semantic_enrichment": {
"status": "ENABLED",
"language_options": "english"
}
},
"title_non_semantic": {
"type": "text"
}
}
}
}'
```
Para descrever o índice criado, use o seguinte comando:
```
aws opensearch get-index \
--domain-name [domain_name] \
--index-name [index_name] \
```
## Ingestão e pesquisa de dados
Depois de criar um índice com o enriquecimento semântico automático ativado, o recurso funciona automaticamente durante o processo de ingestão de dados, sem necessidade de configuração adicional.
Ingestão de dados: quando você adiciona documentos ao seu índice, o sistema automaticamente:
+ Analisa os campos de texto que você designou para enriquecimento semântico
+ Gera codificações semânticas usando o modelo esparso gerenciado por OpenSearch serviços
+ Armazena essas representações enriquecidas junto com seus dados originais
Esse processo usa conectores OpenSearch de ML e pipelines de ingestão integrados, que são criados e gerenciados automaticamente nos bastidores.
Pesquisa: os dados de enriquecimento semântico já estão indexados, então as consultas são executadas com eficiência sem invocar o modelo de ML novamente. Isso significa que você obtém maior relevância de pesquisa sem sobrecarga adicional de latência de pesquisa.
## Configurar permissões para enriquecimento semântico automático
Antes de criar um índice com enriquecimento semântico automático, você precisa configurar as permissões necessárias. Esta seção explica as permissões necessárias para diferentes operações de indexação e como configurá-las tanto para cenários de controle de acesso AWS Identity and Access Management (IAM) quanto para cenários de controle de acesso refinados.
### permissões do IAM
As seguintes permissões do IAM são necessárias para operações automáticas de enriquecimento semântico. Essas permissões variam de acordo com a operação de indexação específica que você deseja realizar.
#### CreateIndex Permissões de API
Para criar um índice com enriquecimento semântico automático, você precisa das seguintes permissões do IAM:
+ `es:CreateIndex`— Crie um índice com recursos de enriquecimento semântico.
+ `es:ESHttpHead`— Execute solicitações HEAD para verificar a existência do índice.
+ `es:ESHttpPut`— Execute solicitações PUT para criação de índice.
+ `es:ESHttpPost`— Execute solicitações POST para operações de indexação.
#### UpdateIndex Permissões de API
Para atualizar um índice existente com enriquecimento semântico automático, você precisa das seguintes permissões do IAM:
+ `es:UpdateIndex`— Atualize as configurações e mapeamentos do índice.
+ `es:ESHttpPut`— Execute solicitações PUT para atualizações de índices.
+ `es:ESHttpGet`— Execute solicitações GET para recuperar informações do índice.
+ `es:ESHttpPost`— Execute solicitações POST para operações de indexação.
#### GetIndex Permissões de API
Para recuperar informações sobre um índice com enriquecimento semântico automático, você precisa das seguintes permissões do IAM:
+ `es:GetIndex`— Recupere informações e configurações do índice.
+ `es:ESHttpGet`— Execute solicitações GET para recuperar dados do índice.
#### DeleteIndex Permissões de API
Para excluir um índice com enriquecimento semântico automático, você precisa das seguintes permissões do IAM:
+ `es:DeleteIndex`— Exclua um índice e seus componentes de enriquecimento semântico.
+ `es:ESHttpDelete`— Execute solicitações DELETE para remoção do índice.
### Exemplo de política do IAM
O exemplo de política de acesso baseado em identidade a seguir fornece as permissões necessárias para que um usuário gerencie índices com enriquecimento semântico automático:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSemanticEnrichmentIndexOperations",
"Effect": "Allow",
"Action": [
"es:CreateIndex",
"es:UpdateIndex",
"es:GetIndex",
"es:DeleteIndex",
"es:ESHttpHead",
"es:ESHttpGet",
"es:ESHttpPut",
"es:ESHttpPost",
"es:ESHttpDelete"
],
"Resource": "arn:aws:es:aws-region:111122223333:domain/domain-name"
}
]
}
```
Substitua *aws-region**111122223333*,, e *domain-name* por seus valores específicos. Você pode restringir ainda mais o acesso especificando padrões de índice específicos no ARN do recurso.
### Permissões de acesso refinado
Se o seu domínio do Amazon OpenSearch Service tiver um controle de acesso refinado ativado, você precisará de permissões adicionais além das permissões do IAM. As permissões a seguir são necessárias para cada operação de indexação.
#### CreateIndex Permissões de API
Quando o controle de acesso refinado é ativado, as seguintes permissões adicionais são necessárias para criar um índice com enriquecimento semântico automático:
+ `indices:admin/create`— Crie operações de indexação.
+ `indices:admin/mapping/put`— Crie e atualize mapeamentos de índice.
+ `cluster:admin/opensearch/ml/create_connector`— Crie conectores de aprendizado de máquina para processamento semântico.
+ `cluster:admin/opensearch/ml/register_model`— Registre modelos de aprendizado de máquina para enriquecimento semântico.
+ `cluster:admin/ingest/pipeline/put`— Crie canais de ingestão para processamento de dados.
+ `cluster:admin/search/pipeline/put`— Crie canais de pesquisa para processamento de consultas.
#### UpdateIndex Permissões de API
Quando o controle de acesso refinado é ativado, as seguintes permissões adicionais são necessárias para atualizar um índice com enriquecimento semântico automático:
+ `indices:admin/get`— Recupere informações do índice.
+ `indices:admin/settings/update`— Atualizar as configurações do índice.
+ `indices:admin/mapping/put`— Atualizar mapeamentos de índice.
+ `cluster:admin/opensearch/ml/create_connector`— Crie conectores de aprendizado de máquina.
+ `cluster:admin/opensearch/ml/register_model`— Registre modelos de aprendizado de máquina.
+ `cluster:admin/ingest/pipeline/put`— Crie canais de ingestão.
+ `cluster:admin/search/pipeline/put`— Crie canais de busca.
+ `cluster:admin/ingest/pipeline/get`— Recupere as informações do pipeline de ingestão.
+ `cluster:admin/search/pipeline/get`— Recupere informações do pipeline de pesquisa.
#### GetIndex Permissões de API
Quando o controle de acesso refinado é ativado, as seguintes permissões adicionais são necessárias para recuperar informações sobre um índice com enriquecimento semântico automático:
+ `indices:admin/get`— Recupere informações do índice.
+ `cluster:admin/ingest/pipeline/get`— Recupere as informações do pipeline de ingestão.
+ `cluster:admin/search/pipeline/get`— Recupere informações do pipeline de pesquisa.
#### DeleteIndex Permissões de API
Quando o controle de acesso refinado é ativado, a seguinte permissão adicional é necessária para excluir um índice com enriquecimento semântico automático:
+ `indices:admin/delete`— Excluir operações de indexação.
## Regravações de consultas
O enriquecimento semântico automático converte automaticamente suas consultas de “correspondência” existentes em consultas de pesquisa semântica sem exigir modificações na consulta. Se uma consulta de correspondência fizer parte de uma consulta composta, o sistema percorrerá sua estrutura de consulta, localizará consultas de correspondência e as substituirá por consultas neurais esparsas. Atualmente, o recurso suporta apenas a substituição de consultas “correspondentes”, seja uma consulta autônoma ou parte de uma consulta composta. “multi\$1match” não é suportado. Além disso, o recurso oferece suporte a todas as consultas compostas para substituir suas consultas de correspondência aninhadas. As consultas compostas incluem: bool, boosting, constant\$1score, dis\$1max, function\$1score e hybrid.
## Limitações do enriquecimento semântico automático
A pesquisa semântica automática é mais eficaz quando aplicada a campos small-to-medium de tamanho contendo conteúdo em linguagem natural, como títulos de filmes, descrições de produtos, avaliações e resumos. Embora a pesquisa semântica aumente a relevância para a maioria dos casos de uso, ela pode não ser ideal para determinados cenários. Considere as seguintes limitações ao decidir se deve implementar o enriquecimento semântico automático para seu caso de uso específico.
+ Documentos muito longos — O modelo esparso atual processa apenas os primeiros 8.192 tokens de cada documento em inglês. Para documentos multilíngues, são 512 tokens. Para artigos longos, considere implementar a fragmentação de documentos para garantir o processamento completo do conteúdo.
+ Cargas de trabalho de análise de registros — O enriquecimento semântico aumenta significativamente o tamanho do índice, o que pode ser desnecessário para a análise de registros, onde a correspondência exata normalmente é suficiente. O contexto semântico adicional raramente melhora a eficácia da pesquisa de registros o suficiente para justificar o aumento dos requisitos de armazenamento.
+ O enriquecimento semântico automático não é compatível com o recurso Fonte Derivada.
+ Limitação — As solicitações de inferência de indexação estão atualmente limitadas a 200 TPS para domínios de serviço. OpenSearch Esse é um limite flexível; entre em contato com o AWS Support para obter limites mais altos.
## Preços
O Amazon OpenSearch Service fatura o enriquecimento semântico automático com base nas unidades de OpenSearch computação (OCUs) consumidas durante a geração de vetores esparsos no momento da indexação. Você é cobrado somente pelo uso real durante a indexação. Você pode monitorar esse consumo usando a SemanticSearch OCU CloudWatch métrica da Amazon. Para obter detalhes específicos sobre os limites do token do modelo, a taxa de transferência de volume por OCU e um exemplo de cálculo de amostra, visite Preços de [ OpenSearch serviços](https://aws.amazon.com/opensearch-service/pricing/).
# Fazendo alterações de configuração no Amazon OpenSearch Service
O Amazon OpenSearch Service usa um processo de implantação *azul/verde* ao atualizar domínios. Uma blue/green implantação cria um ambiente ocioso para atualizações de domínio que copia o ambiente de produção e direciona os usuários para o novo ambiente após a conclusão dessas atualizações. Em uma blue/green implantação, o ambiente azul é o ambiente de produção atual. O ambiente verde é o ambiente inativo.
Os dados são migrados do ambiente azul para o ambiente verde. Quando o novo ambiente estiver pronto, o OpenSearch Serviço alterna os ambientes para promover o ambiente verde como o novo ambiente de produção. A transição ocorre sem perda de dados. Essa prática minimiza o tempo de inatividade e mantém o ambiente original caso a implantação no novo ambiente resulte em erro.
**Topics**
+ [Mudanças que geralmente causam blue/green implantações](#bg)
+ [Mudanças que geralmente não causam blue/green implantações](#nobg)
+ [Opções de implantação azul/verde](#bg-deployment-options)
+ [Determinar se uma alteração causará uma blue/green implantação](#dryrun)
+ [Rastrear uma alteração de configuração](#initiating-tracking-configuration-changes)
+ [Etapas de uma alteração de configuração](#managedomains-config-stages)
+ [Impacto no desempenho das blue/green implantações](#performance-impact-bluegreen)
+ [Cobranças para alterações de configuração](#managedomains-config-charges)
+ [Solução de problemas de erros de validação](#validation)
## Mudanças que geralmente causam blue/green implantações
As seguintes operações causam blue/green implantações:
+ Alterar o tipo de instância
+ Habilitar o controle de acesso detalhado
+ Atualizações de software de serviço
+ Habilitar ou desabilitar os nós principais dedicados
+ Ativar ou desativar o Multi-AZ sem modo de espera
+ Alterar o tipo de armazenamento, o tipo do volume ou o tamanho do volume
+ Escolher diferentes sub-redes da VPC
+ Adicionar ou remover os grupos de segurança da VPC
+ Adicionar e remover nós coordenadores dedicados
+ Ativar ou desativar a autenticação do Amazon Cognito para painéis OpenSearch
+ Escolha de outro grupo de usuários ou grupo de identidades do Amazon Cognito
+ Modificar configurações avançadas
+ Atualização para uma nova OpenSearch versão (os OpenSearch painéis podem estar indisponíveis durante parte ou toda a atualização)
+ Habilitando a criptografia de dados em repouso ou node-to-node criptografia
+ Ativando ou desativando nosso UltraWarm armazenamento a frio
+ Desabilitação do Auto-Tune e reversão de suas alterações
+ Associar um plug-in opcional a um domínio e dissociar um plug-in opcional de um domínio
+ Aumento da contagem de nós principais dedicados para domínios Multi-AZ com dois nós principais dedicados
+ Diminuição de tamanho do volume do EBS
+ Alteração do tamanho do volume, IOPS ou throughput do EBS, se a última alteração feita estiver em andamento ou tiver ocorrido há menos de 6 horas
+ Habilitando a publicação de registros de auditoria para CloudWatch.
Para domínios multi-AZ com modo de espera, você só pode fazer uma solicitação de alteração por vez. Se uma alteração já estiver em andamento, a nova solicitação será rejeitada. Você pode verificar o status da alteração atual com a API da `DescribeDomainChangeProgress`.
## Mudanças que geralmente não causam blue/green implantações
Na *maioria* dos casos, as seguintes operações não causam blue/green implantações:
+ Modificar a política de acesso
+ Como modificar o endpoint personalizado
+ Alterar política do Transport Layer Security (TLS)
+ Alterar o horário do snapshot automatizado
+ Habilitar ou desabilitar a opção **Exigir HTTPS**
+ Habilitação do Auto-Tune ou desabilitação sem reverter suas alterações
+ Se seu domínio tiver nós mestres dedicados, alterando o nó de dados ou a contagem de UltraWarm nós
+ Se seu domínio tiver nós principais dedicados, altere o tipo de instância principal dedicada ou a contagem (exceto para domínios Multi-AZ com dois nós principais dedicados)
+ Ativar ou desativar a publicação de registros de erros ou registros lentos no CloudWatch
+ Desabilitando a publicação de registros de auditoria no CloudWatch
+ Aumentar o tamanho do volume, o IOPS ou a taxa de transferência para o tipo gp3 EBS.
**nota**
Antes de 10 de março de 2026, os aumentos de volume no local eram suportados somente para volumes de até 3 TiB para gp3. Em 10 de março de 2026, essa limitação foi removida, permitindo aumentos de volume no local além de 3 TiB. No entanto, se seu cluster tinha um tamanho de volume acima de 3 TiB antes que essa limitação fosse removida, o primeiro aumento de volume exigirá uma blue/green deployment. All subsequent volume increases for that cluster will be performed as in-place updates and will not require a blue/green implantação.
+ Adicionar ou remover tags
**nota**
Há algumas exceções, dependendo da versão do software de serviço. Se você quiser ter certeza de que uma alteração não causará uma blue/green implantação, [faça um dry run](#dryrun) antes de atualizar seu domínio, se essa opção estiver disponível. Algumas mudanças não oferecem a opção de simulação. Geralmente, recomendamos que você faça alterações em seu cluster fora dos horários de pico de tráfego.
## Opções de implantação azul/verde
Selecione uma estratégia de implantação para controlar como seu cluster lida com implantações quando a capacidade suficiente não está disponível no momento da atualização.
1. **Full Swap Blue/Green** — O comportamento padrão de implantação. Requer capacidade total da instância desde o início, garantindo a implantação mais rápida quando a capacidade está disponível. A implantação não prosseguirá se a capacidade suficiente não puder ser alocada.
1. **Capacidade otimizada** — Recomendado para clusters com mais de 30 nós de dados. Tenta primeiro uma blue/green troca completa e, se a capacidade for insuficiente, prossegue com a implantação em lotes. Garante que as implantações possam ser concluídas mesmo quando a capacidade é limitada. O tempo de conclusão pode aumentar, pois a implantação será feita em lotes.
------
#### [ Console ]
**Para editar fluxo de domínio:**
1. Abra o console do Amazon OpenSearch Service em[https://console.aws.amazon.com/aos/home](https://console.aws.amazon.com/aos/home).
1. No painel de navegação, em **Domínios**, escolha o nome do domínio para abrir a Configuração do Cluster.
1. Clique no botão **Editar** no lado direito na guia **Configuração do cluster**.
1. Em Opções de **estratégia de implantação**, escolha as configurações necessárias para atualização do domínio:
1. **Full Swap Blue/Green** — O comportamento padrão de implantação. Requer capacidade total da instância desde o início, garantindo a implantação mais rápida quando a capacidade está disponível. A implantação não prosseguirá se a capacidade suficiente não puder ser alocada.
1. **Capacidade otimizada** — Recomendado para clusters com mais de 30 nós de dados. Tenta primeiro uma blue/green troca completa e, se a capacidade for insuficiente, prossegue com a implantação em lotes. Garante que as implantações possam ser concluídas mesmo quando a capacidade é limitada. O tempo de conclusão pode aumentar, pois a implantação será feita em lotes.
1. Escolha **Salvar alterações**.
**Para criar fluxo de domínio:**
1. Abra o console do Amazon OpenSearch Service em[https://console.aws.amazon.com/aos/home](https://console.aws.amazon.com/aos/home).
1. No painel de navegação à esquerda, selecione **Domínios**.
1. Clique no botão **Criar domínio**.
1. Selecione todas as configurações necessárias para o domínio.
1. Em Opções de **estratégia de implantação**, escolha as configurações necessárias para atualização do domínio:
1. **Full Swap Blue/Green** — O comportamento padrão de implantação. Requer capacidade total da instância desde o início, garantindo a implantação mais rápida quando a capacidade está disponível. A implantação não prosseguirá se a capacidade suficiente não puder ser alocada.
1. **Capacidade otimizada** — Recomendado para clusters com mais de 30 nós de dados. Tenta primeiro uma blue/green troca completa e, se a capacidade for insuficiente, prossegue com a implantação em lotes. Garante que as implantações possam ser concluídas mesmo quando a capacidade é limitada. O tempo de conclusão pode aumentar, pois a implantação será feita em lotes.
1. Clique no botão **Criar** no painel **Resumo do Domínio** no lado direito.
------
#### [ API ]
Você pode configurar a estratégia de implantação usando a [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API.
**Opção de capacidade otimizada**
```
POST https://es.us-east-1.amazonaws.com/2021-01-01/opensearch/domain/my-domain/config
{
"DeploymentStrategyOptions": {
"DeploymentStrategy": "CapacityOptimized"
}
}
```
**Opção padrão**
```
POST https://es.us-east-1.amazonaws.com/2021-01-01/opensearch/domain/my-domain/config
{
"DeploymentStrategyOptions": {
"DeploymentStrategy": "Default"
}
}
```
------
## Determinar se uma alteração causará uma blue/green implantação
Você pode testar alguns tipos de alterações de configuração planejadas para determinar se elas causarão uma blue/green implantação, sem precisar se comprometer com essas alterações. Antes de iniciar uma alteração de configuração, use o console ou uma API para executar uma verificação de validação para garantir que o seu domínio seja qualificação para uma atualização.
------
#### [ Console ]
**Para validar uma alteração de configuração**
1. Navegue até o console do Amazon OpenSearch Service em[https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. No painel de navegação à esquerda, selecione **Domínios**.
1. Selecione o domínio para o qual deseja fazer uma alteração de configuração. Isso abre a página de detalhes do domínio. Selecione o menu suspenso **Ações** e escolha **Editar configuração do cluster**.
1. Faça alterações no domínio, como alterar o tipo de instância ou o número de nós.
1. Em **Análise de simulação**, escolha **Executar**. O dry run valida sua alteração de configuração em busca de erros e determina se ela requer uma blue/green implantação.
1. Quando a simulação é concluída, os resultados são exibidos automaticamente no fim da página, junto com um ID da simulação. A análise indica se a alteração na configuração requer ou não uma blue/green implantação.
Cada simulação substitui a anterior. Para reter os detalhes de cada simulação, salve o ID da simulação. As simulações ficam disponíveis por 90 dias ou até que seja feita uma atualização de configuração.
1. Para continuar com a atualização de configuração, escolha **Salvar alterações**. Caso contrário, escolha **Cancelar**. Qualquer uma das opções levará você de volta à guia **Configuração do cluster** . Nessa guia, você pode escolher **Detalhes da simulação** para ver os detalhes da última simulação. Essa página também inclui uma side-by-side comparação entre a configuração antes da operação a seco e a configuração da operação a seco.
------
#### [ API ]
Você pode executar uma validação de simulação por meio da API de configuração. Para testar suas alterações com a API, defina `DryRun` ´como `true` e `DryRunMode` como `Verbose`. O modo detalhado executa uma verificação de validação, além de determinar se a alteração iniciará uma implantação azul/verde. Por exemplo, essa [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)solicitação testa o tipo de implantação resultante da ativação de UltraWarm:
```
POST https://es.us-east-1.amazonaws.com/2021-01-01/opensearch/domain/my-domain/config
{
"ClusterConfig": {
"WarmCount": 3,
"WarmEnabled": true,
"WarmType": "ultrawarm1.large.search"
},
"DryRun": true,
"DryRunMode": "Verbose"
}
```
A solicitação executa uma verificação de validação e retorna o tipo de implantação que a alteração causará, mas na verdade não executa a atualização:
```
{
"ClusterConfig": {
...
},
"DryRunResults": {
"DeploymentType": "Blue/Green",
"Message": "This change will require a blue/green deployment."
}
}
```
Os possíveis tipos de implantação são:
+ `Blue/Green`: a alteração causará uma implantação azul/verde.
+ `DynamicUpdate`: a alteração não causará uma implantação azul/verde.
+ `Undetermined`: o domínio ainda está em um estado de processamento, portanto, não é possível determinar o tipo de implantação.
+ `None`: nenhuma alteração de configuração.
Se a validação falhar, ela retornará uma lista de [falhas de validação](#validation).
```
{
"ClusterConfig":{
"..."
},
"DryRunProgressStatus":{
"CreationDate":"2023-01-12T01:14:33.847Z",
"DryRunId":"db00ca39-48b2-4774-bbd3-252cf094d205",
"DryRunStatus":"failed",
"UpdateDate":"2023-01-12T01:14:33.847Z",
"ValidationFailures":[
{
"Code":"Cluster.Index.WriteBlock",
"Message":"Cluster has index write blocks."
