/DOCS
Облачная платформаAdvanced

Настройка VPC Endpoint Service для Elasticsearch Кластера

Эта статья полезна?
Язык статьи: Русский
Показать оригинал
Страница переведена автоматически и может содержать неточности. Рекомендуем сверяться с английской версией.

VPC Endpoint Service позволяет получать доступ к ресурсам между Virtual Private Clouds (VPCs), используя выделенный шлюз, не раскрывая сетевую информацию серверов. Когда VPC Endpoint Service включен, VPC endpoint будет создан по умолчанию. При необходимости вы можете выбрать Private Domain Name Creation. Пользователи смогут получить доступ к этому кластеру между VPCs через IP-адреса узлов или частное доменное имя.

VPC Endpoint использует общий load balancer для доступа во внутреннюю сеть. Если вашим нагрузкам требуется более быстрый доступ, рекомендуется использовать выделенный load balancer для подключения к вашему кластеру. Для получения подробной информации о его конфигурации см Настройка выделенного Load Balancer для Elasticsearch Кластера.

Ограничения

  • Создание VPC endpoint требует определенных разрешений. Для получения подробной информации см раздел "Permissions" в VPC Endpoint Руководство пользователя.
  • Доступ из публичной сети и сервис VPC Endpoint используют общий балансировщик нагрузки. Если вы настроите белый список для доступа из публичной сети, и поскольку этот белый список развернут на общем балансировщике нагрузки, он будет контролировать не только доступ из публичной сети, но и доступ с использованием приватных IP-адресов через VPCEP. В этом случае нужно добавить IP-адрес 198.19.128.0/17 в белый список доступа из публичной сети, чтобы разрешить трафик через VPCEP.
  • После включения VPCEP доступ к CSS через IP-адрес VPCEP или приватное доменное имя не контролируется никакими правилами группы безопасности кластера. Вместо этого вам необходимо настроить белый список VPCEP для реализации контроля доступа.

Включение сервиса VPC Endpoint

  1. Войдите в CSS консоль управления.
  2. Нажмите Создать кластер в правом верхнем углу.
  3. На Создать кластер странице, установите Расширенные настройки к Пользовательский. Включить сервис VPC Эндпоинт.
    Таблица 1 Настройка сервиса VPC Эндпоинт

    Параметр

    Описание

    Создание приватного доменного имени

    Если Создание приватного доменного имени выбран, система генерирует IP‑адрес узла и также автоматически создает приватное доменное имя, которое позволяет пользователям получать доступ к этому кластеру из того же VPC. Если не выбран, генерируется только IP‑адрес узла.

    Создать профессиональные Эндпоинты

    Выберите, создавать ли профессиональные Эндпоинты.

    • Если не выбрано, будет создан базовый Эндпоинт.
    • Если выбрано, будет создан профессиональный Эндпоинт.
    NOTE:

    Если регион, в котором расположен кластер, не поддерживает профессиональные конечные точки, эта опция недоступна. По умолчанию создаётся базовая конечная точка.

    IPv4/IPv6 dual stack сеть

    Включить ли IPv4/IPv6 dual-stack сеть. Эта опция доступна только когда IPv6 включён для подсети VPC кластера и вы выбрали Создать профессиональные конечные точки ранее.

    VPC Endpoint Service Белый список

    В VPC Endpoint Service Белый список, вы можете добавить учетные записи, которым разрешён доступ к кластеру с использованием IP-адреса узла или приватного доменного имени.

    • Нажмите Добавить чтобы добавить учетные записи в Авторизованный идентификатор учетной записи. Если авторизованный идентификатор учетной записи установлен в *, все пользователи могут получить доступ к кластеру.
    • Нажмите Удалить в Операция столбец для удаления учетных записей.
    ПРИМЕЧАНИЕ:

    Чтобы получить ваш авторизованный account ID, наведите курсор на ваше имя пользователя в правом верхнем углу и выберите My Credentials. Скопируйте значение Account ID.

Включение VPC Endpoint Service для существующего кластера

Вы можете включить VPC Endpoint Service при создании кластера. Кроме того, вы можете выполнить это, выполнив следующие шаги после создания кластера.

  1. Войдите в CSS консоль управления.
  2. Выберите Кластеры в навигационной панели. На Кластеры странице, щелкните название целевого кластера.
  3. Щелкните VPC Endpoint Service вкладке, и включите кнопку рядом с VPC Endpoint Service.

    Таблица 2 Настройка VPC Endpoint Service

    Параметр

    Описание

    Создание приватного доменного имени

    Если Создание приватного доменного имени выбран, система генерирует IP-адрес узла и также автоматически создает приватное доменное имя, что позволяет пользователям получать доступ к этому кластеру из того же VPC. Если не выбран, генерируется только IP-адрес узла.

