创建OpenSearch Domain
进入OpenSearch页面,创建一个新的Domain:
提供一个域名,一个唯一的标识符:
对于 数据节点,保持默认设置,选择r6.large.search
- 节点数量:2
- 其余 存储类型、EBS 卷类型、每个节点的 EBS 存储大小保持默认
跳到 网络,我们将在 VPC中运行集群,选择VPC Access:
- 对于 IP 地址类型:
IPv4 Only - 选择 CIDR 为 [172.31.0.0/16] 的 VPC
- 选择任何一个私有子网
- 选择名为
default的 安全组 - 将 IAM 角色保留为默认
AWSServiceRoleForAmazonOpenSearchService
启用 细粒度访问控制
- 选择: [Create master user]
访问策略(Access Policy) 定义了哪些请求被授权访问您的域
选择Only use fine-grained access control
将其余配置保留为默认。检查底部的配置摘要,然后单击创建按钮。
创建域大约需要 10-15 分钟。
VPC模式与Internet模式
上面在创建OpenSearch时有两种网络模式:
它们的区别如下:
安全性:
- VPC由于其逻辑隔离,提供了比Internet域更多的一层安全性。
- Internet模式可以从任何连接互联网的设备访问,而VPC模式则需要使用VPN或代理。
控制台信息:
- VPC模式在控制台上显示的信息较少。具体来说,VPC模式的集群健康选项卡不包括分片信息,并且没有索引选项卡。
endpoint形式:
- 域endpoint的形式不同。Internet模式的端点形式为
https://search-domain-name,而VPC域的端点形式为https://vpc-domain-name
IP访问策略:
- 对于VPC内的OpenSearch,不能应用基于IP的访问策略,因为安全组已经强制执行了基于IP的访问策略。
限制
不可切换端点类型:
- 一旦在VPC内启动新域,不能将其切换为Internet模式。反之亦然,如果创建了Internet模式的域,不能将其放置在VPC内。必须创建新域并迁移数据。
域的创建方式:
- 不能同时使用两者。创建域时必须选择其中一种方式。
域的迁移:
- 将域放置在VPC内后,不能将其移动到不同的VPC,但可以更改子网和安全组设置。
OpenSearch Dashboards访问:
- 要访问在VPC内的OpenSearch Dashboards,用户必须具有对VPC的访问权限。这通常涉及连接到VPN或或者使用代理服务器。
VPC模式提供了更高的安全性和访问控制,但也伴随着一些使用上的限制和配置上的复杂性。