/DOCS
Облачная платформаAdvanced

Настройка VPC Endpoints для Elasticsearch Кластера

Эта статья полезна?
Язык статьи: Русский
Показать оригинал
Страница переведена автоматически и может содержать неточности. Рекомендуем сверяться с английской версией.

VPC Endpoint позволяет вам получать доступ к ресурсам между VPC с использованием выделенного шлюза, не раскрывая сетевую информацию серверов. VPC endpoint можно получить через IPv4-адрес или приватное доменное имя.

  • IPv4-адрес автоматически выделяется, когда VPC Endpoint включен.
  • Приватное доменное имя выделяется только при включении приватных доменных имен.

VPC Endpoint использует общий load balancer для доступа к внутренней сети. Если ваши нагрузки требуют более быстрого доступа, мы рекомендуем использовать выделенный load balancer для обработки доступа к вашему кластеру. Для деталей см. Настройка выделенного Load Balancer для Elasticsearch Кластера.

Влияние на биллинг

VPC endpoints, если созданы для кластера, приведут к дополнительным сборам, в зависимости от использования ресурсов. Для деталей см. раздел "Billing" в Руководство пользователя VPC Endpoint.

Ограничения

  • Вам требуются конкретные разрешения для создания VPC endpoints. Для получения подробной информации см. раздел "Permissions" в VPC Endpoint Руководство пользователя.
  • Доступ из публичной сети и сервис VPC Endpoint используют общий балансировщик нагрузки. Если вы настроите белый список для доступа из публичной сети, и поскольку этот белый список развернут на общем балансировщике нагрузки, он будет контролировать не только доступ из публичной сети, но и доступ с использованием частных IP-адресов через VPCEP. В этом случае необходимо добавить IP-адрес 198.19.128.0/17 в белый список доступа из публичной сети, чтобы разрешить трафик через VPCEP.
  • После включения VPCEP доступ к CSS через IP-адрес VPCEP или частное доменное имя из внутренней сети не контролируется никакими правилами групп безопасности кластера. Вместо этого необходимо настроить белый список VPCEP для реализации контроля доступа. Для получения подробной информации см. раздел "Configuring Access Control for an Interface VPC Endpoint" в VPC Endpoint Руководство пользователя.

Включение VPC Endpoint

Если VPC Endpoint не был включён при создании кластера, вы можете включить его следующим образом:

  1. Войдите в консоль управления CSS.
  2. В навигационной панели слева выберите Clusters > Elasticsearch.
  3. В списке кластеров кликните название целевого кластера. Отображается страница информации о кластере.
  4. На Обзор вкладке проверьте информацию о подсети кластера в Конфигурация области. При добавлении VPC endpoint IP-адрес, принадлежащий текущей подсети кластера, автоматически назначается ему.

    Рисунок 1 Проверка текущей подсети


    Если вы хотите использовать другую подсеть, сначала переключите подсеть, а затем включите VPC Endpoint. Подробности см. Могу ли я расширить подсеть для кластера Elasticsearch или OpenSearch?

  5. Выбрать Доступ к кластеру > VPC Endpoint.
  6. Включить VPC Endpoint. В отображённом диалоговом окне выберите соответствующие параметры.
    Таблица 1 Параметры включения VPC Endpoint

    Опция

    Описание

    Создать приватное доменное имя

    Создавать ли приватное доменное имя для VPC Endpoint.

    • Включить: Система автоматически назначает приватное доменное имя для VPC Endpoint. После создания кластера вы можете проверить это приватное доменное имя на VPC Endpoint вкладка страницы сведений о кластере.
    • Отключить: Для VPC эндпоинта не будет настроено частное доменное имя. Кластер можно будет получить доступ только через IP-адрес, назначенный VPC эндпоинту.
  7. Нажмите OK для включения VPC эндпоинта. После включения VPC эндпоинта его информация отображается ниже. Когда его статус изменится на Accepted, текущий кластер можно будет получить доступ через VPC эндпоинт.