    Создать профессиональные конечные точки

    Выберите, создавать ли профессиональные конечные точки.

    • Если не выбран, будет создан базовый Endpoint.
    • Если выбран, будет создан профессиональный Endpoint.
    NOTE:

    Если регион, в котором расположен кластер, не поддерживает профессиональные Endpoint, эта опция недоступна. По умолчанию создаётся базовый Endpoint.

    IPv4/IPv6 dual stack сеть

    Включить ли IPv4/IPv6 dual-stack сеть. Эта опция доступна только когда IPv6 включён для подсети VPC кластера и вы выбрали Создать профессиональные Endpoint раньше.

    VPC Endpoint Сервис Белый список

    В VPC Endpoint Сервис Белый список, вы можете добавить учетные записи, которым разрешён доступ к кластеру с использованием IP‑адреса узла или приватного доменного имени.

    • Нажмите Добавить чтобы добавить учетные записи в Авторизованный ID учётной записи. Если авторизованный идентификатор аккаунта установлен в *, всем пользователям разрешён доступ к кластеру.
    • Нажмите Удалить в Операция столбец для удаления аккаунтов.
    ПРИМЕЧАНИЕ:

    Чтобы получить ваш авторизованный идентификатор аккаунта, наведите курсор на ваше имя пользователя в правом верхнем углу и выберите My Credentials. Скопируйте значение Идентификатор аккаунта.

  4. Управляйте VPC эндпоинтами.

    Эта VPC Endpoint Service страница отображает все VPC эндпоинты, подключённые к текущему кластеру. Вы можете получить сервисный адрес и частное доменное имя VPC эндпоинтов.

    Рисунок 1 Управление конечными точками VPC


    Нажмите Принять или Отклонить в Операция в столбце для изменения статуса узла. Если вы отклоните подключение с конечной точкой VPC, вы не сможете получить доступ к кластеру через частное доменное имя, созданное этой конечной точкой VPC.

Отключение службы конечных точек VPC

Note

После отключения службы конечных точек VPC, доступ к кластеру через IP-адрес VPCEP или частное доменное имя более невозможен. Если вы отключите службу конечных точек VPC, а затем включите её снова, IP-адрес VPCEP или частное доменное имя для доступа к кластеру могут измениться. Будьте осторожны.

  1. Войдите в консоль управления CSS.
  2. Выберите Кластеры в навигационной панели. На Кластеры странице, нажмите имя целевого кластера.
  3. Выберите VPC Endpoint Service в навигационной панели и отключите кнопку рядом с VPC Endpoint Service.

Доступ к кластеру с использованием IP‑адреса узла или частного доменного имени

  1. Получите частное доменное имя кластера или IP‑адрес узла.

    Войдите в консоль CSS, нажмите название целевого кластера и перейдите к Информация о кластере страницу. Нажмите VPC Endpoint Service вкладку и проверьте адрес сервиса и частное доменное имя.

  2. На ECS выполните команду cURL для доступа к кластеру, вызывая API.

    ECS должен соответствовать следующим требованиям:

    • Для ECS выделено достаточное дисковое пространство.
    • ECS и кластер должны находиться в одном VPC. После включения службы VPC endpoint вы можете получить доступ к кластеру из ECS, даже если кластер не находится в том же VPC, что и ECS.
    • Группа безопасности ECS должна быть такой же, как у кластера.

      Если данное требование не выполнено, измените группу безопасности ECS или настройте входящие и исходящие правила группы безопасности ECS, чтобы все группы безопасности кластера могли обращаться к группе безопасности ECS. Для подробностей см. Virtual Private Cloud Руководство пользователя.

    • Настройте параметры правил группы безопасности целевого CSS кластера. Установите Протокол до TCP и Диапазон портов до 9200 или диапазон портов, включающий порт 9200 для обоих направлений — исходящего и входящего.

    Например, выполните следующую команду cURL, чтобы просмотреть информацию об индексе в кластере. В этом примере частный сетевой адрес кластера vpcep-7439f7f6-2c66-47d4-b5f3-790db4204b8d.region01.example.com, и порт 9200 используется.

    • Если у кластера, к которому вы подключаетесь, режим безопасности не включён, выполните следующую команду:
      curl 'http://vpcep-7439f7f6-2c66-47d4-b5f3-790db4204b8d.region01.example.com:9200/_cat/indices'
    • Если у кластера, к которому вы подключаетесь, включён режим безопасности, подключитесь к кластеру по HTTPS и добавьте имя пользователя, пароль и -u к команде cURL.
      curl -u username:password -k 'https://vpcep-7439f7f6-2c66-47d4-b5f3-790db4204b8d.region01.example.com:9200/_cat/indices'
Поддержка Юридические документы
© 2025 Cloud.ru