}
]
}
}
```
Se o status persistir`pending`, você poderá usar o ID de execução seca em sua UpdateDomainConfig resposta em [DescribeDryRunProgress](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DescribeDryRunProgress.html)chamadas subsequentes para verificar o status da validação.
```
GET https://es.us-east-1.amazonaws.com/2021-01-01/opensearch/domain/my-domain/dryRun?dryRunId=my-dry-run-id
{
"DryRunConfig": null,
"DryRunProgressStatus": {
"CreationDate": "2023-01-12T01:14:42.998Z",
"DryRunId": "db00ca39-48b2-4774-bbd3-252cf094d205",
"DryRunStatus": "succeeded",
"UpdateDate": "2023-01-12T01:14:49.334Z",
"ValidationFailures": null
},
"DryRunResults": {
"DeploymentType": "Blue/Green",
"Message": "This change will require a blue/green deployment."
}
}
```
Para executar uma análise de simulação sem uma verificação de validação, defina `DryRunMode` como `Basic` quando usar a API de configuração.
------
#### [ Python ]
O código Python a seguir usa a [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API para realizar uma verificação de validação de execução seca e, se a verificação for bem-sucedida, chama a mesma API sem uma execução seca para iniciar a atualização. Se a verificação falhar, o script imprimirá o erro e será interrompido.
```
import time
import boto3
client = boto3.client('opensearch')
response = client.UpdateDomainConfig(
ClusterConfig={
'WarmCount': 3,
'WarmEnabled': True,
'WarmCount': 123,
},
DomainName='test-domain',
DryRun=True,
DryRunMode='Verbose'
)
dry_run_id = response.DryRunProgressStatus.DryRunId
retry_count = 0
while True:
if retry_count == 5:
print('An error occured')
break
dry_run_progress_response = client.DescribeDryRunProgress('test-domain', dry_run_id)
dry_run_status = dry_run_progress_response.DryRunProgressStatus.DryRunStatus
if dry_run_status == 'succeeded':
client.UpdateDomainConfig(
ClusterConfig={
'WarmCount': 3,
'WarmEnabled': True,
'WarmCount': 123,
})
break
elif dry_run_status == 'failed':
validation_failures_list = dry_run_progress_response.DryRunProgressStatus.ValidationFailures
for item in validation_failures_list:
print(f"Code: {item['Code']}, Message: {item['Message']}")
break
retry_count += 1
time.sleep(30)
```
------
## Rastrear uma alteração de configuração
É possível solicitar uma alteração de configuração de cada vez ou agrupar várias alterações em uma única solicitação. Use os campos **Status de processamento de domínio** e **Status de alteração de configuração** no console para rastrear as alterações de configuração. Espere o status do domínio se tornar `Active` antes de solicitar qualquer outras alterações.
Um domínio pode ter os seguintes **status de processamento**:
+ `Active`: nenhuma alteração de configuração está em andamento. Você pode enviar uma nova solicitação de alteração de configuração.
+ `Creating`: o domínio está sendo criado.
+ `Modifying`: alterações de configuração, como a adição de novos nós de dados, EBS, gp3, provisionamento de IOPS ou configuração de chaves do KMS, estão em andamento.
+ `Upgrading engine version`: uma atualização de versão do mecanismo está em andamento.
+ `Updating service software`: uma atualização de software do serviço está em andamento.
+ `Deleting`: o domínio está sendo excluído.
+ `Isolated`: o domínio está suspenso.
Um domínio pode ter os seguintes **status de alteração de configuração**:
+ `Pending`: uma solicitação de alteração de configuração foi enviada.
+ `Initializing`: o serviço está inicializando alteração de configuração.
+ `Validating`: o serviço está validando as alterações solicitadas e os recursos necessários.
+ `Awaiting user inputs`: o serviço espera que alterações de configuração, como alteração de tipo de instância, continuem. Você pode editar as alterações de configuração.
+ `Applying changes`: o serviço está aplicando as alterações de configuração solicitadas.
+ `Cancelled`: a alteração de configuração foi cancelada. Escolher **Cancelar** reverte todas as alterações.
+ `Completed`: as alterações de configuração solicitadas foram concluídas com êxito.
+ `Validation failed`: as alterações de configuração solicitadas não puderam ser concluídas. Nenhuma alteração de configuração foi aplicada.
**nota**
As falhas de validação podem ser o resultado de índices vermelhos presentes no domínio, indisponibilidade de um tipo de instância escolhido ou falta de espaço em disco. Para obter uma lista de erros de validação, consulte [Solução de problemas de erros de validação](#validation). Durante um evento de falha na validação, você pode cancelar, tentar novamente ou editar as alterações de configuração.
Quando as alterações de configuração são concluídas, o estado do domínio volta a ser `Active`.
Você pode analisar a integridade do cluster e CloudWatch as métricas da Amazon e ver que o número de nós no cluster aumenta temporariamente, geralmente dobrando, enquanto a atualização do domínio ocorre. No exemplo a seguir, você pode ver o número de nós que dobram de 11 para 22 durante uma alteração de configuração e que retornam para 11 quando a atualização é concluída.
![\[Número de nós que dobram de 11 para 22 durante uma alteração de configuração de domínio.\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/images/NodesDoubled.png)
Esse aumento temporário pode sobrecarregar os [nós principais dedicados](managedomains-dedicatedmasternodes.md) do cluster, que repentinamente poderão ter muito mais nós para gerenciar. Também pode aumentar as latências de pesquisa e indexação à medida que o OpenSearch Service copia dados do cluster antigo para o novo. É importante manter capacidade suficiente no cluster para lidar com a sobrecarga associada a essas blue/green implantações.
**Importante**
*Não* há nenhuma cobrança adicional nas alterações de configuração e na manutenção do serviço. Você será cobrado apenas pelo número de nós que solicitar para seu cluster. Para obter detalhes, consulte [Cobranças para alterações de configuração](#managedomains-config-charges).
Para evitar a sobrecarga de nós mestres dedicados, você pode [monitorar o uso com as CloudWatch métricas da Amazon](managedomains-cloudwatchmetrics.md). Para obter os valores máximos recomendados, consulte [CloudWatch Alarmes recomendados para o Amazon Service OpenSearch](cloudwatch-alarms.md).
## Etapas de uma alteração de configuração
Depois de iniciar uma alteração na configuração, o OpenSearch Service passa por uma série de etapas para atualizar seu domínio. Você pode visualizar o progresso da alteração de configuração em **Status da alteração de configuração** no console. As etapas exatas para a realização de uma atualização depende do tipo de alteração que você está fazendo. Você também pode monitorar uma alteração de configuração usando a operação da API [DescribeDomainChangeProgress](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DescribeDomainChangeProgress.html).
A seguir, estão as possíveis etapas de uma atualização durante uma alteração de configuração:
| Nome da etapa | Description |
| --- | --- |
| Validação | Validação se o domínio está qualificado para uma atualização e identificação de [problemas de validação](#validation), se necessário. |
| Criação de um novo ambiente | Concluindo os pré-requisitos necessários e criando os recursos necessários para iniciar a implantação. blue/green |
| Provisionamento de novos nós | Criando um novo conjunto de instâncias no novo ambiente. |
| Roteamento de tráfego em novos nós | Redirecionamento do tráfego para os nós de dados recém-criados. |
| Roteamento de tráfego em nós antigos | Desabilitação tráfego em nós de dados antigos. |
| Preparação dos nós para remoção | Preparação para a remoção de nós. Esta etapa só ocorre quando você reduz a escala do seu domínio (por exemplo, de 8 nós para 6 nós). |
| Cópia de fragmentos para novos nós | Transferência de fragmentos dos nós antigos para os novos nós. |
| Encerramento de nós | Encerramento e exclusão de nós antigos após a remoção dos fragmentos. |
| Exclusão de recursos mais antigos | Exclusão de recursos associados ao ambiente antigo (por exemplo, o balanceador de carga). |
| Atualização dinâmica | Exibido quando a atualização não exige uma blue/green implantação e pode ser aplicada dinamicamente. |
| Aplicando alterações dedicadas relacionadas à entidade principal | Exibido quando o tipo ou a contagem de instâncias principais dedicadas são alterados. |
| Aplicar alterações relacionadas ao volume | Exibido quando o tamanho, o tipo, o IOPS e o throughput do volume são alterados. |
## Impacto no desempenho das blue/green implantações
Durante a blue/green implantação, seu cluster do Amazon OpenSearch Service está disponível para receber solicitações de pesquisa e indexação. No entanto, você pode enfrentar os seguintes problemas de desempenho:
+ Aumento temporário no uso nos nós principais, pois os clusters têm mais nós para gerenciar.
+ Maior latência de pesquisa e indexação à medida que o OpenSearch Serviço copia dados de nós antigos para novos nós.
+ Aumento das rejeições de solicitações recebidas à medida que a carga do cluster aumenta durante blue/green as implantações.
+ Para evitar problemas de latência e rejeições de solicitações, você deve executar blue/green implantações quando o cluster estiver íntegro e houver pouco tráfego de rede.
## Cobranças para alterações de configuração
Se você alterar a configuração de um domínio, o OpenSearch Service criará um novo cluster conforme descrito em[Fazendo alterações de configuração no Amazon OpenSearch Service](#managedomains-configuration-changes). Durante a migração do antigo para o novo, você é cobrado pelos seguintes encargos:
+ Se você alterar o tipo de instância, será cobrado por ambos os clusters para a primeira hora. Após a primeira hora, você será cobrado apenas pelo novo cluster. Os volumes do EBS não são cobrados duas vezes porque fazem parte do cluster. Portanto, o faturamento segue o faturamento da instância.
**Exemplo:** Você altera a configuração de três instâncias `m3.xlarge` para quatro instâncias `m4.large`. Na primeira hora, você é cobrado por ambos os clusters (3 \$1 `m3.xlarge` \$1 4 \$1 `m4.large`). Após a primeira hora, você será cobrado apenas pelo novo cluster (4 \$1 `m4.large`).
+ Se você não alterar o tipo de instância, será cobrado apenas pelo cluster maior para a primeira hora. Após a primeira hora, você será cobrado apenas pelo novo cluster.
**Exemplo:** Você altera a configuração de seis instâncias `m3.xlarge` para três instâncias `m3.xlarge`. Para a primeira hora, você será cobrado pelo cluster maior (6 \$1 `m3.xlarge`). Após a primeira hora, você será cobrado apenas pelo novo cluster (3 \$1 `m3.xlarge`).
## Solução de problemas de erros de validação
Quando você inicia uma alteração na configuração ou realiza uma OpenSearch atualização de versão do Elasticsearch, o OpenSearch Service primeiro executa uma série de verificações de validação para garantir que seu domínio esteja qualificado para uma atualização. Se alguma dessas verificações falhar, você receberá uma notificação no console contendo os problemas específicos que deverão ser corrigidos antes da atualização do domínio.
OpenSearch O serviço isola seu domínio se ele permanecer inutilizável por mais de 60 dias. Enviaremos lembretes de notificação para resolver esses problemas. Se você não corrigir os problemas dentro desse período, o OpenSearch Serviço excluirá seu domínio e seus dados.
A tabela a seguir lista os possíveis problemas de domínio que o OpenSearch Serviço pode surgir e as etapas para resolvê-los.
| Problema | Código de erro | Etapas de solução de problemas |
| --- | --- | --- |
| Grupo de segurança não encontrado | SecurityGroupNotFound | O grupo de segurança associado ao seu domínio de OpenSearch serviço não existe. Para resolver esse problema, [crie um grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#creating-security-groups) com o nome especificado. |
| Sub-rede não encontrada | SubnetNotFound | A sub-rede associada ao seu domínio OpenSearch de serviço não existe. Para resolver esse problema, [crie uma sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-subnets.html#create-subnets) na sua VPC. |
| Função vinculada ao serviço não configurada | SLRNotConfigured | A [função vinculada ao](slr.md) OpenSearch serviço para Serviço não está configurada. A função vinculada ao serviço é predefinida pelo OpenSearch Serviço e inclui todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. Se a função não existir, talvez seja necessário [criá-la manualmente](slr-aos.md#create-slr). |
| Não há endereços IP suficientes | InsufficientFreeIPsForSubnets | Uma ou mais sub-redes da VPC não têm endereços IP suficientes para atualizar seu domínio. Para calcular quantos endereços IP são necessários, consulte [Reserva de endereços IP em uma sub-rede da VPC](vpc.md#reserving-ip-vpc-endpoints). |
| O grupo de usuários do Cognito não existe | CognitoUserPoolNotFound | OpenSearch O serviço não consegue encontrar o grupo de usuários do Amazon Cognito. Confirme se você criou um e se tem o ID correto. Para encontrar o ID, você pode usar o console do Amazon Cognito ou o seguinte comando da AWS CLI : aws cognito-idp list-user-pools --max-results 60 --region us-east-1
|
| O grupo de identidades do Cognito não existe | CognitoIdentityPoolNotFound | OpenSearch O serviço não consegue encontrar o pool de identidade do Cognito. Confirme se você criou um e se tem o ID correto. Para encontrar o ID, você pode usar o console do Amazon Cognito ou o seguinte comando da AWS CLI : aws cognito-identity list-identity-pools --max-results 60 --region us-east-1
|
| Domínio do Cognito não encontrado para grupo de usuários | CognitoDomainNotFound | O grupo de usuários não tem um nome de domínio. Você pode configurar um usando o console do Amazon Cognito ou o seguinte comando: AWS CLI aws cognito-idp create-user-pool-domain --domain my-domain --user-pool-id id
|
| Função do Cognito não configurada | CognitoRoleNotConfigured | A função do IAM que OpenSearch concede permissão ao Serviço para configurar os grupos de usuários e identidades do Amazon Cognito e usá-los para autenticação não está configurada. Configure a função com um conjunto de permissões e uma relação de confiança apropriados. Você pode usar o console, que cria a [CognitoAccessForAmazonOpenSearch](cognito-auth.md#cognito-auth-role)função padrão para você, ou pode configurar manualmente uma função usando o AWS CLI ou o AWS SDK. |
| Não é possível descrever o grupo de usuários | UserPoolNotDescribable | A função especificada do Amazon Cognito não tem permissão para descrever o grupo de usuários associado ao seu domínio. Verifique se a política de permissões da função permite a ação cognito-identity:DescribeUserPool. Consulte [Sobre a CognitoAccessForAmazonOpenSearch função](cognito-auth.md#cognito-auth-role) para ver a política de permissões completa. |
| Não é possível descrever o grupo de identidades | IdentityPoolNotDescribable | A função especificada do Amazon Cognito não tem permissão para descrever o grupo de identidades associado ao seu domínio. Verifique se a política de permissões da função permite a ação cognito-identity:DescribeIdentityPool. Consulte [Sobre a CognitoAccessForAmazonOpenSearch função](cognito-auth.md#cognito-auth-role) para ver a política de permissões completa. |
| Não é possível descrever os grupos usuários e de identidades | CognitoPoolsNotDescribable | A função especificada do Amazon Cognito não tem permissão para descrever os grupos de usuários e de identidades associados ao seu domínio. Verifique se a política de permissões da função permite as ações cognito-identity:DescribeIdentityPool e cognito-identity:DescribeUserPool. Consulte [Sobre a CognitoAccessForAmazonOpenSearch função](cognito-auth.md#cognito-auth-role) para ver a política de permissões completa. |
| A chave do KMS não está habilitada | KMSKeyNotEnabled | A chave AWS Key Management Service (AWS KMS) usada para criptografar seu domínio está desativada. [Reative a chave](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys) imediatamente. |
| O certificado personalizado não está no estado ISSUED (EMITIDO) | InvalidCertificate | Se o seu domínio usa um endpoint personalizado, você o protege gerando um certificado SSL no AWS Certificate Manager (ACM) ou importando um de sua preferência. O status do certificado deve ser **Emitido**. Ao receber esse erro, [verifique o status do certificado](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-describe.html) no console do ACM. Se o status for Expired (Expirado), Failed (Com falha), Inactive (Inativo) ou Pending validation (Validação pendente), consulte a [documentação de solução de problemas](https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting.html) do ACM para resolver o problema. |
| Capacidade insuficiente para iniciar o tipo de instância escolhido | InsufficientInstanceCapacity | A capacidade do tipo de instância solicitada não está disponível. Por exemplo, você pode ter solicitado cinco `i3.16xlarge.search` nós, mas o OpenSearch Serviço não tem `i3.16xlarge.search` hosts suficientes disponíveis, então a solicitação não pode ser atendida. Verifique os [tipos de instância compatíveis](supported-instance-types.md) em OpenSearch Service e escolha um tipo de instância diferente. |
| Índices vermelhos no cluster | RedCluster | Um ou mais índices em seu cluster têm um status vermelho, o que leva a um status geral de cluster vermelho. Para solucionar e corrigir esse problema, consulte [Status de cluster vermelho](handling-errors.md#handling-errors-red-cluster-status). |
| Disjuntor de memória, excesso de solicitações | TooManyRequests | Há muitas solicitações de pesquisa e gravação em seu domínio, então o OpenSearch Serviço não pode atualizar sua configuração. É possível reduzir o número de solicitações, aumentar instâncias na vertical até 64 GiB de RAM ou aumentar a escala na horizontal adicionando instâncias. |
| A nova configuração não pode acomodar os dados (pouco espaço em disco) | InsufficientStorageCapacity | O tamanho de armazenamento configurado não é capaz de acomodar todos os dados no seu domínio. Para resolver esse problema, [escolha um volume maior](limits.md#ebsresource), [exclua índices não utilizados](https://opensearch.org/docs/latest/opensearch/rest-api/index-apis/delete-index/) ou aumente o número de nós no cluster para liberar espaço em disco imediatamente. |
| Fragmentos fixados em nós específicos | ShardMovementBlocked | Um ou mais índices em seu domínio estão anexados a nós específicos e não podem ser reatribuídos. Isso provavelmente aconteceu porque você configurou a filtragem de alocação de fragmentos, que permite especificar quais nós têm permissão para hospedar os fragmentos de um índice específico. Para resolver esse problema, remova os filtros de alocação de fragmentos de todos os índices afetados: PUT my-index/_settings
{
"settings": {
"index.routing.allocation.require._name": null
}
}
|
| A nova configuração não pode conter todos os fragmentos (contagem de fragmentos) | TooManyShards | A contagem de fragmentos em seu domínio é muito alta, o que impede que o OpenSearch Serviço os mova para a nova configuração. Para resolver esse problema, dimensione seu domínio horizontalmente adicionando nós do mesmo tipo de configuração que os nós de cluster atuais. Observe que o [tamanho máximo do volume do EBS](limits.md#ebsresource) depende do tipo de instância do nó.Para evitar esse problema no futuro, consulte [Como escolher o número de fragmentos](bp-sharding.md) e defina uma estratégia de fragmentação que seja apropriada para o seu caso de uso. |
| A sub-rede associada ao seu domínio não suporta endereços IPv4 | `ResultCodeIPv4BlockNotExists` | Para resolver esse problema, [crie uma sub-rede ou atualize a sub-rede existente](https://docs.aws.amazon.com//vpc/latest/userguide/configure-subnets.html#subnet-IP-address-range) na sua VPC, de acordo com o tipo de endereço IP configurado do domínio. Se seu domínio usa um **IPv4único** tipo de endereço, use uma IPv4 sub-rede somente. Se o domínio usa o **modo de pilha dupla**, use uma sub-rede de pilha dupla. |
| A sub-rede associada ao seu domínio não suporta endereços IPv6 | `ResultCodeIPv6BlockNotExists` | Para resolver esse problema, [crie uma sub-rede ou atualize a sub-rede existente](https://docs.aws.amazon.com//vpc/latest/userguide/configure-subnets.html#subnet-IP-address-range) na sua VPC, de acordo com o tipo de endereço IP configurado do domínio. Se seu domínio usa um **IPv4único** tipo de endereço, use uma IPv4 sub-rede somente. Se o domínio usa o **modo de pilha dupla**, use uma sub-rede de pilha dupla. |
# Atualizações do software de serviço no Amazon OpenSearch Service
**nota**
Consulte as [notas de versão](release-notes.md) para obter explicações sobre as alterações e adições feitas em cada atualização *principal* do software do serviço (sem patch).
O Amazon OpenSearch Service lança regularmente atualizações de software de serviços que adicionam recursos ou melhoram seus domínios. O painel **Notificações** no console é a maneira mais fácil de ver se uma atualização está disponível ou verificar o status de uma atualização. Cada notificação inclui detalhes sobre a atualização do software de serviço. Todas as atualizações de software de serviço usam implantações azul/verde para minimizar o tempo de inatividade.
As atualizações do software do OpenSearch serviço são diferentes das atualizações da *versão do* serviço. Para obter informações sobre a atualização para uma versão posterior do OpenSearch Serviço, consulte[Atualizando domínios do Amazon OpenSearch Service](version-migration.md).
OpenSearch O serviço exige que você aplique as atualizações de software de serviço necessárias dentro de 30 dias de sua disponibilidade. Essas atualizações são essenciais para manter a conformidade de segurança.
Se você não aplicar as atualizações necessárias dentro do período de 30 dias, receberá notificações de lembrete a cada 15 dias durante 30 dias. Após esse período sem conformidade, seu domínio será isolado com os seguintes efeitos:
+ Todo o acesso de rede ao seu domínio é removido
+ O status do domínio muda para **isolado**
+ O domínio permanece inutilizável até que você aplique as atualizações necessárias
Durante o isolamento, você continuará recebendo notificações de lembretes a cada 15 dias por 60 dias. Se você não aplicar as atualizações necessárias dentro desse período, seu domínio do OpenSearch Serviço e todos os dados associados serão excluídos permanentemente. Para obter mais informações, consulte [Solução de problemas de erros de validação](managedomains-configuration-changes.md#validation).
