Когда доступ к публичной сети включён для кластера OpenSearch, кластер автоматически получает публичный IP‑адрес с выделенной динамической пропускной способностью BGP, что делает его доступным из Интернета через HTTPS. Вы можете настроить контроль доступа из публичной сети по IP‑адресам или диапазонам IP‑адресов.
При включении доступа к публичной сети для кластера OpenSearch обычно используется общий балансировщик нагрузки для распределения трафика. Если вашим нагрузкам требуется более быстрый доступ, рекомендуется использовать выделенный балансировщик нагрузки для подключения к вашему кластеру. Для получения подробностей см Настройка выделенного балансировщика нагрузки для кластера OpenSearch.
Ограничения
- Включение доступа к публичной сети для кластера CSS может привести к возникновению расходов, так как потребуется использовать EIP и ресурсы пропускной способности.
- Для включения доступа к публичной сети для кластера OpenSearch необходимо выполнить два условия: режим безопасности и доступ по HTTPS должны быть включены.
- Публичный доступ к сети и сервис VPC Endpoint используют общий балансировщик нагрузки. Если вы настраиваете белый список для публичного доступа к сети, этот белый список разворачивается на общем балансировщике нагрузки. Таким образом, он будет контролировать доступ не только из публичной сети, но и из частных IP‑адресов через VPCEP. В этом случае необходимо добавить IP‑адрес 198.19.128.0/17 в белый список публичного доступа к сети, чтобы разрешить трафик через VPCEP.
Включение публичного доступа к сети
Чтобы включить публичный доступ к сети для существующего кластера, выполните следующие шаги:
- Войдите в консоль управления CSS.
- В навигационной панели слева выберите Clusters > OpenSearch.
- В списке кластеров нажмите название целевого кластера. Отображается страница информации о кластере.
- На Обзор вкладке, проверьте, Режим безопасности и HTTPS Доступ включены в Конфигурация область.
- Если они включены, переходите к следующему шагу, чтобы включить доступ к публичной сети.
- Если хотя бы один отключён, доступ к публичной сети нельзя включить для кластера.
- Нажмите Включить рядом с Публичный Сетевой Доступ. В отображаемом диалоговом окне настройте необходимые параметры.
Таблица 1 Включение доступа к публичной сети Параметр
Описание
Пропускная способность
Пропускная способность кластера для доступа к публичной сети.
Диапазон значений: 1 Mbit/s до 200 Mbit/s
Настроить белый список
Контролировать доступ к кластеру из публичной сети с помощью белого списка.
- Если белый список настроен, только IP-адреса, включённые в этот список, могут получить доступ к кластеру через публичную сеть.
Нажмите +Добавить. В отображаемом текстовом поле введите IP-адреса или блоки CIDR, которым разрешено доступ к кластеру из публичной сети. Разделяйте их запятыми (,). Каждое значение должно быть уникальным. Пример корректных значений: 192.168.1.1,10.0.0.0/24. Примеры некорректных значений: 0.0.0.0, xx.xx.xx.xx/0, 172.16.0.0-172.16.255.255, нестандартные форматы (например, 192.168.1), а также дублирующиеся значения.
- Если whitelist не настроен, все публичные IP-адреса могут получить доступ к кластеру. Однако это может представлять риск безопасности и следует избегать.
- Если белый список настроен, только IP-адреса, включённые в этот список, могут получить доступ к кластеру через публичную сеть.
- Нажмите OK чтобы включить публичный сетевой доступ.
После включения публичного сетевого доступа отображаются публичный IP-адрес, контроль доступа к публичной сети и информация о пропускной способности.
Управление публичным сетевым доступом
Когда публичный сетевой доступ включён, вы можете проверить публичный IP-адрес и изменить настройки пропускной способности и контроля доступа.
- Войдите в консоль управления CSS.
- В навигационной панели слева выберите Clusters > OpenSearch.
- В списке кластеров нажмите имя целевого кластера. Отобразится страница информации о кластере.
- На Обзор вкладке, управляйте настройками публичного сетевого доступа в Конфигурация область.
- Проверка публичного IP-адреса
Запишите IP-адрес и номер порта, отображаемые рядом Доступ к публичной сети.
- Изменение настроек контроля доступа к публичной сети
Щелкните Изменить рядом с Контроль доступа к публичной сети. В отображаемом диалоговом окне добавьте или удалите IP-адреса или CIDR-блоки в белый список или из него. Щелкните OK чтобы сохранить изменения.
- Изменение пропускной способности публичной сети
Щелкните Изменить рядом с Пропускная способность. В отображаемом диалоговом окне измените пропускную способность. Щелкните OK чтобы сохранить изменения.
- Проверка публичного IP-адреса
Отключение публичного сетевого доступа
Если публичный сетевой доступ к кластеру больше не требуется, отключите его, чтобы освободить ресурсы.
После отсоединения публичного IP‑адреса кластер более недоступен из интернета по этому IP‑адресу. Если вы отключите публичный сетевой доступ к кластеру, а затем снова включите его, публичный IP‑адрес для доступа к кластеру может измениться. Будьте осторожны.
- Войдите в консоль управления CSS.
- В навигационной панели слева выберите Clusters > OpenSearch.
- В списке кластеров нажмите название целевого кластера. Отображается страница информации о кластере.
- На Обзор вкладке найдите Публичный сетевой доступ в Конфигурация области, и нажмите Отключить рядом с ним. В отображаемом диалоговом окне введите ПОДТВЕРДИТЬ и нажмите ОК.
После отключения доступа из публичной сети, публичный IP-адрес и Контроль доступа из публичной сети и Пропускная способность параметры исчезают.
Доступ к кластеру через публичный IP-адрес
После включения доступа из публичной сети кластер получает публичный IP-адрес. Вы можете использовать этот IP-адрес плюс номер порта для доступа к этому кластеру.
Например, если публичный IP-адрес 10.62.xxx.xxx и номер порта 9200, запустите следующую команду cURL, чтобы просмотреть индексы в кластере.
curl -u username:password -k 'https://10.62.xxx.xxx:9200/_cat/indices'
где, имя пользователя и пароль укажите имя пользователя и пароль кластера с включённым HTTPS в режиме безопасности.