View a markdown version of this page

Roteamento do tráfego de saída do domínio por meio de sua VPC - OpenSearch Serviço Amazon
Visão geral doComo funcionaPré-requisitosHabilitando a saída em um domínioAtualizando ou desativandoVerificando e monitorandoSolução de problemasLimites e consideraçõesUso e cobrança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Roteamento do tráfego de saída do domínio por meio de sua VPC

Saiba como rotear o tráfego de saída do seu domínio VPC do Amazon OpenSearch Service por meio de sua própria VPC em vez da Internet pública.

nota

Essa opção afeta somente o tráfego de saída do domínio. A entrada no domínio ainda funciona da mesma forma, nas portas 80 e 443.

Visão geral do

Por padrão, a saída de um domínio VPC para endpoints personalizados sai pela Internet pública.

Quando você ativa a saída por meio da sua VPC, o tráfego de saída do domínio entra na sua VPC e está sujeito às suas tabelas de rotas, grupos de segurança e ACLs de rede. Use essa opção quando precisar que a saída do domínio seja controlada por meio de sua VPC ou para alcançar endpoints privados, como endpoints de VPC do domínio.

Como funciona

Quando você ativa a saída em um domínio VPC OpenSearch , o Service coloca uma interface de rede elástica (ENI) adicional em cada sub-rede que você fornece para o domínio. O tráfego de saída do domínio sai por esses ENIs de saída.

Os ENIs de saída são gerenciados pelo solicitante. OpenSearch O serviço os cria, configura e exclui para você, e você não pode modificá-los na sua conta.

Componentes em sua VPC

Quando a saída está ativada, dois tipos de recursos estão envolvidos em sua VPC:

  • ENIs de domínio. Criado e gerenciado pelo OpenSearch Service para tráfego de entrada no domínio. Eles existem em qualquer domínio VPC, com ou sem saída ativada.

  • ENIs de saída. Criado pelo OpenSearch Service por meio de sua função vinculada ao serviço e gerenciado pelo plano da rede OpenSearch Service. Eles transportam o tráfego de saída do domínio para sua VPC.

Em um Multi-AZ domínio, as ENIs de saída são provisionadas por zona de disponibilidade, correspondendo exatamente às sub-redes selecionadas para o domínio.

Resolução de DNS para saída

Quando a saída pela VPC está ativada, o domínio resolve os nomes de host por meio do resolvedor VPC padrão (o endereço “+2" no CIDR da VPC). Os resolvedores de DNS personalizados não são suportados no lançamento.

Como o domínio usa o resolvedor de VPC, ele pode resolver:

  • Registros em zonas hospedadas privadas do Amazon Route 53 associadas à sua VPC.

  • Nomes DNS privados de endpoints de VPC em sua VPC.

Importante

Se o DNS da VPC estiver inacessível ou configurado incorretamente, as integrações de saída do domínio falharão. Consulte Solução de problemas.

Pré-requisitos

Antes de habilitar a saída por meio de sua VPC, certifique-se de que sua VPC atenda aos seguintes requisitos:

  • A resolução DNS e os nomes de host DNS estão habilitados na VPC.

  • O resolvedor de VPC padrão (o endereço “+2" em seu CIDR de VPC) pode ser acessado pelas sub-redes que você planeja usar para o domínio.

Capacidade IP da sub-rede. Reserve o número normal de endereços IP para as ENIs de domínio (consulteReserva de endereços IP em uma sub-rede da VPC), além de endereços IP adicionais por sub-rede para as ENIs de saída.

Service-linked papel. A função existente vinculada ao OpenSearch serviço Amazon Service obtém as permissões necessárias para criar e gerenciar os ENIs de saída. Se você já usa domínios VPC, não precisa recriar a função. Para saber mais, consulte Usando funções vinculadas a serviços para o Amazon Service OpenSearch.

Disponibilidade da região. A saída por meio de sua VPC está disponível nas regiões listadas na página de endpoints e cotas do OpenSearch Amazon Service.