## Atualizações opcionais x obrigatórias
OpenSearch O serviço tem duas grandes categorias de atualizações de software de serviço:
### Atualizações opcionais
As atualizações opcionais do software de serviço geralmente incluem aprimoramentos e suporte para novos atributos ou funcionalidades. As atualizações opcionais não são aplicadas aos seus domínios e não há um prazo fixo para instalá-las. A disponibilidade da atualização é comunicada por e-mail e uma notificação no console. Você pode optar por aplicar a atualização imediatamente ou reagendá-la para uma data e hora mais convenientes. Você também pode programá-la durante a [janela fora do horário de pico](off-peak.md) do domínio. A maioria das atualizações de software é opcional.
Independentemente de você agendar ou não uma atualização, se você fizer uma alteração no domínio que cause uma [implantação azul/verde](managedomains-configuration-changes.md), o OpenSearch Service atualizará automaticamente o software do serviço para você.
Você pode configurar seu domínio para aplicar automaticamente atualizações opcionais [fora do horário de pico.](off-peak.md) Quando essa opção está ativada, o OpenSearch Serviço espera pelo menos 13 dias a partir do momento em que uma atualização opcional está disponível e, em seguida, agenda a atualização após sete dias. Você recebe uma notificação do console quando a atualização é agendada e pode optar por reagendá-la para uma data posterior.
Para ativar as atualizações automáticas de software, selecione **Habilitar atualização automática de software** ao criar ou atualizar seu domínio. Para definir a mesma configuração usando o AWS CLI, `--software-update-options` defina como `true` quando você cria ou atualiza seu domínio.
### Atualizações necessárias
As atualizações obrigatórias de software de serviço geralmente incluem correções críticas de segurança ou outras atualizações indispensáveis para garantir a integridade e a funcionalidade contínuas do seu domínio. Exemplos de atualizações necessárias são as vulnerabilidades e exposições comuns do Log4j (CVEs) e a aplicação do serviço de metadados de instância versão 2 (). IMDSv2 O número de atualizações obrigatórias em um ano geralmente é menor que três.
OpenSearch O serviço agenda automaticamente essas atualizações e notifica você sete dias antes da atualização agendada por e-mail e uma notificação no console. Você pode optar por aplicar a atualização imediatamente ou reprogramá-la para uma data e hora mais convenientes *dentro do prazo permitido*. Você também pode programá-la durante a próxima [janela fora do horário de pico](off-peak.md) do domínio. Se você não tomar nenhuma ação em relação a uma atualização necessária e não fizer nenhuma alteração no domínio que cause uma blue/green implantação, o OpenSearch Serviço poderá iniciar a atualização a qualquer momento além do prazo especificado (normalmente 14 dias a partir da disponibilidade), dentro da janela fora de pico do domínio.
Independentemente de quando a atualização está agendada, se você fizer uma alteração no domínio que cause uma [implantação azul/verde](managedomains-configuration-changes.md), o OpenSearch Service atualizará automaticamente seu domínio para você.
## Atualizações de patch
Versões de software de serviço que terminam em “-P” e um número, como R20211203-, são lançamentos de patches. *P4* É provável que os patches incluam melhorias de performance, pequenas correções de bugs e correções de segurança ou melhorias de postura. As versões de patch não incluem novos atributos ou alterações significativas e geralmente não têm um impacto direto ou perceptível para os usuários. A notificação do software de serviço informa se a versão de um patch é opcional ou obrigatória.
## Considerações
Considere o seguinte ao decidir se deseja atualizar seu domínio:
+ A atualização manual do seu domínio permite aproveitar os novos recursos mais rapidamente. Quando você escolhe **Atualizar**, o OpenSearch Serviço coloca a solicitação em uma fila e inicia a atualização quando tiver tempo.
+ Quando você inicia uma atualização do software do OpenSearch serviço, o Serviço envia uma notificação quando a atualização é iniciada e concluída.
+ As atualizações de software usam blue/green implantações para minimizar o tempo de inatividade. As atualizações podem sobrecarregar temporariamente os nós principais dedicados de um cluster. Por isso, certifique-se de manter capacidade suficiente para lidar com a sobrecarga associada.
+ Normalmente, as atualizações são concluídas em minutos, mas também podem levar várias horas ou até dias se o sistema estiver lidando com muita carga. Considere atualizar seu domínio durante a [janela fora do horário de pico](off-peak.md) para evitar longos períodos de atualização.
## Iniciar uma atualização do software de serviço
Você pode solicitar uma atualização do software de OpenSearch serviço por meio do console de serviço AWS CLI, do ou de um dos SDKs.
### Console
**Solicitar uma atualização de software de serviço**
1. Abra o console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. Selecione o nome do domínio para abrir a configuração.
1. Escolha **Ações**, **Atualizar** e selecione uma das seguintes opções:
+ **Aplicar a atualização agora**: programa a ação para acontecer imediatamente, *se houver capacidade disponível*. Se a capacidade não estiver disponível, outros slots de horários disponíveis serão sugeridos.
+ **Agendar fora do horário de pico**: disponível somente se a janela fora do horário de pico estiver ativada para o domínio. Agenda a atualização para ocorrer durante a janela fora do horário de pico configurada do domínio. Não há garantia de que a atualização ocorrerá durante a próxima janela imediata. Dependendo da capacidade, isso pode acontecer nos dias subsequentes. Para saber mais, consulte [Agendamento de atualizações do software fora do horário de pico](#service-software-offpeak).
+ **Agendar para data e hora específicas** agenda a atualização para ocorrer em uma data e hora específicas. Se o horário especificado não estiver disponível por motivos de capacidade, você poderá selecionar um slot de horário diferente.
Se você agendar a atualização para uma data posterior (dentro ou fora da janela de horário de pico do domínio), poderá reagendá-la a qualquer momento. Para instruções, consulte [Ações de reagendamento](off-peak.md#off-peak-reschedule).
1. Selecione a opção **Confirmar**.
### AWS CLI
Envie uma [start-service-software-update](https://docs.aws.amazon.com/cli/latest/reference/opensearch/start-service-software-update.html) AWS CLI solicitação para iniciar uma atualização do software de serviço. Este exemplo adiciona a atualização à fila imediatamente:
```
aws opensearch start-service-software-update \
--domain-name my-domain \
--schedule-at "NOW"
```
**Resposta:**
```
{
"ServiceSoftwareOptions": {
"CurrentVersion": "R20220928-P1",
"NewVersion": "R20220928-P2",
"UpdateAvailable": true,
"Cancellable": true,
"UpdateStatus": "PENDING_UPDATE",
"Description": "",
"AutomatedUpdateDate": "1969-12-31T16:00:00-08:00",
"OptionalDeployment": true
}
}
```
**dica**
Depois de solicitar uma atualização, você tem um período de tempo limitado para cancelá-la. A duração desse `PENDING_UPDATE` estado pode variar muito e depende de você Região da AWS e do número de atualizações simultâneas que o OpenSearch Serviço está executando. Para cancelar uma atualização, use o console ou o `cancel-service-software-update` AWS CLI comando.
Se a solicitação falhar com uma `BaseException`, isso significa que o horário especificado não está disponível por motivos de capacidade e você deve especificar um horário diferente. OpenSearch O serviço fornece sugestões alternativas de slots disponíveis na resposta.
### AWS SDKs
Esse exemplo de script Python usa os métodos [describe\$1domain e start\$1service\$1software\$1update](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/opensearch.html#OpenSearchService.Client.describe_domain) [do AWS SDK para Python (Boto3) para verificar se um domínio está qualificado para uma atualização](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/opensearch.html#OpenSearchService.Client.start_service_software_update) do software de serviço e, em caso afirmativo, inicia a atualização. Você deve fornecer um valor para `domain_name`:
```
import boto3
from botocore.config import Config
import time
# Build the client using the default credential configuration.
# You can use the CLI and run 'aws configure' to set access key, secret
# key, and default region.
my_config = Config(
# Optionally lets you specify a Region other than your default.
region_name='us-east-1'
)
domain_name = '' # The name of the domain to check and update
client = boto3.client('opensearch', config=my_config)
def getUpdateStatus(client):
"""Determines whether the domain is eligible for an update"""
response = client.describe_domain(
DomainName=domain_name
)
sso = response['DomainStatus']['ServiceSoftwareOptions']
if sso['UpdateStatus'] == 'ELIGIBLE':
print('Domain [' + domain_name + '] is eligible for a service software update from version ' +
sso['CurrentVersion'] + ' to version ' + sso['NewVersion'])
updateDomain(client)
else:
print('Domain is not eligible for an update at this time.')
def updateDomain(client):
"""Starts a service software update for the eligible domain"""
response = client.start_service_software_update(
DomainName=domain_name
)
print('Updating domain [' + domain_name + '] to version ' +
response['ServiceSoftwareOptions']['NewVersion'] + '...')
waitForUpdate(client)
def waitForUpdate(client):
"""Waits for the domain to finish updating"""
response = client.describe_domain(
DomainName=domain_name
)
status = response['DomainStatus']['ServiceSoftwareOptions']['UpdateStatus']
if status == 'PENDING_UPDATE' or status == 'IN_PROGRESS':
time.sleep(30)
waitForUpdate(client)
elif status == 'COMPLETED':
print('Domain [' + domain_name +
'] successfully updated to the latest software version')
else:
print('Domain is not currently being updated.')
def main():
getUpdateStatus(client)
```
## Agendamento de atualizações do software fora do horário de pico
[Cada domínio do OpenSearch Serviço criado após 16 de fevereiro de 2023 tem uma janela diária de 10 horas entre 22h e 8h, horário local, que consideramos a janela fora de pico.](off-peak.md) OpenSearch O serviço usa essa janela para agendar atualizações do software do serviço para o domínio. As atualizações fora do pico ajudam a minimizar a sobrecarga nos nós principais dedicados de um cluster durante períodos de maior tráfego. OpenSearch O serviço não pode iniciar atualizações fora dessa janela de 10 horas sem o seu consentimento.
+ Para atualizações *opcionais*, o OpenSearch Serviço notifica você sobre a disponibilidade da atualização e solicita que você agende a atualização durante um próximo período fora de pico.
+ Para as atualizações *necessárias*, o OpenSearch Serviço agenda automaticamente a atualização durante uma próxima janela fora de pico e notifica você com três dias de antecedência. Você pode reagendar a atualização (dentro ou fora da janela de pico), mas somente dentro do prazo necessário para que a atualização seja concluída.
Para cada domínio, você pode optar por substituir o horário de início padrão das 22h por um horário personalizado. Para instruções, consulte [Configurar uma janela personalizada fora do horário de pico](off-peak.md#off-peak-custom).
### Console
**Como agendar uma atualização durante uma próxima janela fora do horário de pico**
1. Abra o console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home ).
1. Selecione o nome do domínio para abrir a configuração.
1. Escolha **Ações**, **Atualizar**.
1. Selecione **Agendar em uma janela fora do horário de pico.**
1. Selecione a opção **Confirmar**.
Você pode visualizar a ação agendada na guia **Janela fora do horário de pico** e reagendá-la a qualquer momento. Consulte [Exibir ações agendadas](off-peak.md#off-peak-view).
### CLI
Para agendar uma atualização durante uma próxima janela fora de pico usando o AWS CLI, envie uma [StartServiceSoftwareUpdate](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_StartServiceSoftwareUpdate.html)solicitação e especifique `OFF_PEAK_WINDOW` o `--schedule-at` parâmetro:
```
aws opensearch start-service-software-update \
--domain-name my-domain \
--schedule-at "OFF_PEAK_WINDOW"
```
## Monitoramento das atualizações de software de serviço
OpenSearch O serviço envia uma [notificação](managedomains-notifications.md) quando uma atualização do software do serviço está disponível, é necessária, iniciada, concluída ou falha. Você pode ver essas **notificações no painel Notificações** do console OpenSearch de serviço. A gravidade da notificação será `Informational` se a atualização for opcional e `High` se ela for necessária.
OpenSearch O serviço também envia eventos de software de serviço para a Amazon EventBridge. Você pode usar EventBridge para configurar regras que enviam um e-mail ou executam uma ação específica quando um evento é recebido. Para ver um exemplo de apresentação, consulte[Tutorial: Envio de alertas do Amazon SNS para atualizações de software disponíveis](sns-events.md).
Para ver o formato de cada evento de software de serviço enviado para a Amazon EventBridge, consulte[Eventos de atualização de software de serviço](monitoring-events.md#monitoring-events-sso).
## Quando os domínios não são elegíveis para uma atualização
Seu domínio poderá ser inelegível para um serviço de atualização de software se ele estiver em qualquer um dos seguintes estados:
| Estado | Description |
| --- | --- |
| Domínio no processamento | O domínio está no meio de uma mudança de configuração. Verifique a qualificação da atualização após a conclusão da operação. |
| Status de cluster vermelho | Um ou mais índices no cluster estão vermelhos. Para obter etapas sobre a solução de problemas, consulte [Status de cluster vermelho](handling-errors.md#handling-errors-red-cluster-status). |
| Alta taxa de erros | O OpenSearch cluster está retornando um grande número de 5 erros *xx* ao tentar processar solicitações. Geralmente, esse problema é resultado de muitas solicitações de leitura ou gravação simultâneas. Considere reduzir o tráfego para o cluster ou dimensionar seu domínio. |
| Cérebro dividido | *Cérebro dividido* significa que seu OpenSearch cluster tem mais de um nó principal e se dividiu em dois clusters que nunca se reunirão sozinhos. Você pode evitar dividir o cérebro usando o número recomendado de [nós principais dedicados](managedomains-dedicatedmasternodes.md). Para ajudar na recuperação do cérebro dividido, entre em contato com [Suporte](https://console.aws.amazon.com/support/home). |
| Problema de integração do Amazon Cognito | Seu domínio usa [autenticação para OpenSearch painéis](cognito-auth.md), e o OpenSearch Service não consegue encontrar um ou mais recursos do Amazon Cognito. Este problema normalmente ocorre quando o grupo de usuários do Amazon Cognito está ausente. Para corrigir o problema, recrie o recurso ausente e configure o domínio do OpenSearch serviço para usá-lo. |
| Outro problema de serviço do | Problemas com o OpenSearch serviço em si podem fazer com que seu domínio seja exibido como inelegível para uma atualização. Se nenhuma das condições anteriores se aplicar ao seu domínio e o problema persistir por mais de um dia, entre em contato com o [Suporte](https://console.aws.amazon.com/support/home). |
# Definindo períodos fora de pico para o Amazon Service OpenSearch
Ao criar um domínio do Amazon OpenSearch Service, você define uma janela diária de 10 horas que é considerada *fora do horário de pico*. OpenSearch O serviço usa essa janela para agendar atualizações de software de serviço e otimizações de ajuste automático que exigem uma [implantação azul/verde](managedomains-configuration-changes.md) durante períodos de tráfego comparativamente mais baixos, sempre que possível. Blue/green refere-se ao processo de criação de um novo ambiente para atualizações de domínio e roteamento de usuários para o novo ambiente após a conclusão dessas atualizações.
Embora blue/green as implantações não causem interrupções, para minimizar qualquer [impacto potencial no desempenho](managedomains-configuration-changes.md#initiating-tracking-configuration-changes) enquanto os recursos estão sendo consumidos para uma blue/green implantação, recomendamos que você agende essas implantações durante a janela fora de pico configurada do domínio. Atualizações como substituições de nós ou que precisem ser implantadas no domínio imediatamente não usam a janela fora do horário de pico.
Você pode modificar a hora de início da janela fora do horário de pico, mas não pode modificar o comprimento da janela.
**nota**
As janelas fora do horário de pico foram introduzidas em 16 de fevereiro de 2023. Todos os domínios criados antes dessa data têm a janela fora do horário de pico desativada por padrão. Você deve ativar e configurar manualmente a janela fora do horário de pico para esses domínios. Todos os domínios criados *após* essa data terão a janela fora do horário de pico ativada por padrão. Você não pode desativar a janela fora do horário de pico de um domínio depois que ela for ativada.
## Atualizações de software de serviço fora do horário de pico
OpenSearch O serviço tem duas grandes categorias de atualizações de software de serviço — *opcionais* e *obrigatórias*. Ambos os tipos exigem blue/green implantações. As atualizações opcionais não são aplicadas em seus domínios, enquanto as atualizações obrigatórias são instaladas automaticamente se você não realizar nenhuma ação antes do prazo especificado (normalmente duas semanas após a disponibilidade). Para saber mais, consulte [Atualizações opcionais x obrigatórias](service-software.md#service-software-optional-required).
Ao iniciar uma atualização *opcional*, você tem a opção de aplicá-la imediatamente, programá-la para uma janela subsequente fora do horário de pico ou especificar uma data e hora personalizadas.
![\[Software update dialog with options to apply now, schedule off-peak, or set specific time.\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/images/off-peak-sso.png)
Para as atualizações *necessárias*, o OpenSearch Serviço agenda automaticamente uma data e hora fora do horário de pico para realizar a atualização. Você recebe uma notificação três dias antes da atualização agendada e pode optar por reagendá-la para uma data e hora posteriores dentro do período de implantação necessário. Para instruções, consulte [Ações de reagendamento](#off-peak-reschedule).
## Otimizações do Auto-Tune fora do horário de pico
Anteriormente, o Auto-Tune usava [janelas de manutenção](auto-tune-schedule.md) para programar mudanças que exigiam uma blue/green implantação. Os domínios que já tinham o ajuste automático e as janelas de manutenção ativadas antes da introdução das janelas fora do horário de pico continuarão usando janelas de manutenção para essas atualizações, a menos que você os migre para usar a janela fora do horário de pico.
Recomendamos que você migre seus domínios para usar a janela fora do horário de pico, pois ela é usada para agendar outras atividades no domínio, como atualizações de software de serviço. Para instruções, consulte [Migração das janelas de manutenção do Auto-Tune](#off-peak-migrate). Você não pode voltar a usar as janelas de manutenção depois de migrar seu domínio para a janela fora do horário de pico.
Todos os domínios criados após 16 de fevereiro de 2023 usarão a janela fora do pico, em vez das janelas de manutenção legadas, para agendar blue/green implantações. Você não pode desativar a janela fora do horário de pico de um domínio. Para obter uma lista de otimizações do Auto-Tune que exigem implantações azul/verde, consulte [Tipos de alterações](auto-tune.md#auto-tune-types).
## Ativar a janela fora do horário de pico
Todos os domínios criados antes de 16 de fevereiro de 2023 (quando os períodos fora do horário de pico foram introduzidos) têm o atributo desativado por padrão. Você deve habilitá-lo manualmente para esses domínios. Você não pode desativar a janela fora do horário de pico depois de ativada.
### Console
**Para ativar a janela fora do horário de pico de um domínio**
1. Abra o console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home ).
1. Selecione o nome do domínio para abrir a configuração.
1. Navegue até a guia **Janela fora do horário de pico** e escolha **Editar**.
1. Especifique o horário de início customizado em Tempo Universal Coordenado (UTC). **Por exemplo, para configurar um horário de início às 23h30 na região Oeste dos EUA (Oregon), especifique 07h30**
1. Escolha **Salvar alterações**.
### CLI
Para modificar a janela fora do pico usando o AWS CLI, envie uma [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)solicitação:
```
aws opensearch update-domain-config \
--domain-name my-domain \
--off-peak-window-options 'Enabled=true, OffPeakWindow={WindowStartTime={Hours=02,Minutes=00}}'
```
Se você não especificar um horário de início de janela personalizado, o padrão será 0h UTC.
## Configurar uma janela personalizada fora do horário de pico
Você especifica uma janela personalizada fora do horário de pico para o domínio de acordo com o fuso horário UTC (Tempo Universal Coordenado). Por exemplo, se você quiser que o período comece às 23h para um domínio na região leste dos EUA (Norte da Virgínia), você deverá especificar às 04h UTC.
### Console
**Para modificar a janela fora do horário de pico de um domínio**
1. Abra o console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home ).
1. Selecione o nome do domínio para abrir a configuração.
1. Navegue até a guia **Janela fora do horário de pico**. Você pode ver a janela fora do horário de pico configurada, além de uma lista das próximas ações agendadas para o domínio.
1. Escolha **Editar** e especifique um novo horário de início em UTC. Por exemplo, para configurar um horário de início às 21h na região leste dos EUA (Norte da Virginia), especifique **02h** UCT.
1. Escolha **Salvar alterações**.
### CLI
Para configurar uma janela personalizada fora do horário de pico usando o AWS CLI, envie uma [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)solicitação e especifique a hora e o minuto no formato de 24 horas.
Por exemplo, a solicitação a seguir altera o horário de início da janela para 2h da manhã UTC:
```
aws opensearch update-domain-config \
--domain-name my-domain \
--off-peak-window-options 'OffPeakWindow={WindowStartTime={Hours=02,Minutes=00}}'
```
Se você não especificar o horário de início da janela, o padrão é 22h, horário local, na Região da AWS aonde o domínio foi criado.
## Exibir ações agendadas
Você pode ver todas as ações agendadas, em andamento ou pendentes atualmente para cada um dos seus domínios. As ações podem ter uma severidade de `HIGH`, `MEDIUM` e `LOW`.
As ações podem ter os seguintes status:
+ `Pending update`: a ação está na fila para ser processada.
+ `In progress`: a ação está em andamento.
+ `Failed` – a operação não foi concluída.
+ `Completed` – a ação foi concluída com êxito.
+ `Not eligible`: somente para atualizações de software de serviço. A atualização não pode ser continuada porque o cluster não está íntegro.
+ `Eligible`: somente para atualizações de software de serviço. O domínio está qualificado para uma atualização.