Управление VPC эндпоинтами

После включения VPC эндпоинта для кластера вы можете установить контроль доступа, проверить информацию о VPC эндпоинте и запретить доступ с определённых VPC эндпоинтов.

  1. Войдите в консоль управления CSS.
  2. В навигационной панели слева выберите Кластеры > Elasticsearch.
  3. В списке кластеров нажмите имя целевого кластера. Отображается страница с информацией о кластере.
  4. Выберите Доступ к кластеру > VPC Endpoint.
  5. Настройте контроль доступа для VPC endpoint.
    1. Щелкните Изменить справа от Белый список VPC Endpoint. В отображаемом диалоговом окне добавьте учетные записи, которым разрешён доступ к кластеру через VPC endpoint. Если учетная запись не добавлена или ID учетной записи установлен в *, все пользователи имеют доступ к кластеру через VPC endpoint.
      • Щелкните Добавить для добавления учетных записей в ID учетной записи. Чтобы получить ваш авторизованный ID учетной записи, наведите курсор на ваше имя пользователя в правом верхнем углу и выберите My Credentials. Скопируйте значение ID учетной записи.
      • Нажмите Удалить в Операция столбце, чтобы удалить авторизованную учетную запись.
    2. Нажмите OK.
  6. Проверьте информацию о VPC endpoint.

    Список VPC endpoint отображает VPC endpoint, созданные для текущего кластера. Вы можете получить их Статус, Адрес службы, и Приватное доменное имя.

    Figure 2 Managing VPC endpoints


  7. Modify VPC endpoint status чтобы сделать кластер доступным или недоступным через определённые эндпоинты.
    • В списке VPC эндпоинтов выберите целевой эндпоинт и нажмите Отклонить в Операция колонка. Если статус эндпоинта меняется на Отклонено, это означает, что кластер более недоступен через этот эндпоинт.
    • Выберите эндпоинт, статус которого Отклонено. Нажмите Принять в Операция колонка. Если статус эндпоинта меняется на Принято, это означает, что кластер снова доступен через этот эндпоинт.

Отключение VPC эндпоинта

Если кластер более не нуждается в меж-VPC доступе через VPC эндпоинты, отключите VPC эндпоинт, чтобы освободить ресурсы.

После отключения VPC Endpoint кластер более недоступен по адресу VPCEP IP или частному доменному имени. Если вы отключите VPC Endpoint, а затем вновь включите его, адрес VPCEP IP или частное доменное имя для доступа к кластеру может измениться. В таком случае вам может потребоваться обновить клиентское соединение. Если вам нужно только временно отключить VPC Endpoint (а не полностью освобождать его ресурсы), сделайте это, отклоняя конкретные VPC endpoints. Для получения подробной информации см. 7.

  1. Войдите в консоль управления CSS.
  2. В левой навигационной панели выберите Кластеры > Elasticsearch.
  3. В списке кластеров щёлкните имя целевого кластера. Страница информации о кластере отображается.
  4. Выберите Доступ к кластеру > VPC Endpoint.
  5. Отключить VPC Endpoint. В отображаемом диалоговом окне введите CONFIRM и нажмите OK.

Accessing a Cluster Through a VPC Endpoint

  1. Получите частное доменное имя или IP-адрес VPC endpoint.

    В списке VPC endpoint проверьте Service Address или Private Domain Name.

  2. На клиенте (например, ECS) выполните команду curl для доступа к Кластеру.

    Например, выполните следующую команду, чтобы проверить информацию об индексе Кластера:

    • Для Кластера с отключенным режимом безопасности:
      curl "http://<host>:9200/_cat/indices"
    • Для Кластера в режиме безопасности, использующего HTTP:
      curl -u <user>:<password> "http://<host>:9200/_cat/indices"
    • Для Кластера в режиме безопасности, использующего HTTPS:
      curl -u <user>:<password> -k "https://<host>:9200/_cat/indices"

    где, пользователь и пароль являются именем пользователя и паролем, используемыми для доступа к кластеру, и хост указывает на приватное доменное имя или IP‑адрес VPC endpoint.

Поддержка Юридические документы
© 2026 Cloud.ru