Habilitando a saída em um domínio

Você pode ativar a saída em um domínio VPC ao criar o domínio ou ao atualizar um domínio VPC existente. Você não pode habilitar a saída em um domínio de endpoint público. Ativar ou desativar essa opção aciona uma implantação. blue/green

Console

  1. Abra o console do Amazon OpenSearch Service.

  2. Comece a criar um novo domínio ou selecione um domínio VPC existente e escolha Editar.

  3. Em Rede, escolha Acesso à VPC e selecione sua VPC, sub-redes e grupos de segurança como você faria hoje.

  4. Em VPC Egress, selecione Enable Egress.

  5. Conclua as etapas restantes e, em seguida, envie a alteração.

AWS CLI

Para criar um domínio com saída ativada, inclua EgressEnabled em--vpc-options:

aws opensearch create-domain \
  --domain-name example-domain \
  --engine-version OpenSearch_2.15 \
  --cluster-config InstanceType=r6g.large.search,InstanceCount=3,ZoneAwarenessEnabled=true \
  --vpc-options '{
      "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
      "SecurityGroupIds": ["sg-EXAMPLE"],
      "EgressEnabled": true
  }'

Para alternar a saída em um domínio VPC existente, use: update-domain-config

aws opensearch update-domain-config \
  --domain-name example-domain \
  --vpc-options '{
      "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
      "SecurityGroupIds": ["sg-EXAMPLE"],
      "EgressEnabled": true
  }'

solicitações de

Para habilitar a saída por meio de sua VPC, EgressEnabled true defina como VPCOptions in CreateDomain ou. UpdateDomainConfig O valor é retornado em VPCOptions on DescribeDomain DescribeDomainConfig e.

{
  "SubnetIds": ["subnet-EXAMPLEAZ1", "subnet-EXAMPLEAZ2", "subnet-EXAMPLEAZ3"],
  "SecurityGroupIds": ["sg-EXAMPLE"],
  "EgressEnabled": true
}

Para ver o esquema completo, consulte VpcOptions na Amazon OpenSearch Service API Reference.

Atualizando ou desativando

Você pode ativar a saída ao criar um domínio ou a qualquer momento posterior, e pode desativá-la em um domínio que a tenha ativada. Você também pode adicionar ou remover zonas de disponibilidade enquanto a saída permanece ativada. Uma alteração em EgressEnabled aciona uma blue/green implantação, da mesma forma que outras alterações na configuração da VPC. Para obter mais informações, consulte Fazendo alterações de configuração no Amazon OpenSearch Service.

Quando você desativa a saída, o OpenSearch Service remove os ENIs de saída e os recursos gerenciados por serviços relacionados da sua VPC. A exclusão do domínio limpa todos os recursos de saída automaticamente.

Verificando e monitorando

Depois de habilitar a saída, confirme se os ENIs de saída existem nas sub-redes selecionadas visualizando-os no console do Amazon EC2. Suas descrições identificam o domínio do OpenSearch Serviço. Para observar o tráfego de saída saindo do domínio, ative os registros de fluxo da VPC nas ENIs de saída. Verifique a integridade do domínio no console de OpenSearch serviço e confie nos sinais de sucesso e falha existentes de suas integrações de saída (destinos de alerta, conectores de aprendizado de máquina, repositórios de instantâneos) para obter o status no nível da integração.

Solução de problemas

Uma integração de saída parou de funcionar depois que você ativou a saída. Confirme se a tabela de rotas da VPC permite o tráfego das ENIs de saída para o destino e se o resolvedor da VPC está acessível e pode resolver o nome do host de destino.

Falha na resolução do nome do host. Confirme se a resolução DNS e os nomes de host DNS estão habilitados na VPC. Se você usa zonas hospedadas privadas do Route 53 ou um endpoint de saída do Route 53 Resolver, confirme se as regras associadas abrangem o destino.

Endereços IP insuficientes na sub-rede. Expanda a sub-rede ou use uma sub-rede dedicada para o domínio. Consulte Reserva de endereços IP em uma sub-rede da VPC.

Service-linked A função não tem permissões. Recrie a função vinculada ao serviço ou anexe a política atualizada. Consulte Usando funções vinculadas a serviços para o Amazon Service OpenSearch.

Você não pode habilitar a saída em um domínio de endpoint público. A saída pela sua VPC só está disponível em domínios da VPC. Converta o domínio primeiro. Consulte Migração do acesso público para o acesso via VPC.

Atenção

Os ENIs de saída são gerenciados pelo serviço. Não os desanexe nem os exclua manualmente. Para removê-los, desative a opção de saída no domínio ou exclua o domínio.

Limites e considerações

A saída por meio de sua VPC está disponível nas regiões listadas na página de endpoints e cotas do OpenSearch Amazon Service. É compatível com domínios do Amazon OpenSearch Service que têm VPC habilitado.

Uso e cobrança

Para monitorar a transferência de dados associada à saída por meio de sua VPC, revise AWS seu painel de faturamento quanto ao DataTransfer-Regional-Bytes tipo de uso, VPCConnectionUsage operação e código do produto. AmazonES Para ver as tarifas atuais, consulte os preços OpenSearch do Amazon Service.