### Console
O console OpenSearch de serviço exibe todas as ações agendadas na configuração do domínio, junto com a gravidade e o status atual de cada ação.
**Como ver ações agendadas para um domínio**
1. Abra o console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home ).
1. Selecione o nome do domínio para abrir a configuração.
1. Navegue até a guia **Janela fora do horário de pico**.
1. Em **Ações agendadas**, visualize todas as ações atualmente agendadas, em andamento ou pendentes no domínio.
### CLI
Para ver as ações agendadas usando o AWS CLI, envie uma [ListScheduledActions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_ListScheduledActions.html)solicitação:
```
aws opensearch list-scheduled-actions \
--domain-name my-domain
```
**Resposta:**
```
{
"ScheduledActions": [
{
"Cancellable": true,
"Description": "The Deployment type is : BLUE_GREEN.",
"ID": "R20220721-P13",
"Mandatory": false,
"Severity": "HIGH",
"ScheduledBy": "CUSTOMER",
"ScheduledTime": 1.673871601E9,
"Status": "PENDING_UPDATE",
"Type": "SERVICE_SOFTWARE_UPDATE",
},
{
"Cancellable": true,
"Description": "Amazon Opensearch will adjust the young generation JVM arguments on your domain to improve performance",
"ID": "Auto-Tune",
"Mandatory": true,
"Severity": "MEDIUM",
"ScheduledBy": "SYSTEM",
"ScheduledTime": 1.673871601E9,
"Status": "PENDING_UPDATE",
"Type": "JVM_HEAP_SIZE_TUNING",
}
]
}
```
## Ações de reagendamento
OpenSearch O serviço notifica você sobre atualizações programadas do software de serviço e otimizações do Auto-Tune. Você pode optar por aplicar a alteração imediatamente ou reprogramá-la para uma data e hora posteriores.
**nota**
OpenSearch O serviço pode agendar a ação dentro de uma hora a partir do horário selecionado. Por exemplo, se você optar por aplicar uma atualização às 17h, ela poderá acontecer entre 17h e 18h.
### Console
**Como reagendar uma ação**
1. Abra o console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home ).
1. Selecione o nome do domínio para abrir a configuração.
1. Navegue até a guia **Janela fora do horário de pico**.
1. Selecione **Ações agendadas**, escolha a ação e, depois, escola **Reagendar**.
1. Escolha uma das seguintes opções:
+ **Aplicar a atualização agora**: programa a ação para acontecer imediatamente, *se houver capacidade disponível*. Se a capacidade não estiver disponível, outros slots de horários disponíveis serão sugeridos.
+ **Programar para fora do horário de pico**: agenda a ação para ser iniciada durante uma próxima janela fora do horário de pico. Não há garantia de que a alteração será implementada imediatamente na próxima janela. Dependendo da capacidade, isso pode acontecer nos dias subsequentes.
+ **Reagendar esta atualização**: permite especificar uma data e hora personalizadas para aplicar a alteração. Se o horário especificado não estiver disponível por motivos de capacidade, você poderá selecionar um slot de horário diferente.
+ **Cancelar atualização agendada**: cancela a atualização. Essa opção só estará disponível para atualizações opcionais de software de serviço. Ela não está disponível para ações de ajuste automático ou atualizações obrigatórias de software.
1. Escolha **Salvar alterações**.
### CLI
Para reagendar uma ação usando o AWS CLI, envie uma solicitação. [UpdateScheduledAction](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateScheduledAction.html) Para recuperar o ID da ação, envie uma solicitação `ListScheduledActions`.
A solicitação a seguir reagenda uma atualização do software de serviço para uma data e hora específicas:
```
aws opensearch update-scheduled-action \
--domain-name my-domain \
--action-id R20220721-P13 \
--action-type "SERVICE_SOFTWARE_UPDATE" \
--desired-start-time 1677348395000 \
--schedule-at TIMESTAMP
```
**Resposta:**
```
{
"ScheduledAction": {
"Cancellable": true,
"Description": "Cluster status is updated.",
"Id": "R20220721-P13",
"Mandatory": false,
"ScheduledBy": "CUSTOMER",
"ScheduledTime": 1677348395000,
"Severity": "HIGH",
"Status": "PENDING_UPDATE",
"Type": "SERVICE_SOFTWARE_UPDATE"
}
}
```
Se a solicitação falhar com um`SlotNotAvailableException`, isso significa que o horário especificado não está disponível por motivos de capacidade e você deve especificar um horário diferente. OpenSearch O serviço fornece sugestões alternativas de slots disponíveis na resposta.
## Migração das janelas de manutenção do Auto-Tune
Se um domínio foi criado antes de 16 de fevereiro de 2023, ele poderia usar [janelas de manutenção](auto-tune-schedule.md) para agendar otimizações de ajuste automático que exigem uma implantação. blue/green Em vez disso, você pode migrar seus domínios do Auto-Tune existentes para usar a janela fora do horário de pico.
**nota**
Você não pode voltar a usar janelas de manutenção depois de migrar seu domínio para usar janelas fora do horário de pico.
### Console
**Como migrar um domínio para usar a janela fora do horário de pico**
1. No console do Amazon OpenSearch Service, selecione o nome do domínio para abrir sua configuração.
1. Vá até a guia **Auto-Tune** e escolha **Editar**.
1. Selecione **Migrar para a janela fora do horário de pico**.
1. Em **Hora de início (UTC)**, forneça uma hora de início diária para a janela fora do horário de pico de acordo com o Horário Universal Coordenado (UTC).
1. Escolha **Salvar alterações**.
### CLI
Para migrar de uma janela de manutenção do Auto-Tune para a janela fora de pico usando o AWS CLI, envie uma solicitação: [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)
```
aws opensearch update-domain-config \
--domain-name my-domain \
--auto-tune-options DesiredState=ENABLED,UseOffPeakWindow=true,MaintenanceSchedules=[]
```
A janela fora do horário de pico deve estar ativada para que você possa migrar um domínio da janela de manutenção do Auto-Tune para a janela fora do horário de pico. Você pode ativar a janela fora do horário de pico em uma solicitação separada ou na mesma solicitação. Para instruções, consulte [Ativar a janela fora do horário de pico](#off-peak-enable).
# Notificações no Amazon OpenSearch Service
As notificações no Amazon OpenSearch Service contêm informações importantes sobre o desempenho e a integridade de seus domínios. OpenSearch O serviço notifica você sobre atualizações de software de serviço, aprimoramentos do Auto-Tune, eventos de integridade do cluster e erros de domínio. As notificações estão disponíveis para todas as versões do OpenSearch Elasticsearch OSS.
Você pode ver as **notificações no painel Notificações** do console OpenSearch de serviço. Todas as notificações do OpenSearch Serviço também são exibidas na [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html). Para obter uma lista completa de notificações e exemplos de eventos, consulte [Eventos do OpenSearch Serviço de Monitoramento com a Amazon EventBridge](monitoring-events.md).
## Conceitos básicos das notificações
As notificações são ativadas automaticamente quando você cria um domínio. Acesse o painel **Notificações** do console de OpenSearch serviço para monitorar e reconhecer as notificações. Cada notificação inclui informações como a hora em que foi publicada, o domínio ao qual se relaciona, um nível de gravidade e status e uma breve explicação. Você pode exibir notificações históricas por até 90 dias no console.
Depois de acessar o painel **Notifications** (Notificações) ou confirmar uma notificação, você pode receber uma mensagem de erro sobre não ter permissões para executar `es:ListNotificationsV2` ou `es:UpdateNotificationStatus`. Para resolver esse problema, dê ao usuário ou função as seguintes permissões no IAM:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"es:DescribeDomain",
"es:ListDomainNames"
],
"Resource": "arn:aws:es:*:111122223333:domain/*"
}]
}
```
------
O console do IAM gera um erro (“O IAM não reconhece uma ou mais ações.”) que você pode ignorar com segurança. Você também pode restringir a ação `es:UpdateNotificationStatus` a determinados domínios. Para saber mais, consulte [Referência de elementos da política](ac.md#ac-reference).
## Gravidades das notificações
As notificações no OpenSearch Serviço podem ser *informativas*, relacionadas a qualquer ação que você já tenha realizado ou às operações do seu domínio, ou *acionáveis*, que exigem que você execute ações específicas, como a aplicação de um patch de segurança obrigatório. Cada notificação tem uma gravidade associada a ela, que pode ser `Informational`, `Low`, `Medium`, `High` ou `Critical`. A tabela a seguir resume cada gravidade:
| Gravidade | Description | Exemplos |
| --- | --- | --- |
| Informational | Informações relacionadas à operação do seu domínio. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/managedomains-notifications.html) |
| Low | Uma ação recomendada, mas que não tem impacto negativo na disponibilidade ou na performance do domínio se nenhuma ação for tomada. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/managedomains-notifications.html) |
| Medium | Poderá haver um impacto se a ação recomendada não for executada, mas oferece uma janela de tempo estendida para que a ação seja executada. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/managedomains-notifications.html) |
| High | Uma ação urgente é necessária para evitar impactos adversos. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/managedomains-notifications.html) |
| Critical | Uma ação imediata é necessária para evitar impactos adversos ou se recuperar deles. | Nenhum disponível no momento |
## Exemplo de EventBridge evento
O exemplo a seguir mostra um evento OpenSearch de notificação de serviço enviado para a Amazon EventBridge. A notificação tem gravidade de `Informational` porque a atualização é opcional:
```
{
"version": "0",
"id": "01234567-0123-0123-0123-012345678901",
"detail-type": "Amazon OpenSearch Service Software Update Notification",
"source": "aws.es",
"account": "123456789012",
"time": "2016-11-01T13:12:22Z",
"region": "us-east-1",
"resources": ["arn:aws:es:us-east-1:123456789012:domain/test-domain"],
"detail": {
"event": "Service Software Update",
"status": "Available",
"severity": "Informational",
"description": "Service software update [R20200330-p1] available."
}
}
```
# Configurando um domínio Multi-AZ no Amazon Service OpenSearch
Para evitar a perda de dados e minimizar o tempo de inatividade do cluster Amazon OpenSearch Service em caso de interrupção do serviço, você pode distribuir nós em duas ou três *zonas de disponibilidade* na mesma região, uma configuração conhecida como Multi-AZ. As zonas de disponibilidade são locais isolados em cada AWS região.
Para domínios que executam workloads de produção, recomendamos a opção de implantação multi-AZ com modo de espera, que cria a seguinte configuração:
+ Domínio implementado em três zonas.
+ Tipos de instância da geração atual para os nós principais dedicados e nós de dados.
+ Três nós principais dedicados e três (ou um múltiplo de três) nós de dados.
+ Pelo menos duas réplicas para cada índice no seu domínio ou um múltiplo de três cópias de dados (incluindo nós primários e réplicas).
O restante desta seção fornece explicações e contexto para estas configurações.
## Multi-AZ com modo de espera
O Multi-AZ with Standby é uma opção de implantação para domínios do Amazon OpenSearch Service que oferece disponibilidade de 99,99%, desempenho consistente para cargas de trabalho de produção e configuração e gerenciamento simplificados de domínio. Quando você usa o multi-AZ com modo de espera, os domínios são resilientes a falhas de infraestrutura, sem impacto no desempenho ou na disponibilidade. Essa opção de implantação atinge esse padrão ao exigir várias práticas recomendadas, como uma contagem especificada de nós de dados, contagem de nós principais, tipo de instância, contagem de réplicas, configurações de atualização de software e ajuste automático ativado.
**nota**
O Multi-AZ com Standby está disponível para a OpenSearch versão 1.3 e superior e requer regiões com pelo menos três zonas de disponibilidade.
Quando você usa o Multi-AZ com o Standby, o OpenSearch Service cria um domínio em três zonas de disponibilidade, com cada zona contendo uma cópia completa dos dados e com os dados distribuídos igualmente em cada uma das zonas. Seu domínio reserva nós em uma dessas zonas como modo de espera, o que significa que eles não atendem a solicitações de pesquisa. Quando o OpenSearch Serviço detecta uma falha na infraestrutura subjacente, ele ativa automaticamente os nós em espera em menos de um minuto. O domínio continua atendendo às solicitações de indexação e pesquisa, e qualquer impacto é limitado ao tempo necessário para realizar o failover. Não há redistribuição de dados ou recursos, o que resulta em desempenho inalterado do cluster e sem risco de redução da disponibilidade. O multi-AZ com modo de espera está disponível sem custo adicional.
Você tem duas opções para criar um domínio com modo de espera no Console de gerenciamento da AWS. Primeiro, você pode criar um domínio com o método de criação **fácil**, e o OpenSearch Serviço usará automaticamente uma configuração predeterminada, que inclui o seguinte:
+ Três zonas de disponibilidade, com uma atuando como reserva
+ Três nós principais e nós de dados dedicados
+ Ajuste automático ativado no domínio
+ GP3 armazenamento para os nós de dados
Você também pode escolher o método **Criação padrão** e selecionar **Domínio com modo de espera** como sua opção de implantação. Isso permite que você personalize seu domínio e, ao mesmo tempo, exija os principais atributos do modo de espera, como três zonas e três nós principais. Recomendamos escolher uma contagem de nós de dados que seja múltipla de três (o número de zonas de disponibilidade).
Depois de criar seu domínio, você pode navegar até as páginas de detalhes do domínio e, na guia **Configuração do cluster**, confirmar se *3-AZ com espera* aparece em Zona(s) de Disponibilidade.
Se você tiver problemas ao migrar um domínio existente para o multi-AZ com modo de espera, consulte [Erro ao migrar para o multi-AZ com modo de espera](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/handling-errors.html#troubleshooting-multi-az-standby) no guia de solução de problemas.
### Limitações
Ao configurar um domínio com multi-AZ com modo de espera, considere as seguintes limitações:
+ O número total de fragmentos em um nó não pode exceder 1.000, o número total de fragmentos em um cluster não pode exceder 75.000 e o tamanho de um único fragmento não pode exceder 65 GB.
+ O Multi-AZ com Standby funciona somente com os `c5` tipos`m5`,`r5`,`r6g`,`c6g`,`m6g`,`r6gd`,`r7g`,`c7g`, `m7g``r7gd`, e de `i3` instância. Para saber mais sobre instâncias compatíveis, consulte [Tipos de instância compatíveis](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html).
+ Você só pode usar SSD provisionado, IOPs SSD de uso geral (GP3) ou armazenamento baseado em instância com espera.
+ Se você habilitar [UltraWarm](ultrawarm.md)em um domínio Multi-AZ com Standby, o número de nós quentes deverá ser um múltiplo do número de zonas de disponibilidade que estão sendo usadas.
## Multi-AZ sem modo de espera
OpenSearch O serviço ainda oferece suporte ao Multi-AZ sem o modo de espera, o que oferece 99,9% de disponibilidade. Os nós são distribuídos em zonas de disponibilidade, e a disponibilidade depende do número de zonas de disponibilidade e cópias dos dados. Enquanto no modo de espera você precisa configurar seu domínio com as melhores práticas, sem o modo de espera você pode escolher seu próprio número de zonas de disponibilidade, nós e réplicas. Não recomendamos essa opção, a menos que você tenha fluxos de trabalho existentes que seriam interrompidos pela criação de domínios em espera.
Se você escolher essa opção, ainda recomendamos que você selecione três zonas de disponibilidade para permanecer resiliente a falhas de nó, disco e single-AZ. Quando ocorre uma falha, o cluster redistribui os dados pelos recursos restantes para manter a disponibilidade e a redundância. Essa movimentação de dados aumenta o uso de recursos no cluster e pode ter um impacto no desempenho. Se o cluster não for dimensionado adequadamente, ele poderá ter uma disponibilidade reduzida, o que, em grande parte, anula o propósito do multi-AZ.
A única maneira de configurar um domínio sem espera no Console de gerenciamento da AWS é escolher o método de **criação padrão** e selecionar **Domínio sem espera** como sua opção de implantação.
### Distribuição de fragmentos
Se habilitar Multi-AZ sem standby, você deverá ter pelo menos uma réplica para cada índice no cluster. Sem réplicas, o OpenSearch Serviço não pode distribuir cópias dos seus dados para outras zonas de disponibilidade. Felizmente, a configuração padrão para qualquer índice é uma contagem de réplica de 1. Como mostra o diagrama a seguir, o OpenSearch Service se esforça ao máximo para distribuir os fragmentos primários e seus fragmentos de réplica correspondentes em diferentes zonas.
![\[Diagram showing three Zonas de disponibilidade, each with primary and replica shards distributed across them.\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/images/za-3-az.png)
Além de distribuir fragmentos por zona de disponibilidade, o OpenSearch Service os distribui por nó. Ainda assim, determinadas configurações de domínio podem resultar em contagens de fragmentos desequilibradas. Considere o seguinte domínio:
+ 5 nós de dados
+ 5 fragmentos principais
+ 2 réplicas
+ 3 zonas de disponibilidade
Nessa situação, o OpenSearch serviço precisa sobrecarregar um nó para distribuir os fragmentos primários e de réplica pelas zonas, conforme mostrado no diagrama a seguir.
![\[Diagram showing distribution of primary and replica shards across three availability zones.\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/images/za-3-az-imbal.png)
Para evitar esses tipos de situações, que podem sobrecarregar nós individuais e afetar a performance, recomendamos selecionar multi-AZ com modo de espera ou uma contagem de instâncias que seja um múltiplo de três quando você planejar ter duas ou mais réplicas por índice.
### Distribuição de nó principal dedicado
Mesmo que você selecione duas zonas de disponibilidade ao configurar seu domínio, o OpenSearch serviço distribui automaticamente [nós mestres dedicados](managedomains-dedicatedmasternodes.md) em três zonas de disponibilidade. Essa distribuição ajuda a evitar tempo de inatividade do cluster se uma zona sofrer uma interrupção de serviço. Se você usar os três nós principais dedicados recomendados e uma zona de disponibilidade ficar inativa, seu cluster ainda terá um quorum (2) de nós principais dedicados e poderá selecionar um novo principal. O diagrama a seguir demonstra essa configuração.
![\[Diagram showing distribution of primary and replica nodes across three Zonas de disponibilidade.\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/images/za-2-az.png)
Se você escolher um tipo de instância de gerações anteriores que não esteja disponível nas três zonas de disponibilidade, os seguintes cenários se aplicam:
+ Se você escolher três zonas de disponibilidade para o domínio, o OpenSearch serviço gerará um erro. Escolha um tipo de instância diferente e tente novamente.
+ Se você escolher duas zonas de disponibilidade para o domínio, o OpenSearch Serviço distribuirá os nós principais dedicados em duas zonas.
## Interrupções na zona de disponibilidade
As interrupções na zona de disponibilidade são raras, mas ocorrem. A tabela a seguir relaciona diferentes configurações de Multi-AZ e comportamentos durante uma interrupção. A última linha na tabela se aplica ao multi-AZ com modo de espera, enquanto todas as outras linhas têm configurações que se aplicam somente ao multi-AZ sem modo de espera.
| Número de zonas de disponibilidade em uma região | Número de zonas de disponibilidade que você escolheu | Número de nós principais dedicados | Comportamento se uma zona de disponibilidade apresentar uma interrupção |
| --- | --- | --- | --- |
| 2 ou mais | 2 | 0 | Tempo de inatividade. Seu cluster perde metade dos seus nós de dados e deve substituir pelo menos um na zona de disponibilidade restante antes que possa escolher um principal. |
| 2 | 2 | 3 | 50/50 de chance de inatividade. OpenSearch O serviço distribui dois nós principais dedicados em uma zona de disponibilidade e um na outra: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/managedomains-multiaz.html) |
| 3 ou mais | 2 | 3 | Sem tempo de inatividade. OpenSearch O serviço distribui automaticamente os nós principais dedicados em três zonas de disponibilidade, para que os dois nós principais dedicados restantes possam eleger um mestre. |
| 3 ou mais | 3 | 0 | Sem tempo de inatividade. Aproximadamente, dois terços dos seus nós de dados ainda estão disponíveis para escolher um principal. |
| 3 ou mais | 3 | 3 | Sem tempo de inatividade. Os dois nós principais dedicados restantes podem escolher um principal. |
Em *todas as* configurações, independentemente da causa, as falhas nos nós podem fazer com que os nós de dados restantes do cluster passem por um período de maior carga, enquanto o OpenSearch Serviço configura automaticamente novos nós para substituir os que estão faltando.
Por exemplo, no caso de uma falha na zona de disponibilidade em uma configuração de três zonas, dois terços dos nós de dados terão que processar várias solicitações para o cluster. Conforme eles processam essas solicitações, os nós restantes também estão replicando fragmentos para novos nós à medida que ficam online, o que pode afetar ainda mais a performance. Se a disponibilidade for essencial para sua workload, considere a adição de recursos ao seu cluster para diminuir essa preocupação.
**nota**
OpenSearch O serviço gerencia domínios Multi-AZ de forma transparente, para que você não possa simular manualmente interrupções na zona de disponibilidade.
# Lançamento de seus domínios OpenSearch do Amazon Service em uma VPC
Você pode lançar AWS recursos, como domínios do Amazon OpenSearch Service, em uma *nuvem privada virtual* (VPC). Uma VPC é uma rede virtual dedicada à sua. Conta da AWSÉ logicamente isolado de outras redes virtuais na AWS nuvem. A colocação OpenSearch de um domínio de serviço em uma VPC permite a comunicação segura entre o OpenSearch serviço e outros serviços dentro da VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro na nuvem. AWS
**nota**
Se você colocar seu domínio OpenSearch de serviço em uma VPC, seu computador deverá ser capaz de se conectar à VPC. Essa conexão geralmente assume a forma de VPN, gateway de transito, rede gerenciada ou servidor de proxy. Você não pode acessar seus domínios diretamente de fora da VPC.
## VPC versus domínios públicos
A seguir estão algumas das maneiras pelas quais os domínios da VPC diferem dos domínios públicos. Cada diferença é descrita posteriormente em mais detalhes.
+ Devido ao seu isolamento lógico, os domínios que residem em uma VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos.
+ Embora os domínios públicos sejam acessíveis a partir de qualquer dispositivo conectado à Internet, os domínios da VPC exigem alguma forma de VPN ou proxy.
+ Em comparação com domínios públicos, domínios VPC exibem menos informações no console do . Especificamente, a guia **Cluster health** (Integridade do cluster) não inclui informações de fragmentos, e a guia **Indexes** (Índices) não está presente.
+ Os endpoits de domínio assumem formas diferentes (`https://search-domain-name` vs. `https://vpc-domain-name`).
+ Não é possível aplicar políticas de acesso baseadas em IP aos domínios que residem em uma VPC porque o grupo de segurança já impõe políticas de acesso baseadas em IP.
## Limitações
Operar um domínio de OpenSearch serviço em uma VPC tem as seguintes limitações:
+ Se você executar um novo domínio de uma VPC, não será possível alternar posteriormente para um endpoint público. O inverso também é verdadeiro: se você criar um domínio com um endpoint público, não será possível colocá-lo em uma VPC. Em vez disso, é necessário criar um novo domínio e migrar seus dados.
+ Você pode iniciar seu domínio de uma VPC ou usar um endpoint público, mas não pode fazer ambos. Você deve escolher uma opção ou outra ao criar seu domínio.
+ Você não pode iniciar seu domínio em uma VPC que usa locação dedicada. É necessário usar uma VPC com locação definida como **Padrão**.
+ Após colocar um domínio dentro de uma VPC, não será possível movê-lo para uma VPC diferente, mas será possível alterar as sub-redes e as configurações do grupo de segurança.
+ Para acessar a instalação padrão dos OpenSearch painéis para um domínio que reside em uma VPC, os usuários devem ter acesso à VPC. Esse processo varia de acordo com a configuração de rede, mas geralmente envolve a conexão a uma VPN ou rede gerenciada ou o uso de um servidor de proxy ou gateway de trânsito. Para saber mais, consulte [Sobre políticas de acesso em domínios da VPC](#vpc-security), o [Manual do usuário da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/) e o [Controlar acesso ao Dashboards](dashboards.md#dashboards-access).
## Arquitetura
Para dar suporte VPCs, o OpenSearch Service coloca um endpoint em uma, duas ou três sub-redes da sua VPC. Se você habilitar [várias zonas de disponibilidade](managedomains-multiaz.md) para seu domínio, cada sub-rede deverá estar em uma zona de disponibilidade diferente na mesma região. Se você usar apenas uma zona de disponibilidade, o OpenSearch Service colocará um endpoint em apenas uma sub-rede.
A ilustração a seguir mostra a arquitetura da VPC para uma zona de disponibilidade:
![\[VPC architecture showing subnet with security group connecting to OpenSearch Service data nodes.\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/images/VPCNoZoneAwareness.png)
A ilustração a seguir mostra a arquitetura da VPC para duas zonas de disponibilidade:
![\[VPC architecture with two Zonas de disponibilidade, showing security groups, data nodes, and master nodes.\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/images/VPCZoneAwareness.png)
OpenSearch O serviço também coloca uma *interface de rede elástica* (ENI) na VPC para cada um dos seus nós de dados. OpenSearch O serviço atribui a cada ENI um endereço IP privado do intervalo de IPv4 endereços da sua sub-rede. O serviço também atribui um nome de host DNS público (que é o endpoint de domínio) aos endereços IP. Você deve usar um serviço de DNS público para resolver o endpoint (que é um nome de host DNS) para os endereços IP apropriados dos nós de dados:
+ Se sua VPC usar o servidor DNS fornecido pela Amazon definindo a `enableDnsSupport` opção como `true` (o valor padrão), a resolução para o endpoint do OpenSearch serviço será bem-sucedida.
+ Se sua VPC usa um servidor DNS privado e o servidor pode acessar os servidores DNS públicos autoritativos para resolver nomes de host DNS, a resolução para o endpoint de serviço também será bem-sucedida. OpenSearch
Como os endereços IP podem mudar, você deve resolver o endpoint do domínio periodicamente para que sempre possa acessar os nós de dados corretos. Recomendamos que você defina o intervalo de resolução do DNS para um minuto. Se você estiver usando um cliente, também deve garantir que o cache do DNS no cliente seja limpo.
### Migração do acesso público para o acesso via VPC
Ao criar um domínio, você especifica se deve haver um endpoint público ou residir em uma VPC. Após ter sido criado, você não poderá mudar de um para o outro. Em vez disso, você deve criar um novo domínio e reindexar ou migrar manualmente seus dados. Os snapshots representam uma maneira conveniente de migração de dados. Para obter informações sobre a realização e restauração de snapshots, consulte [Criação de instantâneos de índice no Amazon Service OpenSearch](managedomains-snapshots.md).
### Sobre políticas de acesso em domínios da VPC
Colocar seu domínio de OpenSearch serviço em uma VPC fornece uma camada de segurança forte e inerente. Quando você cria um domínio com acesso público, o endpoint é composto da seguinte forma:
```
https://search-domain-name-identifier.region.es.amazonaws.com
```
Como o rótulo “público” sugere, esse endpoint é acessível de qualquer dispositivo conectado à Internet, embora você possa (e deva) [controlar o acesso a ele](ac.md). Se você acessar o endpoint em um navegador da Web, poderá receber uma mensagem `Not Authorized`, mas a solicitação atingirá o domínio.
Quando você cria um domínio com acesso à VPC, o endpoint *se assemelha* a um endpoint público:
```
https://vpc-domain-name-identifier.region.es.amazonaws.com
```
Se você tentar acessar o endpoint em um navegador da Web, no entanto, poderá descobrir que a solicitação está ultrapassando o tempo limite. Para executar até mesmo solicitações `GET` básicas, seu computador deve ser capaz de se conectar à VPC. Essa conexão geralmente assume a forma de VPN, gateway de transito, rede gerenciada ou servidor de proxy. Para obter detalhes sobre as várias formas que podem ser apresentadas, consulte [Exemplos de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenarios.html) no *Manual do usuário da Amazon VPC*. Para obter um exemplo focalizado em desenvolvimento, consulte [Teste dos domínios da VPC](#vpc-test).
Além desse requisito de conectividade, VPCs permita que você gerencie o acesso ao domínio por meio de [grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html). Para muitos casos de uso, essa combinação de recursos de segurança é suficiente e pode ser conveniente aplicar uma política de acesso aberta ao domínio.
Operar com uma política de acesso aberto *não* significa que qualquer pessoa na Internet possa acessar o domínio do OpenSearch Serviço. Em vez disso, significa que, se uma solicitação chegar ao domínio do OpenSearch Serviço e os grupos de segurança associados permitirem, o domínio aceitará a solicitação. A única exceção é no caso de você estar usando o controle de acesso refinado ou uma política de acesso que especifique perfis do IAM. Nessas situações, para que o domínio aceite uma solicitação, os grupos de segurança devem permiti-la *e* assiná-la com credenciais válidas.
**nota**
Como os grupos de segurança já aplicam políticas de acesso baseadas em IP, você não pode aplicar políticas de acesso baseadas em IP aos domínios de OpenSearch serviço que residem em uma VPC. Se você usa o acesso público, as políticas baseadas em IP ainda estão disponíveis.
### Antes de começar: pré-requisitos de acesso à VPC
Antes de habilitar uma conexão entre uma VPC e seu novo domínio de OpenSearch serviço, você deve fazer o seguinte:
+ **Criar uma VPC**
Para criar sua VPC, você pode usar o console Amazon VPC, a AWS CLI ou uma das. AWS SDKs Para obter mais informações, consulte [Trabalhando com VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html) no Guia do *usuário da Amazon VPC*. Se você já tiver uma VPC, ignore esta etapa.
+ **Reservar endereços IP **
OpenSearch O serviço permite a conexão de uma VPC a um domínio colocando interfaces de rede em uma sub-rede da VPC. Cada interface de rede está associada a um endereço IP. Você deve reservar um número suficiente de endereços IP na sub-rede para as interfaces de rede. Para saber mais, consulte [Reserva de endereços IP em uma sub-rede da VPC](#reserving-ip-vpc-endpoints).
### Teste dos domínios da VPC
A segurança avançada de uma VPC pode tornar a conexão com seu domínio e a execução de testes básicos um desafio. Se você já tem um domínio OpenSearch Service VPC e prefere não criar um servidor VPN, tente o seguinte processo:
1. Para a política de acesso do domínio, escolha **Only use fine-grained access control** (Use somente o controle de acesso refinado). Sempre é possível atualizar essa configuração depois de concluir o teste.
1. Crie uma instância Amazon Linux Amazon EC2 na mesma VPC, sub-rede e grupo de segurança do seu domínio de serviço. OpenSearch
Como essa instância é para fins de teste e precisa fazer muito pouco trabalho, escolha um tipo de instância de custo reduzido, como o `t2.micro`. Atribua um endereço IP público à instância e crie um novo par de chaves ou escolha um existente. Se você criar uma nova chave, faça download dela em seu diretório `~/.ssh`.
Para saber mais sobre a criação de instâncias, consulte [Conceitos básicos de instâncias do Amazon EC2 Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html).
1. Adicione um [gateway da Internet](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Internet_Gateway.html) à VPC.
1. Na [tabela de rotas](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Route_Tables.html) da VPC, adicione uma nova rota. Em **Destination (Destino)**, especifique um [bloco CIDR](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing#IPv4_CIDR_blocks) que contém o endereço IP público do computador. Em **Target (Destino)**, especifique o gateway da Internet que você acabou de criar.
Por exemplo, você pode especificar `123.123.123.123/32` somente para seu computador ou `123.123.123.0/24` para vários computadores.
1. Para o grupo de segurança, especifique duas regras de entrada:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/vpc.html)
A primeira regra permite que você use SSH em sua instância do EC2. A segunda permite que a instância do EC2 se comunique com o domínio do OpenSearch serviço por HTTPS.
1. No terminal, execute o comando a seguir:
```
ssh -i ~/.ssh/your-key.pem ec2-user@your-ec2-instance-public-ip -N -L 9200:vpc-domain-name-identifier.region.es.amazonaws.com:443
```
Esse comando cria um túnel SSH que encaminha solicitações para [https://localhost:9200](https://localhost:9200) para seu domínio de OpenSearch serviço por meio da instância EC2. Especificar a porta 9200 no comando simula uma OpenSearch instalação local, mas use a porta que você quiser. OpenSearch O serviço só aceita conexões pela porta 80 (HTTP) ou 443 (HTTPS).
O comando não fornece comentários e é executado indefinidamente. Para interrompê-lo, pressione `Ctrl + C`.
1. Navegue até [https://localhost:9200/\$1dashboards/](https://localhost:9200/_plugin/kibana/) em seu navegador da web. Talvez você precise confirmar uma exceção de segurança.
Como alternativa, você pode enviar solicitações para [https://localhost:9200](https://localhost:9200) usando [curl](https://curl.haxx.se/), [Postman](https://www.getpostman.com/) ou a linguagem de programação de sua preferência.
**dica**
Se você encontrar erros de curl devido a uma incompatibilidade de certificado, tente o sinalizador `--insecure`.
### Reserva de endereços IP em uma sub-rede da VPC
OpenSearch [O serviço conecta um domínio a uma VPC colocando interfaces de rede em uma sub-rede da VPC (ou em várias sub-redes da VPC se você habilitar várias zonas de disponibilidade).](managedomains-multiaz.md) Cada interface de rede está associada a um endereço IP. Antes de criar seu domínio OpenSearch de serviço, você deve ter um número suficiente de endereços IP disponíveis em cada sub-rede para acomodar as interfaces de rede.
Aqui está a fórmula básica: o número de endereços IP que o OpenSearch serviço reserva em cada sub-rede é três vezes o número de nós de dados, dividido pelo número de zonas de disponibilidade.
**Exemplos**
+ Se um domínio tiver nove nós de dados por três zonas de disponibilidade, a quantidade de IPs por sub-rede será 9 \$1 3 / 3 = 9.
+ Se um domínio tiver oito nós de dados por duas zonas de disponibilidade, a quantidade de IPs por sub-rede será 8 \$1 3 / 2 = 12.
+ Se um domínio tiver seis nós de dados por uma zona de disponibilidade, a quantidade de IPs por sub-rede será 6 \$1 3 / 1 = 18.
Quando você cria o domínio, o OpenSearch Serviço reserva os endereços IP, usa alguns para o domínio e reserva o restante para implantações [azul/verde](managedomains-configuration-changes.md). Você pode ver as interfaces de rede e seus endereços IP associados na seção **Network Interfaces** (Interfaces de rede) do console do Amazon EC2. A coluna **Descrição** mostra a qual domínio OpenSearch de serviço a interface de rede está associada.
**dica**
Recomendamos que você crie sub-redes dedicadas para os endereços IP reservados do OpenSearch Serviço. Ao usar sub-redes dedicadas, você evita a sobreposição com outros aplicativos e serviços e garante a possibilidade de reservar endereços IP adicionais se precisar escalar seu cluster no futuro. Para saber mais, consulte [Criação de uma sub-rede na VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet).
Você também pode considerar o provisionamento de nós coordenadores dedicados para reduzir o número de reservas de endereços IP privados necessárias para seu domínio VPC. OpenSearchanexa uma interface de rede elástica (ENI) aos seus nós coordenadores dedicados em vez dos seus nós de dados. Os nós coordenadores dedicados geralmente representam cerca de 10% do total de nós de dados. Como resultado, um número menor de endereços IP privados será reservado para domínios da VPC.
### Função vinculada ao serviço para acesso à VPC
Uma [função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) é um tipo exclusivo de função do IAM que delega permissões para um serviço de forma que ele possa criar e gerenciar recursos em seu nome. OpenSearch O serviço requer uma função vinculada ao serviço para acessar sua VPC, criar o endpoint de domínio e colocar interfaces de rede em uma sub-rede da sua VPC.
OpenSearch O Service cria automaticamente a função quando você usa o console do OpenSearch Service para criar um domínio em uma VPC. Para que essa criação automática seja bem-sucedida, você precisa ter permissões para a ação `iam:CreateServiceLinkedRole`. Para saber mais, consulte [Permissões de funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Manual do usuário do IAM*.
Depois que o OpenSearch Service criar a função, você poderá visualizá-la (`AWSServiceRoleForAmazonOpenSearchService`) usando o console do IAM.
Para saber mais sobre as permissões dessa função e como excluí-la, consulte [Usando funções vinculadas a serviços para o Amazon Service OpenSearch](slr.md).
# Criação de instantâneos de índice no Amazon Service OpenSearch
Os snapshots no Amazon OpenSearch Service são backups dos índices e do estado de um cluster. O *estado* inclui configurações do cluster, informações de nó, configurações de índice e alocação de fragmentos.
OpenSearch Os instantâneos do serviço vêm nas seguintes formas:
+ Os **snapshots automatizados** são apenas para recuperação de cluster. Você pode usá-los para restaurar seu domínio em caso de status de cluster vermelho ou perda de dados. Para obter mais informações, consulte [Restauração de instantâneos abaixo](managedomains-snapshot-restore.md). OpenSearch O serviço armazena instantâneos automatizados em um bucket pré-configurado do Amazon S3 sem custo adicional.
+ Os **snapshots manuais** são usados na recuperação de clusters *ou* na movimentação de dados de um cluster para outro. Você precisa iniciar os snapshots manuais. Esses snapshots são armazenados no seu próprio bucket do Amazon S3, e cobranças padrão do S3 são aplicáveis. Se você tiver um instantâneo de um OpenSearch cluster autogerenciado, poderá usar esse instantâneo para migrar para um domínio de serviço. OpenSearch Para obter mais informações, consulte [Migração para o Amazon OpenSearch Service](migration.md).
Todos os domínios OpenSearch de serviço tiram instantâneos automatizados, mas a frequência é diferente das seguintes formas:
+ Para domínios que executam o Elasticsearch OpenSearch 5.3 e versões posteriores, o OpenSearch Service tira instantâneos automatizados de hora em hora e retém até 336 deles por 14 dias. Os snapshots por hora são menos disruptivos em função de sua natureza incremental. Eles também fornecem um ponto de recuperação mais recente, caso haja problemas em domínios.
+ Para domínios que executam o Elasticsearch 5.1 e versões anteriores, o OpenSearch Service tira instantâneos automatizados diariamente durante a hora especificada, retém até 14 deles e não retém nenhum dado instantâneo por mais de 30 dias.
Se o cluster entrar no status vermelho, todos os snapshots automatizados falharão enquanto o status do cluster persistir. Se você não corrigir o problema em até duas semanas, poderá perder permanentemente os dados do cluster. Para obter etapas sobre a solução de problemas, consulte [Status de cluster vermelho](handling-errors.md#handling-errors-red-cluster-status).
## Pré-requisitos
Para criar os snapshots manualmente, é necessário trabalhar com o IAM e o Amazon S3. Verifique se você atende aos seguintes pré-requisitos antes de tentar criar um snapshot:
****
| Pré-requisito | Description |
| --- | --- |
| Bucket do S3 | Crie um bucket S3 para armazenar instantâneos manuais para seu domínio de OpenSearch serviço. Para obter instruções, consulte [Criar um bucket de uso geral](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) no *Guia do usuário do Amazon Simple Storage Service*. Lembre-se do nome do bucket para usá-lo nos seguintes locais:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/managedomains-snapshots.html) Não aplique uma regra de ciclo de vida do Amazon Glacier a esse bucket. Snapshots manuais não são compatíveis com a classe de armazenamento do Amazon Glacier. |
| perfil do IAM | Crie uma função do IAM para delegar permissões ao OpenSearch Serviço. Para obter instruções, consulte [Criação de funções do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html#roles-creatingrole-user-console) no *Manual do usuário do IAM*. O restante deste capítulo se refere a essa função como `TheSnapshotRole`. **Anexar uma política do IAM** Anexe a política a seguir ao `TheSnapshotRole` para permitir acesso ao bucket do S3: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/managedomains-snapshots.html) Para obter instruções para anexar uma política gerenciada a um perfil, consulte [Adicionar permissões de identidade do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) no *Guia do usuário do IAM*. **Editar a relação de confiança** Edite a relação de confiança de `TheSnapshotRole` para especificar o OpenSearch Serviço na `Principal` declaração, conforme mostrado no exemplo a seguir: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/managedomains-snapshots.html) Para obter instruções para editar a relação de confiança, consulte [Atualizar a política de confiança de um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) no *Guia do usuário do IAM*. |
| Permissões | Para registrar o repositório de instantâneos, você precisa ser capaz de passar `TheSnapshotRole` para OpenSearch o Serviço. Você também precisa de acesso à ação `es:ESHttpPut`. Para conceder ambas as permissões, anexe a seguinte política ao perfil do IAM cujas credenciais estão sendo usadas para assinar a solicitação: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/managedomains-snapshots.html) Se seu usuário ou função não tiver permissões `iam:PassRole` para passar `TheSnapshotRole`, talvez você encontre o seguinte erro comum ao tentar registrar um repositório na próxima etapa: $ python register-repo.py
{"Message":"User: arn:aws:iam::123456789012:user/MyUserAccount
is not authorized to perform: iam:PassRole on resource:
arn:aws:iam::123456789012:role/TheSnapshotRole"}
|
# Registro de um repositório de snapshots manuais
Você precisa registrar um repositório de instantâneos no OpenSearch Service antes de poder tirar instantâneos de índice manuais. Essa operação única exige que você assine sua AWS solicitação com credenciais de acesso permitido`TheSnapshotRole`, conforme descrito em. [Pré-requisitos](managedomains-snapshots.md#managedomains-snapshot-prerequisites)
## Etapa 1: mapear a função de instantâneo nos OpenSearch painéis (se estiver usando controle de acesso refinado)
O controle de acesso refinado introduz uma etapa adicional ao registrar um repositório. Mesmo que você use a autenticação básica HTTP para todos os outros fins, será necessário mapear o perfil `manage_snapshots` para o seu perfil do IAM que tem permissões `iam:PassRole` para passar `TheSnapshotRole`.
1. Navegue até o plug-in OpenSearch Dashboards do seu domínio OpenSearch de serviço. Você pode encontrar o endpoint Dashboards no painel do seu domínio no console de OpenSearch serviços.
1. No menu principal, escolha **Segurança**, **Funções** e selecione a função **manage\$1snapshots**.
1. Escolha **Usuários mapeados** e **Gerenciar mapeamento**.
1. Adicione o ARN do perfil que tenha permissões para aprovar `TheSnapshotRole`. Coloque a função ARNs em **Funções de back-end**.
```
arn:aws:iam::123456789123:role/role-name
```
1. Selecione **Mapa** e confirme se o usuário ou função aparece em **Usuários mapeados**.
## Etapa 2: Registrar um repositório
A guia **Snapshots** a seguir demonstra como registrar um diretório de snapshots. Para opções específicas para criptografar e registrar um snapshot manual após a migração para um novo domínio, consulte as guias relevantes.
------
#### [ Snapshots ]
Para registrar um repositório de snapshots, envie uma solicitação PUT para o endpoint do domínio OpenSearch Service. Você pode usar o [curl](https://curl.se/docs/manpage.html#--aws-sigv4), o [cliente do Python de exemplo](#managedomains-snapshot-client-python), [Postman](https://www.getpostman.com/) ou outro método para enviar uma solicitação assinada a fim de registrar o repositório de snapshot. Observe que você não pode usar uma solicitação PUT no console OpenSearch Dashboards para registrar o repositório.
A solicitação assume o seguinte formato:
```
PUT domain-endpoint/_snapshot/my-snapshot-repo-name
{
"type": "s3",
"settings": {
"bucket": "amzn-s3-demo-bucket",
"base_path": "my/snapshot/directory",
"region": "region",
"role_arn": "arn:aws:iam::123456789012:role/TheSnapshotRole"
}
}
```
**nota**
Os nomes dos repositórios não podem começar com “cs-”. Além disso, você não deve gravar no mesmo repositório a partir de vários domínios. Apenas um domínio deve ter acesso de gravação ao repositório.
Se o domínio residir em uma nuvem privada virtual (VPC), o computador deverá estar conectado à VPC para que a solicitação registre o repositório de snapshots com êxito. O acesso a uma VPC varia de acordo com a configuração de rede, mas geralmente requer uma conexão com VPN ou rede corporativa. Para verificar se você pode acessar o domínio do OpenSearch Serviço, navegue até `https://your-vpc-domain.region.es.amazonaws.com` em um navegador da Web e verifique se você recebeu a resposta JSON padrão.
Quando seu bucket do Amazon S3 estiver em outro lugar Região da AWS que não seja seu OpenSearch domínio, adicione o parâmetro `"endpoint": "s3.amazonaws.com"` à solicitação.
------
#### [ Encrypted snapshots ]
Atualmente, você não pode usar chaves AWS Key Management Service (KMS) para criptografar instantâneos manuais, mas pode protegê-los usando criptografia do lado do servidor (SSE).
Para ativar a SSE com chaves gerenciadas pelo S3 para o bucket que você usa como repositório de snapshots, adicione `"server_side_encryption": true` ao bloco `"settings"` da solicitação PUT. Para saber mais, consulte [Usar criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) no *Guia do usuário do Amazon Simple Storage Service*.
Como alternativa, você pode usar AWS KMS chaves para criptografia do lado do servidor no bucket do S3 que você usa como repositório de instantâneos. Se você usar essa abordagem, certifique-se de fornecer `TheSnapshotRole` permissão para a AWS KMS chave usada para criptografar o bucket do S3. Para saber mais, consulte [Usar políticas de chaves no AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html).
------
#### [ Domain migration ]
O registro de um repositório de snapshots é uma operação única. No entanto, para migrar de um domínio para outro, é necessário registrar o repositório de snapshots no domínio antigo e no novo. O nome do repositório é arbitrário.
Considere as seguintes diretrizes ao migrar para um novo domínio ou registrar o mesmo repositório com vários domínios:
+ Ao registrar o repositório no novo domínio, adicione `"readonly": true` para o bloco `"settings"` da solicitação PUT. Essa configuração impede que você sobrescreva acidentalmente dados do domínio antigo. Apenas um domínio deve ter acesso de gravação ao repositório.
+ Se estiver migrando dados para um domínio em uma Região da AWS diferente (por exemplo, de um domínio antigo e um bucket localizado em us-east-2 para um novo domínio em us-west-2), substitua `"region": "region"` por `"endpoint": "s3.amazonaws.com"` na instrução de PUT e tente novamente a solicitação.
------
### Uso do cliente Python de exemplo
O cliente Python é mais fácil de automatizar do que uma simples solicitação HTTP, além de ser mais fácil reutilizá-lo. Se você optar por usar esse método para registrar um repositório de snapshots, salve o seguinte código de exemplo Python como um arquivo Python. Por exemplo, `register-repo.py`. O cliente requer o [AWS SDK para Python (Boto3)](https://aws.amazon.com/sdk-for-python/), [solicitações](http://docs.python-requests.org/) e pacotes [requests-aws4auth](https://pypi.python.org/pypi/requests-aws4auth). O cliente contém exemplos comentados para outras operações de snapshot.
Atualize as seguintes variáveis no código de exemplo: `host`, `region`, `path` e `payload`.
```
import boto3
import requests
from requests_aws4auth import AWS4Auth
host = '' # domain endpoint
region = '' # e.g. us-west-1
service = 'es'
credentials = boto3.Session().get_credentials()
awsauth = AWS4Auth(credentials.access_key, credentials.secret_key, region, service, session_token=credentials.token)
# Register repository
path = '/_snapshot/my-snapshot-repo-name' # the OpenSearch API endpoint
url = host + path
payload = {
"type": "s3",
"settings": {
"bucket": "amzn-s3-demo-bucket",
"base_path": "my/snapshot/directory",
"region": "us-west-1",
"role_arn": "arn:aws:iam::123456789012:role/snapshot-role"
}
}
headers = {"Content-Type": "application/json"}
r = requests.put(url, auth=awsauth, json=payload, headers=headers)
print(r.status_code)
print(r.text)
# # Take snapshot
#
# path = '/_snapshot/my-snapshot-repo-name/my-snapshot'
# url = host + path
#
# r = requests.put(url, auth=awsauth)
#
# print(r.text)
#
# # Delete index
#
# path = 'my-index'
# url = host + path
#
# r = requests.delete(url, auth=awsauth)
#
# print(r.text)
#
# # Restore snapshot (all indexes except Dashboards and fine-grained access control)
#
# path = '/_snapshot/my-snapshot-repo-name/my-snapshot/_restore'
# url = host + path
#
# payload = {
# "indices": "-.kibana*,-.opendistro_security,-.opendistro-*",
# "include_global_state": False
# }
#
# headers = {"Content-Type": "application/json"}
#
# r = requests.post(url, auth=awsauth, json=payload, headers=headers)
#
# print(r.text)
#
# # Restore snapshot (one index)
#
# path = '/_snapshot/my-snapshot-repo-name/my-snapshot/_restore'
# url = host + path
#
# payload = {"indices": "my-index"}
#
# headers = {"Content-Type": "application/json"}
#
# r = requests.post(url, auth=awsauth, json=payload, headers=headers)
#
# print(r.text)
```
# Obtenção manual de snapshots
Os snapshots não são instantâneos. Eles demoram para serem concluídos e não representam uma point-in-time visão perfeita do cluster. Enquanto um snapshot está em andamento, você ainda pode indexar documentos e fazer outras solicitações ao cluster, mas novos documentos e atualizações em documentos existentes geralmente não são incluídos no snapshot. O instantâneo inclui fragmentos primários conforme existiam quando o instantâneo OpenSearch foi iniciado. Dependendo do tamanho do grupo de threads de snapshot, diferentes fragmentos podem ser incluídos no snapshot em momentos um pouco diferentes. Para ver as práticas recomendadas de snapshots, consulte [Melhore a performance do snapshot](bp.md#bp-stability-snapshots).
**Atenção**
Os instantâneos manuais não incluem dados armazenados em níveis de armazenamento frio UltraWarm ou em camadas. Se o seu domínio usa UltraWarm ou armazenamento frio, migre esses índices para o armazenamento dinâmico antes de tirar um instantâneo manual se precisar reter esses dados.
## Armazenamento e performance de snapshots
OpenSearch os instantâneos são incrementais, o que significa que eles armazenam somente os dados que foram alterados desde o último instantâneo bem-sucedido. Essa natureza incremental significa que a diferença no uso de disco entre snapshots frequentes e infrequentes normalmente é mínima. Ou seja, criar snapshots por hora por uma semana (em um total de 168 snapshots) pode não usar muito mais espaço em disco do que criar um único snapshot no final da semana. Além disso, quanto maior a frequência da criação de snapshots, menos tempo eles demoram para serem concluídos. Por exemplo, snapshots diários podem levar de 20 a 30 minutos para serem concluídos, enquanto os snapshots por hora podem ser concluídos em poucos minutos. Alguns OpenSearch usuários tiram fotos a cada meia hora.
## Faça um snapshot
Ao criar um snapshot, você especifica as seguintes informações:
+ O nome do repositório de snapshots
+ Um nome para o snapshot
Os exemplos neste capítulo usam [curl](https://curl.haxx.se/), um cliente HTTP comum, por conveniência e brevidade. Para passar um nome de usuário e uma senha para sua solicitação de curl, consulte o [Tutorial de introdução](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/gsg.html).
Se as políticas de acesso especificarem usuários ou perfis, você deverá assinar suas solicitações de snapshot. Para o curl, você pode usar a [opção `--aws-sigv4`](https://curl.se/docs/manpage.html#--aws-sigv4) com a versão 7.75.0 ou posterior. Você também pode usar os exemplos comentados no [exemplo de cliente Python](managedomains-snapshot-registerdirectory.md#managedomains-snapshot-client-python) para fazer solicitações HTTP assinadas para os mesmos endpoints usados pelos comandos curl.
Para obter um snapshot manual, faça o seguinte:
1. Você não poderá obter um snapshot se houver um em andamento no momento. Para verificar, execute o seguinte comando:
```
curl -XGET 'domain-endpoint/_snapshot/_status'
```
1. Execute o comando a seguir para obter um snapshot manual:
```
curl -XPUT 'domain-endpoint/_snapshot/repository-name/snapshot-name'
```
Para incluir ou excluir determinados índices e especificar outras configurações, adicione um corpo de solicitação. Para a estrutura da solicitação, consulte [Tirar instantâneos](https://opensearch.org/docs/1.1/opensearch/snapshot-restore/#take-snapshots) na OpenSearch documentação.
**nota**
O tempo necessário para tirar um instantâneo aumenta com o tamanho do domínio do OpenSearch Serviço. As operações de snapshot de longa duração, às vezes, encontram o seguinte erro: `504 GATEWAY_TIMEOUT`. Normalmente, você pode ignorar esses erros e esperar até que a operação seja concluída com êxito. Execute o comando a seguir para verificar o estado de todos os snapshots de seu domínio:
```
curl -XGET 'domain-endpoint/_snapshot/repository-name/_all?pretty'
```
# Restauração de snapshots
Antes de restaurar um snapshot, certifique-se de que o domínio de destino não use [Multi-AZ com modo de espera](managedomains-multiaz.md#managedomains-za-standby). Ter o modo de espera habilitado faz com que a operação de restauração falhe.
**Atenção**
Se você usar aliases de índice, você deve interromper as solicitações de gravação para um alias ou mudar o alias para outro índice antes de excluir seu índice. Parar as solicitações de gravação ajuda a evitar o seguinte cenário:
Você exclui um índice, que também exclui seu alias.
Uma solicitação de gravação com erro para o alias recém-excluído cria um novo índice com o mesmo nome do alias.
Você não pode mais usar o alias devido a um conflito de nomes com o novo índice. Se você alternou o alias para outro índice, especifique `"include_aliases": false` ao restaurar a partir de um snapshot.
Para restaurar um snapshot
1. Identifique o snapshot que deseja restaurar. Assegure-se de que todas as configurações desse índice, como pacotes de análise personalizados ou configurações de requisitos de alocação, sejam compatíveis com o domínio. Para ver todos os repositórios de snapshots, execute o comando a seguir:
```
curl -XGET 'domain-endpoint/_snapshot?pretty'
```
Após identificar o repositório, execute o comando a seguir para ver todos os snapshots:
```
curl -XGET 'domain-endpoint/_snapshot/repository-name/_all?pretty'
```
**nota**
A maioria dos snapshots automatizados é armazenada no repositório `cs-automated`. Se o seu domínio criptografa dados em repouso, eles são armazenados no repositório `cs-automated-enc`. Se não encontrar o repositório de snapshots manuais que estava buscando, confirme se você o [registrou](managedomains-snapshot-registerdirectory.md) no domínio.
1. (Opcional) Exclua ou renomeie um ou mais índices no domínio OpenSearch Service se você tiver conflitos de nomenclatura entre os índices no cluster e os índices no snapshot. Você não pode restaurar um snapshot dos seus índices em um OpenSearch cluster que já contém índices com os mesmos nomes.
Você terá as seguintes opções em caso de conflitos de nomenclatura de índice:
+ Exclua os índices no domínio de OpenSearch serviço existente e, em seguida, restaure o snapshot.
+ Renomeie os índices à medida que os restaura no snapshot e reindexe-os mais tarde. Para saber como renomear índices, consulte [esse exemplo de solicitação](https://opensearch.org/docs/latest/api-reference/snapshots/restore-snapshot/#example-request) na OpenSearch documentação.
+ Restaure o instantâneo em um domínio OpenSearch de serviço diferente (possível somente com instantâneos manuais).
O seguinte comando exclui todos os índices existentes em um domínio:
```
curl -XDELETE 'domain-endpoint/_all'
```
No entanto, se você não planeja restaurar todos os índices, pode simplesmente excluir um:
```
curl -XDELETE 'domain-endpoint/index-name'
```
1. Para restaurar um snapshot, execute o seguinte comando:
```
curl -XPOST 'domain-endpoint/_snapshot/repository-name/snapshot-name/_restore'
```
Devido às permissões especiais nos OpenSearch painéis e aos índices de controle de acesso refinados, as tentativas de restaurar todos os índices podem falhar, especialmente se você tentar restaurar a partir de um instantâneo automatizado. O exemplo a seguir restaura apenas um índice `my-index` de `2020-snapshot` no repositório de snapshots `cs-automated`:
```
curl -XPOST 'domain-endpoint/_snapshot/cs-automated/2020-snapshot/_restore' \
-d '{"indices": "my-index"}' \
-H 'Content-Type: application/json'
```
Como alternativa, é possível restaurar todos os índices, *exceto* os índices de controle de acesso refinado e o Dashboards:
```
curl -XPOST 'domain-endpoint/_snapshot/cs-automated/2020-snapshot/_restore' \
-d '{"indices": "-.kibana*,-.opendistro*"}' \
-H 'Content-Type: application/json'
```
**nota**
Dependendo da sua OpenSearch versão, índices adicionais do sistema também podem precisar ser excluídos, como `-.opensearch-observability*` e. `-.plugins-ml-config*` A operação de restauração pode falhar se esses índices já existirem no domínio de destino. Para excluí-los, adicione-os à lista de `indices` exclusão. Por exemplo: `"indices": "-.kibana*,-.opendistro*,-.opensearch-observability*,-.plugins-ml-config*"`.
Você pode restaurar um snapshot sem excluir seus dados usando os parâmetros `rename_pattern` e `rename_replacement`. Para obter mais informações sobre esses parâmetros, consulte os [campos de solicitação](https://opensearch.org/docs/latest/api-reference/snapshots/restore-snapshot/#request-fields) da API Restore Snapshot e o [exemplo de solicitação](https://opensearch.org/docs/latest/api-reference/snapshots/restore-snapshot/#example-request) na OpenSearch documentação.
**nota**
Se nem todos os fragmentos principais estiverem disponíveis para os índices envolvidos, o `state` do snapshot poderá ser `PARTIAL`. Esse valor indica que os dados de pelo menos um fragmento não foram armazenados com êxito. Mesmo assim é possível restaurar por meio de um snapshot parcial, mas pode ser necessário usar snapshots mais antigos para restaurar índices ausentes.
## Excluir snapshots manuais
Para excluir um snapshot manual, execute o seguinte comando:
```
DELETE _snapshot/repository-name/snapshot-name
```
# Automação de snapshots com o Snapshot Management
Você pode configurar uma política de gerenciamento de instantâneos (SM) nos OpenSearch painéis para automatizar a criação e a exclusão periódicas de instantâneos. O SM pode capturar um snapshot de um grupo de índices, enquanto o [Index State Management](managedomains-snapshots.md#managedomains-snapshot-ism) só pode tirar um snapshot por índice. Para usar o SM in OpenSearch Service, você precisa registrar seu próprio repositório Amazon S3. Para obter instruções sobre como registrar seu repositório, consulte [Registrar um repositório manual de snapshots](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-snapshots.html#managedomains-snapshot-registerdirectory).
**nota**
O Snapshot Management é suportado a partir da OpenSearch versão 2.5. Os domínios que executam versões anteriores não oferecem suporte a esse recurso.
Antes do SM, o OpenSearch Service oferecia um recurso de captura instantânea gratuito e automatizado que ainda está ativado por padrão. Esse atributo envia snapshots para o repositório mantido pelo serviço `cs-*`. Para desativar o atributo, entre em contato com o Suporte.
Para obter mais informações sobre o recurso SM, consulte [Gerenciamento de instantâneos](https://opensearch.org/docs/latest/dashboards/sm-dashboards/) na OpenSearch documentação.
Atualmente, o SM não oferece suporte à criação de snapshots em vários tipos de índice. Por exemplo, se você tentar criar um snapshot em vários índices `*` e alguns índices estiverem na [camada de maior atividade](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ultrawarm.html#ultrawarm-manual-snapshot), a criação do snapshot falhará. Se você precisar que seu snapshot contenha vários tipos de índice, use a [ação de snapshot do ISM](https://opensearch.org/docs/latest/im-plugin/ism/policies/#snapshot) até que o SM ofereça suporte a essa opção.
# Configurar permissões do
Se você estiver atualizando para 2.5 de uma versão anterior do domínio OpenSearch de serviço, as permissões de segurança do gerenciamento de instantâneos podem não estar definidas no domínio. Os usuários não administradores deverão ser mapeados nessa função para usar o gerenciamento de snapshot usando o controle de aceso detalhado. Para criar manualmente o perfil de gerenciamento de snapshot, faça o seguinte:
1. Em OpenSearch Painéis, acesse **Segurança** e escolha **Permissões**.
1. Escolha **Criar grupo de ações** e configure os seguintes grupos:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/sm-security.html)
1. Escolha **Funções** e, em seguida, **Criar função**.
1. Nomeie o perfil **snapshot\$1management\$1role**.
1. Para **Permissões de cluster**, selecione `snapshot_management_full_access` ou `snapshot_management_read_access`.
1. Escolha **Criar**.
1. Depois de criar a função, [mapeie-a](fgac.md#fgac-mapping) em qualquer função de usuário ou de backend que gerencie snapshots.
## Considerações
Considere o seguinte ao configurar o gerenciamento de snapshots:
+ É permitida uma política por repositório.
+ São permitidos até 400 snapshots para uma política.
+ Esse atributo não será executado se seu domínio tiver um status vermelho, estiver sob alta pressão da JVM (85% ou mais) ou tiver uma função de captura instantânea bloqueada. Quando o desempenho geral de indexação e pesquisa do seu cluster é afetado, o SM também pode ser afetado.
+ Uma operação de snapshot só é iniciada após a conclusão da operação anterior, de forma que nenhuma operação simultânea de snapshot seja ativada por uma política.
+ Várias políticas com o mesmo cronograma podem causar um pico de recursos. Se os índices de captura instantânea das políticas se sobrepõem, as operações de captura instantânea em nível de fragmento só podem ser executadas sequencialmente, o que pode causar um problema de desempenho em cascata. Se as políticas compartilharem um repositório, haverá um pico de operações de gravação nesse repositório.
+ Recomendamos que você agende a automação das operações de snapshot para não mais do que uma vez por hora, a menos que tenha um caso de uso especial.
## Automação de snapshots com o Gerenciamento de estados de índices
Você pode usar a operação [snapshot](https://opendistro.github.io/for-elasticsearch-docs/docs/im/ism/policies/#snapshot) do Index State Management (ISM) para acionar automaticamente snapshots de índices com base em suas alterações de idade, tamanho ou número de documentos. O ISM é melhor quando você precisa de um snapshot por índice. Se você precisar capturar um snapshot de um grupo de índices, consulte [Automação de snapshots com o Snapshot Management](managedomains-snapshot-mgmt.md).
Para usar o SM in OpenSearch Service, você precisa registrar seu próprio repositório Amazon S3. Para obter um exemplo de política do ISM usando a operação `snapshot`, consulte [Políticas de exemplo](ism.md#ism-example).
## Uso do Curator para snapshots
Se o ISM não funcionar para o gerenciamento de índices e snapshots, você poderá usar o Curator. Ele oferece funcionalidade de filtragem avançada que pode ajudar a simplificar tarefas de gerenciamento em clusters complexos. Use o [pip](https://pip.pypa.io/en/stable/installing/) para instalar o Curator:
```
pip install elasticsearch-curator
```
Você pode usar o Curator como uma interface de linha de comando (CLI) ou API do Python. Se você usar a API do Python, deverá usar a versão 7.13.4 ou anterior do cliente [elasticsearch-py](https://elasticsearch-py.readthedocs.io/) herdado. Ele não oferece suporte a um cliente opensearch-py.
Se você usar a CLI, exporte suas credenciais na linha de comando e configure o `curator.yml` da seguinte maneira:
```
client:
hosts: search-my-domain.us-west-1.es.amazonaws.com
port: 443
use_ssl: True
aws_region: us-west-1
aws_sign_request: True
ssl_no_validate: False
timeout: 60
logging:
loglevel: INFO
```
# Atualizando domínios do Amazon OpenSearch Service
**nota**
OpenSearch e as atualizações de versão do Elasticsearch diferem das atualizações do software de serviço. Para obter informações sobre como atualizar o software de serviço para seu domínio OpenSearch de serviço, consulte[Atualizações do software de serviço no Amazon OpenSearch Service](service-software.md).
O Amazon OpenSearch Service oferece atualizações no local para domínios que executam OpenSearch 1.0 ou posterior, ou Elasticsearch 5.1 ou posterior. Se você usa serviços como Amazon Data Firehose ou Amazon CloudWatch Logs para transmitir dados para o OpenSearch Service, verifique se esses serviços são compatíveis com a versão mais recente do antes de OpenSearch migrar.
## Caminhos de atualização com suporte
Atualmente, o OpenSearch Service oferece suporte aos seguintes caminhos de atualização:
| Da versão | Para a versão |
| --- | --- |
| OpenSearch 1.3, 2. x ou 3. x | OpenSearch 3. *x* Se você estiver executando OpenSearch 1.3 ou 2.x, você deve primeiro atualizar para OpenSearch 2.19 *antes* de atualizar para 3.x. OpenSearch Ao atualizar da versão OpenSearch 2.19 para a OpenSearch 3.x, talvez seja necessário resolver as seguintes configurações de índice incompatíveis. Elas se tornaram obsoletas na versão 2.x e causarão uma falha na validação da verificação de atualização se não forem removidas. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/version-migration.html) Para saber mais sobre configurações de índice obsoletas e etapas para corrigi-las, consulte [Configurações de índice](https://docs.opensearch.org/2.6/search-plugins/knn/knn-index/#index-settings). Para obter uma lista completa das alterações mais importantes da OpenSearch versão 3.x, consulte [3.0.0](https://docs.opensearch.org/latest/breaking-changes/#300). Se o seu domínio contém índices criados em OpenSearch 1.3, Elasticsearch 7.10 ou versões anteriores, você deve reindexá-los antes de atualizar para 3.x. OpenSearch OpenSearch O 3.x não é compatível com esses índices mais antigos, independentemente de estarem em armazenamento quente ou frio. UltraWarm Para reindexar índices incompatíveis UltraWarm ou frios: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/version-migration.html) Como alternativa, exclua os índices se você não precisar mais deles. |
| OpenSearch 1.3 ou 2. x | OpenSearch 2. *x* OpenSearch 2.17 habilitará a pesquisa simultânea de segmentos por padrão com o modo automático se o domínio atender às seguintes condições: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/version-migration.html) A versão 2.3 tem as seguintes alterações importantes: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/version-migration.html) |
| OpenSearch 1. x | OpenSearch 1. x |
| Elasticsearch 7.x | Elasticsearch 7. *x* ou OpenSearch 1. *x* OpenSearch 1. *x* introduz várias mudanças significativas. Para obter detalhes, consulte [Renomeação do Amazon OpenSearch Service - Resumo das alterações](rename.md). |
| Elasticsearch 6.8 | Elasticsearch 7. *x* ou OpenSearch 1. *x* O Elasticsearch 7.0 e OpenSearch 1.0 incluem várias mudanças importantes. Antes de iniciar uma atualização no local, recomendamos [tirar um instantâneo manual do 6](managedomains-snapshots.md). domínio *x*, restaurando-o em um teste 7. *x* ou OpenSearch 1. domínio *x* e usando esse domínio de teste para identificar possíveis problemas de atualização. Para alterações significativas na OpenSearch versão 1.0, consulte[Renomeação do Amazon OpenSearch Service - Resumo das alterações](rename.md). Assim como o Elasticsearch 6.*x*, os índices só podem conter um tipo de mapeamento, mas esse tipo agora deve ser chamado de `_doc`. Como resultado, alguns APIs não exigem mais um tipo de mapeamento no corpo da solicitação (como a `_bulk` API). Para novos índices, o Elasticsearch 7 auto-hospedado. *x* e OpenSearch 1. *x* têm uma contagem de fragmentos padrão de um. OpenSearch Domínios de serviço no Elasticsearch 7. *x* e posteriores mantêm o padrão anterior de cinco. |
| Elasticsearch 6.*x* | Elasticsearch 6.*x* |
| Elasticsearch 5.6 | Elasticsearch 6.*x* Os índices criados na versão 6.*x* não são mais compatíveis com vários tipos de mapeamento. Índices criados na versão 5.*x* ainda são compatíveis com vários tipos de mapeamento quando restaurados em um cluster 6.*x*. Verifique se o seu código de cliente cria apenas um único tipo de mapeamento por índice. Para minimizar o tempo de inatividade durante a atualização do Elasticsearch 5.6 para 6. *x*, o OpenSearch serviço reindexa o `.kibana` índice`.kibana-6`, exclui`.kibana`, cria um alias chamado `.kibana` e mapeia o novo índice para o novo alias. |
| Elasticsearch 5.x | Elasticsearch 5.x |
O processo de atualização consiste em três etapas:
1. **Verificações de pré-atualização** — O OpenSearch serviço verifica se há problemas que podem bloquear uma atualização e não prossegue para a próxima etapa, a menos que essas verificações sejam bem-sucedidas.
1. **Snapshot** — O OpenSearch serviço tira um snapshot do cluster OpenSearch ou do Elasticsearch e não passa para a próxima etapa, a menos que o snapshot seja bem-sucedido. Se a atualização falhar, o OpenSearch Service usará esse snapshot para restaurar o cluster ao estado original. Para obter mais informações, consulte [Não é possível reverter para a versão anterior após a atualização.](handling-errors.md#troubleshooting-upgrade-snapshot).
1. **Atualização** — O OpenSearch serviço inicia a atualização, que pode levar de 15 minutos a várias horas para ser concluída. OpenSearch Os painéis podem estar indisponíveis durante parte ou toda a atualização.
# Atualizar um domínio (console)
O processo de atualização é irreversível e não pode ser pausado nem cancelado. Durante uma atualização, não é possível fazer alterações de configuração no domínio. Antes de iniciar uma atualização, verifique novamente se deseja prosseguir. Você pode usar essas mesmas etapas para executar a verificação de pré-atualização sem realmente iniciar uma atualização.
Se o cluster tiver nós principais dedicados, as OpenSearch atualizações serão concluídas sem tempo de inatividade. Caso contrário, o cluster poderá não responder durante vários segundos após a atualização enquanto elege um nó principal.
**Para atualizar um domínio para uma versão posterior do OpenSearch ou Elasticsearch**
1. [Crie um snapshot manual](managedomains-snapshots.md) do seu domínio. Esse instantâneo serve como um backup que você pode [restaurar em um novo domínio](managedomains-snapshot-restore.md) se quiser voltar a usar a OpenSearch versão anterior.
1. Acesse [https://aws.amazon.com](https://console.aws.amazon.com/)e escolha **Entrar no console**.
1. Em **Analytics**, escolha **Amazon OpenSearch Service**.
1. No painel de navegação, em **Domínios**, escolha o domínio que deseja atualizar.
1. Escolha **Ações** e **Atualizar**.
1. Selecione a versão para a qual deseja atualizar. Se você estiver atualizando para uma OpenSearch versão, a opção **Ativar modo de compatibilidade** será exibida. Se você habilitar essa configuração, OpenSearch reporta sua versão como 7.10 para permitir que clientes e plug-ins do Elasticsearch OSS, como o Logstash, continuem trabalhando com o Amazon Service. OpenSearch Você poderá desabilitar essa configuração posteriormente.
1. Escolha **Atualizar**.
1. Marque **Status** no painel do domínio para monitorar o status da atualização.
# Atualizar um domínio (CLI)
Você pode usar as seguintes operações para identificar a versão correta do OpenSearch ou do Elasticsearch para seu domínio, iniciar uma atualização no local, realizar a verificação de pré-atualização e ver o progresso:
+ `get-compatible-versions` (`GetCompatibleVersions`)
+ `upgrade-domain` (`UpgradeDomain`)
+ `get-upgrade-status` (`GetUpgradeStatus`)
+ `get-upgrade-history` (`GetUpgradeHistory`)
Para obter mais informações, consulte a referência de [comandos da AWS CLI e a Referência](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/opensearch/index.html) da [API do Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/Welcome.html).
# Atualizar um domínio (SDK)
Este exemplo usa o cliente Python de [OpenSearchService](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/opensearch.html)baixo nível AWS SDK para Python (Boto) do para verificar se um domínio está qualificado para atualização para uma versão específica, atualizá-lo e verificar continuamente o status do upgrade.
```
import boto3
from botocore.config import Config
import time
# Build the client using the default credential configuration.
# You can use the CLI and run 'aws configure' to set access key, secret
# key, and default Region.
DOMAIN_NAME = '' # The name of the domain to upgrade
TARGET_VERSION = '' # The version you want to upgrade the domain to. For example, OpenSearch_1.1
my_config = Config(
# Optionally lets you specify a Region other than your default.
region_name='us-east-1'
)
client = boto3.client('opensearch', config=my_config)
def check_versions():
"""Determine whether domain is eligible for upgrade"""
response = client.get_compatible_versions(
DomainName=DOMAIN_NAME
)
compatible_versions = response['CompatibleVersions']
for i in range(len(compatible_versions)):
if TARGET_VERSION in compatible_versions[i]["TargetVersions"]:
print('Domain is eligible for upgrade to ' + TARGET_VERSION)
upgrade_domain()
print(response)
else:
print('Domain not eligible for upgrade to ' + TARGET_VERSION)
def upgrade_domain():
"""Upgrades the domain"""
response = client.upgrade_domain(
DomainName=DOMAIN_NAME,
TargetVersion=TARGET_VERSION
)
print('Upgrading domain to ' + TARGET_VERSION + '...' + response)
time.sleep(5)
wait_for_upgrade()
def wait_for_upgrade():
"""Get the status of the upgrade"""
response = client.get_upgrade_status(
DomainName=DOMAIN_NAME
)
if (response['UpgradeStep']) == 'UPGRADE' and (response['StepStatus']) == 'SUCCEEDED':
print('Domain successfully upgraded to ' + TARGET_VERSION)
elif (response['StepStatus']) == 'FAILED':
print('Upgrade failed. Please try again.')
elif (response['StepStatus']) == 'SUCCEEDED_WITH_ISSUES':
print('Upgrade succeeded with issues')
elif (response['StepStatus']) == 'IN_PROGRESS':
time.sleep(30)
wait_for_upgrade()
def main():
check_versions()
if __name__ == "__main__":
main()
```
## Solução de problemas de falha de validação
Quando você inicia uma atualização da versão OpenSearch ou do Elasticsearch, o OpenSearch Service primeiro executa uma série de verificações de validação para garantir que seu domínio esteja qualificado para uma atualização. Se alguma dessas verificações falhar, você receberá uma notificação no console contendo os problemas específicos que deverão ser corrigidos antes da atualização do domínio. Para obter uma lista de possíveis problemas e as etapas para resolvê-los, consulte [Solução de problemas de erros de validação](managedomains-configuration-changes.md#validation).
## Solução de problemas em uma atualização
As atualizações do no local exigem domínios íntegros. Seu domínio pode não estar qualificado para uma atualização ou não ser atualizado por vários motivos. A tabela a seguir mostra os problemas mais comuns.
| Problema | Description |
| --- | --- |
| Plug-in opcional não compatível | Quando você atualiza um domínio com plug-ins opcionais, o OpenSearch Service também atualiza automaticamente os plug-ins. Portanto, a versão de destino do seu domínio também deve oferecer suporte a esses plug-ins opcionais. Se o domínio tiver um plug-in opcional instalado que não esteja disponível para a versão de destino, a solicitação de upgrade falhará. |
| Muitos fragmentos por nó | OpenSearch, bem como 7. As versões x do Elasticsearch têm uma configuração padrão de no máximo 1.000 fragmentos por nó. Se um nó em seu cluster atual exceder essa configuração, o OpenSearch Serviço não permitirá que você faça o upgrade. Consulte [Limite máximo de fragmentos excedido](handling-errors.md#troubleshooting-shard-limit) para obter opções de solução de problemas. |
| Domínio no processamento | O domínio está no meio de uma mudança de configuração. Verifique a qualificação da atualização após a conclusão da operação. |
| Status de cluster vermelho | Um ou mais índices no cluster estão vermelhos. Para obter etapas sobre a solução de problemas, consulte [Status de cluster vermelho](handling-errors.md#handling-errors-red-cluster-status). |
| Alta taxa de erros | O cluster está retornando um grande número de erros 5xx ao tentar processar solicitações. Geralmente, esse problema é resultado de muitas solicitações de leitura ou gravação simultâneas. Considere reduzir o tráfego para o cluster ou dimensionar seu domínio. |
| Cérebro dividido | Cérebro dividido significa que o cluster tem mais de um nó principal e foi dividido em dois clusters que nunca se juntarão por conta própria. Você pode evitar dividir o cérebro usando o número recomendado de [nós principais dedicados](managedomains-dedicatedmasternodes.md). Para ajudar na recuperação do cérebro dividido, entre em contato com [Suporte](https://console.aws.amazon.com/support/home). |
| Nó principal não encontrado | OpenSearch O serviço não consegue encontrar o nó principal do cluster. Se o domínio usa [multi-AZ](managedomains-multiaz.md), uma falha da zona de disponibilidade pode ter causado a perda de quorum do cluster e a incapacidade de escolher um novo [nó principal](managedomains-dedicatedmasternodes.md). Se o problema não se resolver, entre em contato com [Suporte](https://console.aws.amazon.com/support/home). |
| Muitas tarefas pendentes | O nó principal está sob carga pesada e tem muitas tarefas pendentes. Considere reduzir o tráfego para o cluster ou dimensionar seu domínio. |
| Volume de armazenamento prejudicado | O volume de disco de um ou mais nós não está funcionando corretamente. Esse problema geralmente ocorre junto com outros problemas, como uma alta taxa de erros ou muitas tarefas pendentes. Se o problema ocorrer isoladamente e não se resolver, entre em contato com [Suporte](https://console.aws.amazon.com/support/home). |
| Problema de chave do KMS | A chave do KMS usada para criptografar o domínio está inacessível ou ausente. Para saber mais, consulte [Monitoramento de domínios que criptografam dados em repouso](encryption-at-rest.md#monitoring-ear). |
| Snapshot em andamento | O domínio está tirando um snapshot no momento. Verifique a qualificação da atualização após a conclusão do snapshot. Além disso, verifique se é possível listar repositórios de snapshots manuais, listar snapshots nesses repositórios e obter snapshots manuais. Se o OpenSearch Serviço não conseguir verificar se um snapshot está em andamento, as atualizações podem falhar. |
| Tempo limite ou falha de snapshot | O snapshot de pré-atualização demorou muito para ser concluído ou falhou. Verifique o status do cluster e tente novamente. Se o problema continuar, entre em contato com o [Suporte](https://console.aws.amazon.com/support/home). |
| Índices incompatíveis | Um ou mais índices são incompatíveis com a versão de destino. Esse problema pode ocorrer se você migrou os índices de uma versão mais antiga do Elasticsearch OpenSearch . Reindexe os índices e tente novamente. |
| Uso elevado do disco | O uso de disco para o cluster está acima de 90%. Exclua os dados ou dimensione o domínio e tente novamente. |
| Uso elevado do JVM | A pressão de memória JVM está acima de 75%. Reduza o tráfego para o cluster ou dimensione o domínio e tente novamente. |
| OpenSearch Problema de alias de painéis | .dashboardsjá está configurado como um alias e mapeia para um índice incompatível, provavelmente de uma versão anterior do Dashboards. OpenSearch Reindexe e tente novamente. |
| Status de painéis vermelhos | OpenSearch O status dos painéis é vermelho. Tente usar o Dashboards quando a atualização for concluída. Se o status vermelho persistir, resolva-o manualmente e tente novamente. |
| Compatibilidade entre clusters | Você só pode atualizar se a compatibilidade entre clusters for mantida entre os domínios de origem e de destino após a atualização. Durante o processo de atualização, todas as conexões incompatíveis são identificadas. Para prosseguir, atualize o domínio remoto ou excluir as conexões incompatíveis. Observe que, se a replicação estiver ativa no domínio, você não poderá retomá-la depois de excluir a conexão. |
| Outro problema de OpenSearch serviço | Problemas com o OpenSearch serviço em si podem fazer com que seu domínio seja exibido como inelegível para um upgrade. Se nenhuma das condições anteriores se aplicar ao seu domínio e o problema persistir por mais de um dia, entre em contato com [Suporte](https://console.aws.amazon.com/support/home). |
# Como usar um snapshot para migrar dados
As atualizações no local são a maneira mais fácil, rápida e confiável de atualizar um domínio para uma versão posterior OpenSearch ou do Elasticsearch. Os snapshots são uma boa opção se você precisa migrar de uma versão anterior a 5.1 do Elasticsearch ou deseja migrar para um cluster totalmente novo.
A tabela a seguir mostra como usar snapshots para migrar dados para um domínio que usa uma versão diferente OpenSearch ou uma versão do Elasticsearch. Para saber mais sobre a criação e a restauração de snapshots, consulte [Criação de instantâneos de índice no Amazon Service OpenSearch](managedomains-snapshots.md).
| Da versão | Para a versão | Processo de migração |
| --- | --- | --- |
| OpenSearch 1.3 ou 2. x | OpenSearch 2. x | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/snapshot-based-migration.html) |
| OpenSearch 1. x | OpenSearch 1. x | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/snapshot-based-migration.html) |
| Elasticsearch 6.x ou 7.x | OpenSearch 1. x | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/snapshot-based-migration.html) |
| Elasticsearch 6.x | Elasticsearch 7.x | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/snapshot-based-migration.html) |
| Elasticsearch 6.x | Elasticsearch 6.8 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/snapshot-based-migration.html) |
| Elasticsearch 5.x | Elasticsearch 6.x | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/snapshot-based-migration.html) |
| Elasticsearch 5.x | Elasticsearch 5.6 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/snapshot-based-migration.html) |
| Elasticsearch 2.3 | Elasticsearch 6.x | Os snapshots do Elasticsearch 2.3 não são compatíveis com o 6.*x*. Para migrar os dados diretamente da versão 2.3 para a 6.*x*, você terá que recriar manualmente os índices no novo domínio. Como alternativa, você pode seguir as etapas da atualização da versão 2.3 para a 5.*x* nesta tabela, realizar as operações de `_reindex` no novo domínio 5.*x* para converter os índices 2.3 em índices 5.*x* e depois seguir as etapas da atualização da versão 5.*x* para a 6.*x*. |
| Elasticsearch 2.3 | Elasticsearch 5.x | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/snapshot-based-migration.html) |
| Elasticsearch 1.5 | Elasticsearch 5.x | Os snapshots do Elasticsearch 1.5 não são compatíveis com o 5.*x*. Para migrar os dados da versão 1.5 para a 5.*x*, você terá que recriar manualmente os índices no novo domínio. Os instantâneos 1.5 *são* compatíveis com 2.3, mas os domínios do OpenSearch Service 2.3 não suportam a `_reindex` operação. Como você não pode reindexá-los, os índices originados em um domínio da versão 1.5 ainda não podem ser restaurados de snapshots da 2.3 para domínios da 5.*x*. |
| Elasticsearch 1.5 | Elasticsearch 2.3 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/opensearch-service/latest/developerguide/snapshot-based-migration.html) |
# Criação de um endpoint personalizado para o Amazon Service OpenSearch
A criação de um endpoint personalizado para seu domínio do Amazon OpenSearch Service facilita a consulta entre você OpenSearch e seus OpenSearch painéis URLs. Você pode incluir a marca da sua empresa ou simplesmente usar um easier-to-remember endpoint mais curto do que o padrão.
Se você precisar alternar para um novo domínio, bastará atualizar seu DNS para apontar para o novo URL e continuar usando o mesmo endpoint de antes.
Você protege endpoints personalizados gerando um certificado no AWS Certificate Manager (ACM) ou importando um dos seus.
## Endpoints personalizados para novos domínios
Você pode habilitar um endpoint personalizado para um novo domínio OpenSearch de serviço usando o console OpenSearch de serviço ou a API de configuração. AWS CLI
**Para personalizar o endpoint (console)**
1. No console de OpenSearch serviço, escolha **Criar domínio** e forneça um nome para o domínio.
1. Em **Endpoint personalizado**, selecione **Habilitar endpoint personalizado**.
1. Em **Nome de host personalizado**, insira o nome de host do endpoint personalizado preferido. O nome de host deve ser um nome de domínio totalmente qualificado (FQDN), como www.seudomínio.com ou exemplo.seudomínio.com.
**nota**
Caso não tenha um [certificado curinga](https://en.wikipedia.org/wiki/Wildcard_certificate), você deverá obter um novo certificado para seus subdomínios de endpoint personalizados.
1. Em **Certificado AWS **, escolha o certificado SSL que deseja usar para o domínio. Se nenhum certificado estiver disponível, você poderá importar um para o ACM ou usar o ACM para provisionar um. Para saber mais, consulte [Emissão e gerenciamento de certificados](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) no *Manual do usuário do AWS Certificate Manager*.
**nota**
O certificado deve ter o nome do endpoint personalizado e estar na mesma conta do seu domínio OpenSearch de serviço. O status do certificado deve ser ISSUED (EMITIDO).
+ Siga o restante das etapas para criar seu domínio e escolha **Criar**.
+ Selecione o domínio quando terminar o processamento para visualizar seu endpoint personalizado.
Para usar a CLI ou API de configuração, use as operações `CreateDomain` e `UpdateDomainConfig`. Para obter mais informações, consulte a Referência de [AWS CLI Comandos e a Referência](https://docs.aws.amazon.com/cli/latest/reference/) da [API do Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/Welcome.html).
## Endpoints personalizados para domínios existentes
Para adicionar um endpoint personalizado a um domínio de OpenSearch serviço existente, escolha **Editar** e execute as etapas 2 a 4 acima.
## Mapeamento CNAME
Depois de habilitar um endpoint personalizado para seu domínio de OpenSearch serviço, você pode criar um mapeamento CNAME no Amazon Route 53 (ou no seu provedor de serviços DNS preferido). A criação de um mapeamento CNAME permitirá rotear o tráfego para o endpoint personalizado e seus subdomínios. Sem esse mapeamento, não será possível rotear o tráfego para o endpoint personalizado. Para ver as etapas necessárias para criar esse mapeamento no Route 53, consulte [Configuração do roteamento de DNS para um novo domínio](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring-new-domain.html) e [Criação de uma zona hospedada para um subdomínio](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-routing-traffic-for-subdomains.html#dns-routing-traffic-for-subdomains-creating-hosted-zone). Para outros provedores, consulte a respectiva documentação.
Crie o registro CNAME apontando o endpoint personalizado para o endpoint de domínio gerado automaticamente. Se seu domínio for de pilha dupla, você poderá apontar seu registro CNAME para qualquer um dos dois endpoints gerados pelo serviço. A capacidade de pilha dupla do seu endpoint personalizado depende do endpoint gerado pelo serviço para o qual você direciona o registro CNAME. O nome de host do endpoint personalizado é o *nome* do registro CNAME, e o nome de host do endpoint do domínio é o *valor* do registro CNAME.
Se você usar a [autenticação SAML para OpenSearch painéis](saml.md), deverá atualizar seu IdP com a nova URL de SSO.
Você pode usar o Amazon Route 53 para criar um tipo de registro de alias para apontar o endpoint personalizado de domínio para um endpoint de pesquisa de pilha dupla. Para criar um tipo de registro de alias, você deve configurar seu domínio para usar o tipo de endereço IP de pilha dupla. Você pode fazer isso usando a API do Route 53.
Para criar um tipo de registro de alias usando a API do Route 53, especifique o destino do alias do seu domínio. Você pode encontrar o alias de destino do seu domínio no campo **Zona hospedada (pilha dupla)** na seção de endpoint personalizado do console de OpenSearch serviço ou usando a `DescribeDomain` API e copiando o valor do. `DomainEndpointV2HostedZoneId`
# Auto-Tune para Amazon Service OpenSearch
O Auto-Tune no Amazon OpenSearch Service usa métricas de desempenho e uso do seu OpenSearch cluster para sugerir alterações de configuração relacionadas à memória, incluindo tamanhos de fila e cache e configurações de máquina virtual Java (JVM) em seus nós. Essas alterações opcionais melhoram a velocidade e a estabilidade do cluster.
Algumas alterações são implantadas imediatamente, enquanto outras são agendadas durante o período fora do horário de pico do seu domínio. Você pode voltar às configurações padrão do OpenSearch Serviço a qualquer momento. **À medida que o Auto-Tune reúne e analisa as métricas de desempenho do seu domínio, você pode ver suas recomendações no console de OpenSearch serviço na página Notificações.**
[O Auto-Tune está disponível comercialmente Regiões da AWS em domínios que executam qualquer OpenSearch versão, ou Elasticsearch 6.7 ou posterior, com um tipo de instância compatível.](supported-instance-types.md)
## Tipos de alterações
O Auto-Tune tem duas categorias de alterações amplas:
+ Alterações sem interrupções aplicadas à medida em que o cluster é executado.
+ Alterações que exigem uma [implantação azul/verde](managedomains-configuration-changes.md), que se aplicam durante a janela fora do horário de pico do domínio.
Com base nas métricas de performance do seu domínio, o Auto-Tune pode sugerir ajustes nas seguintes configurações:
| Alterar tipo | Categoria | Description |
| --- | --- | --- |
| Tamanho do heap do JVM | Azul/verde | Por padrão, o OpenSearch Service usa 50% da RAM de uma instância para o heap da JVM, até um tamanho de heap de 32 GiB. Aumentar essa porcentagem fornece OpenSearch mais memória, mas deixa menos para o sistema operacional e outros processos. Valores maiores podem diminuir o número de pausas de coleta de resíduos, mas aumentar o comprimento dessas pausas. |
| Configurações de geração jovem do JVM | Azul/verde | As configurações de “geração jovem” do JVM afetam a frequência de coletas de resíduos secundárias. Coleções secundárias mais frequentes podem diminuir o número de coleções principais e pausas. |
| Tamanho da fila | Sem interrupções | Por padrão, o tamanho da fila de pesquisa é `1000` e o tamanho da fila de gravação é `10000`. O Auto-Tune dimensiona automaticamente as filas de pesquisa e gravação quando há heap adicional disponível para lidar com solicitações. |
| Tamanho do cache | Sem interrupções | O *cache de campo* monitora estruturas de dados no heap. Por isso, é importante monitorar o uso do cache. O Auto-Tune dimensiona o tamanho do cache de dados de campo para evitar problemas de falta de memória e interruptores de circuito. O *cache de solicitação de fragmento* é gerenciado em nível de nó e tem um tamanho máximo padrão de 1% do heap. O Auto-Tune dimensiona o tamanho do cache de solicitação de fragmentos para aceitar mais solicitações de pesquisa e índice do que o cluster configurado é capaz de manipular. |
| Dimensão da solicitação | Sem interrupções | Por padrão, quando o tamanho agregado das solicitações em andamento ultrapassa 10% do total da JVM (2% para tipos de `t2` instância e 1% para`t3.small`), limita todas OpenSearch as solicitações novas `_search` e `_bulk` até que as solicitações existentes sejam concluídas. O Auto-Tune ajusta esse limite de forma automática, que costuma ser entre 5 e 15%, de acordo com a quantidade da JVM ocupada atualmente no sistema. Por exemplo, se a pressão de memória da JVM estiver alta, o Auto-Tune poderá reduzir o limite para 5%. Se for o caso, talvez você veja mais rejeições até o cluster se estabilizar e o limite aumentar. |
# Habilitação ou desabilitação do Auto-Tune
OpenSearch O serviço ativa o Auto-Tune por padrão em novos domínios. Para habilitar ou desabilitar o Auto-Tune em domínios existentes, recomendamos utilizar o console, o que simplifica o processo. Ativar o Auto-Tune não causa uma blue/green implantação.
No momento, não é possível habilitar ou desabilitar o Ajuste automático usando o AWS CloudFormation.
## Console
**Como habilitar o Auto-Tune em um domínio existente**
1. Abra o console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home ).
1. No painel de navegação, em **Domínios**, escolha o nome do domínio para abrir a configuração do cluster.
1. Escolha **Ativar** se o Auto-Tune ainda não estiver ativado.
1. Opcionalmente, selecione **Janela fora do pico** para agendar otimizações que exijam uma blue/green implantação durante a janela fora do pico configurada do domínio. Para obter mais informações, consulte [Agendamento de melhorias no Auto-Tune](auto-tune-schedule.md).
1. Escolha **Salvar alterações**.
## CLI
Para ativar o Auto-Tune usando o AWS CLI, envie uma [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)solicitação:
```
aws opensearch update-domain-config \
--domain-name my-domain \
--auto-tune-options DesiredState=ENABLED
```
# Agendamento de melhorias no Auto-Tune
Antes de 16 de fevereiro de 2023, o Auto-Tune usava *janelas de manutenção* para programar mudanças que exigiam uma blue/green implantação. As janelas de manutenção agora estão obsoletas em favor da [janela fora do horário de pico](off-peak.md), que é um período diário de 10 horas durante o qual seu domínio normalmente tem pouco tráfego. Você pode modificar a hora de início padrão para a janela fora do horário de pico, mas não pode alterar a duração dela.
Todos os domínios do Auto-Tune que tinham as janelas de manutenção ativadas antes da introdução das janelas fora do horário de pico em 16 de fevereiro de 2023 podem continuar usando as janelas de manutenção antigas, sem interrupção. No entanto, recomendamos a migração dos seus domínios existentes para usar a janela fora do horário de pico para a manutenção do domínio. Para instruções, consulte [Migração das janelas de manutenção do Auto-Tune](off-peak.md#off-peak-migrate).
## Console
**Como agendar ações do Auto-Tune na janela fora do horário de pico**
1. Abra o console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home ).
1. No painel de navegação, em **Domínios**, escolha o nome do domínio para abrir a configuração do cluster.
1. Vá até a guia **Auto-Tune** e escolha **Editar**.
1. Escolha **Ativar** se o Auto-Tune ainda não estiver ativado.
1. Em **Programar otimizações durante a janela fora do pico**, selecione **Janela fora do horário de pico**.
1. Escolha **Salvar alterações**.
## CLI
Para configurar seu domínio para agendar ações de ajuste automático durante a janela configurada fora de pico, inclua `UseOffPeakWindow` [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)na solicitação:
```
aws opensearch update-domain-config \
--domain-name my-domain \
--auto-tune-options DesiredState=ENABLED,UseOffPeakWindow=true,MaintenanceSchedules=null
```
## Monitoramento de alterações no Auto-Tune
Você pode monitorar as estatísticas do Auto-Tune em Amazon CloudWatch. Para obter uma lista completa de métricas, consulte [Métricas do Auto-Tune](managedomains-cloudwatchmetrics.md#managedomains-cloudwatchmetrics-autotune-metrics).
OpenSearch O serviço envia eventos do Auto-Tune para a Amazon EventBridge. Você pode usar EventBridge para configurar regras que enviam um e-mail ou executam uma ação específica quando um evento é recebido. Para ver o formato de cada evento do Auto-Tune enviado para EventBridge, consulte[Auto-Tune de eventos](monitoring-events.md#monitoring-events-autotune).
# Marcação de domínios do Amazon OpenSearch Service
As tags permitem que você atribua informações arbitrárias a um domínio do Amazon OpenSearch Service para que você possa categorizar e filtrar essas informações. Uma tag é um par de valores-chave que você define e associa a um domínio de OpenSearch serviço. Você pode usar essas tags para rastrear custos agrupando despesas para recursos com tags semelhantes. AWS não aplica nenhum significado semântico às suas tags. Tags são interpretadas estritamente como sequências de caracteres. Todas as tags têm os elementos a seguir:
| Elemento da tag | Description | Obrigatório |
| --- | --- | --- |
| Chave de tag | A chave de tags é o nome da tag. A chave deve ser exclusiva para o domínio do OpenSearch serviço ao qual ela está vinculada. Para obter uma lista de restrições básicas a chaves e valores de tag, consulte [Restrições a tags definidas pelo usuário](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/allocation-tag-restrictions.html). | Sim |
| Valor da tag | O valor da tag é o valor da string da tag. Os valores de tag podem ser `null` e não precisam ser exclusivos em um conjunto de tags. Por exemplo, você pode ter um par de valores-chave em um conjunto de tags de. project/Trinity and cost-center/Trinity Para obter uma lista de restrições básicas a chaves e valores de tag, consulte [Restrições a tags definidas pelo usuário](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/allocation-tag-restrictions.html). | Não |
Cada domínio OpenSearch de serviço tem um conjunto de tags, que contém todas as tags atribuídas a esse domínio OpenSearch de serviço. AWS não atribui automaticamente nenhuma tag aos domínios OpenSearch de serviço. Um conjunto de tags pode conter entre 0 e 50 tags. Se você adicionar uma tag a um domínio que tenha a mesma chave que uma tag existente, o novo valor sobrescreverá o antigo.
## Exemplos de marcação com tags
Você pode usar uma chave para definir uma categoria, e o valor da tag pode ser um item nessa categoria. Por exemplo, você pode definir uma chave de tag de `project` e um valor de tag de`Salix`, indicando que o domínio do OpenSearch serviço está atribuído ao projeto Salix. Você também pode usar tags para designar domínios de OpenSearch serviço como sendo usados para teste ou produção usando uma chave como `environment=test` ou. `environment=production` Tente usar um conjunto consistente de chaves de tag para facilitar o rastreamento de metadados associados aos domínios OpenSearch de serviço.
Você também pode usar etiquetas para organizar sua AWS fatura de forma a refletir sua própria estrutura de custos. Para fazer isso, inscreva-se para receber sua Conta da AWS fatura com os valores-chave da etiqueta incluídos. Organize então suas informações de faturamento de acordo com recursos com os mesmos valores de chave de tag para ver o custo de recursos combinados. Por exemplo, você pode marcar vários domínios de OpenSearch serviço com pares de valores-chave e, em seguida, organizar suas informações de cobrança para ver o custo total de cada domínio em vários serviços. Para saber mais, consulte [Como usar tags de alocação de custos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) na documentação do *AWS Billing and Cost Management*.
**nota**
As tags são armazenados em cache para finalidade de autorização. Por esse motivo, as adições e atualizações de tags nos domínios OpenSearch de serviço podem levar alguns minutos até serem disponibilizadas.
# Marcação de domínios (console)
O console é a maneira mais simples marcar um domínio com tags.
****Para criar uma tag (console)****
1. Vá para [https://aws.amazon.com](https://aws.amazon.com/ ), e escolha **Sign In to the Console** (Faça login no Console).
1. Em **Analytics**, escolha **Amazon OpenSearch Service**.
1. Selecione o domínio ao qual você deseja adicionar tags e vá para guia **Tags** (Etiquetas).
1. Escolha **Manage** (Gerenciar) e **Add new tag** (Adicionar nova tag).
1. Insira uma chave de tag e um valor opcional.
1. Escolha **Salvar**.
Para excluir uma tag, siga as mesmas etapas e escolha **Remover** na página **Gerenciar tags**.
Para saber mais sobre como usar o console para trabalhar com tags, consulte [Editor de tags](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) no *Guia de conceitos básicos do Console de Gerenciamento da AWS *.
# Marcação de domínios (AWS CLI)
Você pode criar tags de recursos usando o **--add-tags** comando AWS CLI with the.
**Sintaxe**
`add-tags --arn= --tag-list Key=,Value=`
****
| Parâmetro | Description |
| --- | --- |
| --arn | Nome do recurso da Amazon para o domínio do OpenSearch serviço ao qual a tag está anexada. |
| --tag-list | Conjunto de pares de chave/valor separados por espaço no seguinte formato: Key=,Value= |
**Exemplo**
O exemplo a seguir cria duas tags para o domínio *logs*:
```
aws opensearch add-tags --arn arn:aws:es:us-east-1:379931976431:domain/logs --tag-list Key=service,Value=OpenSearch Key=instances,Value=m3.2xlarge
```
Você pode remover tags de um domínio OpenSearch de serviço usando o **--remove-tags** comando.
**Sintaxe**
`remove-tags --arn= --tag-keys Key=,Value=`
****
| Parâmetro | Description |
| --- | --- |
| --arn | Nome de recurso da Amazon (ARN) para o domínio do OpenSearch serviço ao qual a tag está anexada. |
| --tag-keys | Conjunto de pares de valores-chave separados por espaço que você deseja remover do domínio do Serviço. OpenSearch |
**Exemplo**
O exemplo a seguir remove duas tags do domínio *logs* que foram criadas no exemplo anterior:
```
aws opensearch remove-tags --arn arn:aws:es:us-east-1:379931976431:domain/logs --tag-keys service instances
```
Você pode visualizar as tags existentes para um domínio OpenSearch de serviço com o **--list-tags** comando:
**Sintaxe**
`list-tags --arn=`
****
| Parâmetro | Description |
| --- | --- |
| --arn | Nome de recurso da Amazon (ARN) para o domínio do OpenSearch serviço ao qual as tags estão anexadas. |
**Exemplo**
O exemplo a seguir lista todas as tags de recurso para o domínio *logs*:
```
aws opensearch list-tags --arn arn:aws:es:us-east-1:379931976431:domain/logs
```
# Marcação de domínios (AWS SDKs)
O AWS SDKs (exceto o Android e o iOS SDKs) suporta todas as ações definidas na [Amazon OpenSearch Service API Reference](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/Welcome.html)`AddTags`, incluindo as `RemoveTags` operações`ListTags`, e. Para obter mais informações sobre como instalar e usar o AWS SDKs, consulte [Kits AWS de desenvolvimento de software](https://aws.amazon.com/code).
## **Python**
Este exemplo usa o cliente Python de [OpenSearchService](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/opensearch.html)baixo nível AWS do SDK para Python (Boto) para adicionar uma tag a um domínio, listar a tag anexada ao domínio e remover uma tag do domínio. É necessário fornecer valores para `DOMAIN_ARN`, `TAG_KEY` e `TAG_VALUE`.
```
import boto3
from botocore.config import Config # import configuration
DOMAIN_ARN = '' # ARN for the domain. i.e "arn:aws:es:us-east-1:123456789012:domain/my-domain
TAG_KEY = '' # The name of the tag key. i.e 'Smileyface'
TAG_VALUE = '' # The value assigned to the tag. i.e 'Practicetag'
# defines the configurations parameters such as region
my_config = Config(region_name='us-east-1')
client = boto3.client('opensearch', config=my_config)
# defines the client variable
def addTags():
"""Adds tags to the domain"""
response = client.add_tags(ARN=DOMAIN_ARN,
TagList=[{'Key': TAG_KEY,
'Value': TAG_VALUE}])
print(response)
def listTags():
"""List tags that have been added to the domain"""
response = client.list_tags(ARN=DOMAIN_ARN)
print(response)
def removeTags():
"""Remove tags that have been added to the domain"""
response = client.remove_tags(ARN=DOMAIN_ARN, TagKeys=[TAG_KEY])
print('Tag removed')
return response
```
# Execução de ações administrativas em domínios OpenSearch do Amazon Service
O Amazon OpenSearch Service oferece várias opções administrativas que fornecem controle granular se você precisar solucionar problemas com seu domínio. Essas opções incluem a capacidade de reiniciar o OpenSearch processo em um nó de dados e a capacidade de reiniciar um nó de dados.
OpenSearch O serviço monitora os parâmetros de integridade do nó e, quando há anomalias, toma ações corretivas para manter os domínios estáveis. Com as opções administrativas para reiniciar o OpenSearch processo em um nó e reiniciar o próprio nó, você tem controle sobre algumas dessas ações de mitigação.
Você pode usar o Console de gerenciamento da AWS, AWS CLI, ou o AWS SDK para realizar essas ações. As seções a seguir abordam como realizar essas ações com o console.
# Reiniciando o OpenSearch processo em um nó no Amazon Service OpenSearch
**Para reiniciar o OpenSearch processo em um nó**
1. Navegue até o console OpenSearch de serviço em[https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. No painel de navegação à esquerda, escolha **Domínios**. Escolha o nome do domínio que você deseja atualizar.
1. Depois que a página de detalhes do domínio for aberta, navegue até a guia **Integridade da instância**.
1. Em **Nós de dados**, selecione o botão ao lado do nó no qual você deseja reiniciar o processo.
1. Selecione o menu suspenso **Ações** e escolha **Reiniciar OpenSearch/Elasticsearch ** processo.
1. Escolha **Confirmar** no modal.
1. Para ver o status da ação que você iniciou, selecione o nome do nó. Depois que a página de detalhes do nó for aberta, escolha a guia **Eventos** abaixo do nome do nó para ver uma lista de eventos associados a esse nó.
# Reinicializando um nó de dados no Amazon Service OpenSearch
**Como reinicializar um nó de dados**
1. Navegue até o console OpenSearch de serviço em[https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. No painel de navegação à esquerda, escolha **Domínios**. Escolha o nome do domínio que você deseja atualizar.
1. Depois que a página de detalhes do domínio for aberta, navegue até a guia **Integridade da instância**.
1. Em **Nós de dados**, selecione o botão ao lado do nó no qual você deseja reiniciar o processo.
1. Selecione o menu suspenso **Ações** e escolha **Nó de reinicialização**.
1. Escolha **Confirmar** no modal.
1. Para ver o status da ação que você iniciou, selecione o nome do nó. Depois que a página de detalhes do nó for aberta, escolha a guia **Eventos** abaixo do nome do nó para ver uma lista de eventos associados a esse nó.
# Reiniciando o processo de OpenSearch painéis em um nó no Amazon Service OpenSearch
Você pode reiniciar o processo do OpenSearch Dashboards (anteriormente Kibana) para se recuperar de problemas como interface congelada, falhas de carregamento ou visualizações que não respondem. A opção de reiniciar os OpenSearch painéis só está disponível para o nó que está executando ativamente o processo de painéis. Na maioria dos domínios OpenSearch de serviço, esse processo é executado em nós coordenadores dedicados, não em nós de dados. Por isso, quando você abre a lista suspensa **Ações** no console, a opção normalmente aparece apenas para nós coordenadores. Para saber mais, consulte [Nódulos de coordenação dedicados no Amazon OpenSearch Service](Dedicated-coordinator-nodes.md).
Esse comportamento depende de como domínio está configurado.
+ **Domínios com nós coordenadores dedicados**: o processo do Dashboards é executado exclusivamente nesses nós e ele mostram apenas a opção de reiniciar.
+ **Domínios sem nós coordenadores dedicados**: em configurações mais simples ou mais antigas, o Dashboards pode ser executado em um nó de dados, e a opção de reiniciar aparece neles.
+ **Nós principais**: esses nós servem exclusivamente para gerenciar o estado e as eleições de cluster. Eles não executam o Dashboards e nunca mostram a opção de reiniciar.
Para determinar qual nó está executando o processo do Dashboards, navegue até a seção **Configuração de cluster** do domínio e revise os perfis dos nós. A opção de reiniciar está disponível apenas para o nó que hospeda o processo do Dashboards.
**Para reiniciar o processo do Dashboards em um nó**
1. Navegue até o console OpenSearch de serviço em[https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. No painel de navegação à esquerda, escolha **Domínios**. Escolha o nome do domínio que você deseja atualizar.
1. Depois que a página de detalhes do domínio for aberta, navegue até a guia **Integridade da instância**.
1. Na seção dos nós que estão executando o processo do Dashboards, selecione o botão ao lado do nó em que você deseja reiniciar o processo.
1. Selecione o menu suspenso **Ações** e escolha **Reiniciar Dashboard/Kibana ** processo.
1. Escolha **Confirmar** no modal.
1. Para ver o status da ação que você iniciou, selecione o nome do nó. Depois que a página de detalhes do nó for aberta, escolha a guia **Eventos** abaixo do nome do nó para ver uma lista de eventos associados a esse nó.
## Limitações
As opções administrativas têm as seguintes limitações:
+ As opções administrativas são compatíveis com as versões 7.x e superiores do Elasticsearch.
+ As opções administrativas não oferecem suporte a domínios com Multi-AZ com modo de espera ativado.
+ A reinicialização do processo OpenSearch e do Elasticsearch e a reinicialização do nó de dados são suportadas em domínios com três ou mais nós de dados.
+ O suporte ao processo do Dashboards e Kibana é compatível com domínios com dois ou mais nós de dados.
+ Para reiniciar o OpenSearch processo em um nó ou reinicializar um nó, o domínio não deve estar no estado vermelho e todos os índices devem ter réplicas configuradas.