/DOCS
Облачная платформаAdvanced

Настройка сервиса VPC Endpoint для кластера OpenSearch

Эта статья полезна?
Язык статьи: Русский
Показать оригинал
Страница переведена автоматически и может содержать неточности. Рекомендуем сверяться с английской версией.

VPC Endpoint позволяет получать доступ к ресурсам в разных VPC, используя выделенный шлюз, не раскрывая сетевую информацию серверов. К VPC endpoint можно получить доступ по IPv4‑адресу или приватному доменному имени.

  • IPv4‑адрес автоматически выделяется при включении VPC Endpoint.
  • Приватное доменное имя выделяется только при включении приватных доменных имен.

VPC Endpoint использует общий load balancer для внутреннего сетевого доступа. Если вашим рабочим нагрузкам требуется более быстрый доступ, мы рекомендуем использовать выделенный load balancer для обработки доступа к вашему кластеру. Для получения подробной информации см. Настройка выделенного Load Balancer для кластера OpenSearch.

Влияние на биллинг

VPC endpoints, если созданы для кластера, приведут к дополнительным расходам, в зависимости от использования ресурсов. Для получения подробной информации см. раздел "Billing" в Руководство пользователя VPC Endpoint.

Ограничения

  • Вам нужны определённые разрешения для создания VPC endpoints. Для подробностей см. раздел "Permissions" в VPC Endpoint User Guide.
  • Общий доступ к публичной сети и сервис VPC Endpoint используют общий балансировщик нагрузки. Если вы настраиваете белый список для публичного доступа, и поскольку этот белый список развернут в общем балансировщике, он будет контролировать не только доступ из публичной сети, но и доступ с использованием частных IP‑адресов через VPCEP. В этом случае необходимо добавить IP‑адрес 198.19.128.0/17 в белый список публичного доступа, чтобы разрешить трафик через VPCEP.
  • После включения VPCEP доступ к CSS через IP‑address VPCEP или частное доменное имя из внутренней сети не контролируется правилами групп безопасности кластера. Вместо этого необходимо настроить белый список VPCEP для реализации контроля доступа. Для подробностей см. раздел "Configuring Access Control for an Interface VPC Endpoint" в VPC Endpoint User Guide.

Enabling VPC Endpoint

Если VPC Endpoint не был включен при создании кластера, вы можете включить его следующим образом:

  1. Войдите в консоль управления CSS.
  2. В навигационной панели слева выберите Кластеры > OpenSearch.
  3. В списке кластеров щёлкните название целевого кластера. Отображается страница информации о кластере.
  4. На Обзор вкладке, проверьте информацию о подсети кластера в Конфигурация области. При добавлении VPC endpoint автоматически назначается IP address, принадлежащий текущей подсети кластера.

    Рисунок 1 Проверка текущей подсети


    Если вы хотите использовать другую подсеть, сначала переключите подсеть, а затем включите VPC Endpoint. Для получения подробной информации см Могу ли я расширить подсеть для кластера Elasticsearch или OpenSearch?

  5. Выбрать Доступ к кластеру > VPC Endpoint.
  6. Включить VPC Endpoint. В отображаемом диалоговом окне выберите соответствующие параметры.
    Таблица 1 Параметры включения VPC Endpoint

    Опция

    Описание

    Создать частное доменное имя

    Указывает, создавать ли частное доменное имя для VPC Endpoint.

    • Включить: система автоматически назначает частное доменное имя VPC Endpoint. После создания кластера вы можете проверить это частное доменное имя на VPC Endpoint вкладке страницы деталей кластера.
    • Отключить: Для VPC Endpoint не будет настроено частное доменное имя. Кластер можно будет получить доступ только через IP‑адрес, назначенный VPC Endpoint.
  7. Нажмите OK для включения VPC Endpoint. После включения VPC endpoint его информация отображается ниже. Когда его статус изменится на Принято, текущий кластер можно будет получить доступ через VPC endpoint.

Управление VPC Endpoints

После включения VPC Endpoint для кластера вы можете настроить контроль доступа, проверить информацию о VPC endpoint и запретить доступ с определённых VPC endpoints.

  1. Войдите в консоль управления CSS.
  2. В навигационной панели слева выберите Кластеры > OpenSearch.
  3. В списке кластеров нажмите имя целевого кластера. Отображается страница информации о кластере.
  4. Выберите Доступ к кластеру > VPC Endpoint.
  5. Настройте контроль доступа для VPC Endpoint.
    1. Нажмите Изменить справа от VPC Endpoint Белый список. В появившемся диалоговом окне добавьте учетные записи, которым разрешен доступ к кластеру через VPC endpoint. Если учетная запись не добавлена или ID учетной записи установлен в *, всем пользователям разрешен доступ к кластеру через VPC endpoint.
      • Нажмите Добавить для добавления учетных записей в ID учетной записи. Чтобы получить ваш авторизованный ID учетной записи, наведите курсор на ваше имя пользователя в правом верхнем углу и выберите My Credentials. Скопируйте значение Идентификатор учетной записи.
      • Нажмите Удалить в Операция столбец для удаления авторизованной учетной записи.
    2. Нажмите OK.
  6. Проверьте информацию о VPC endpoint.

    Список VPC endpoint отображает VPC endpoint, созданные для текущего кластера. Вы можете получить их Статус, Адрес сервиса, и Приватное доменное имя.

    Рисунок 2 Управление VPC endpoints


  7. Изменить статус VPC endpoint чтобы сделать кластер доступным или недоступным через определённые конечные точки.
    • В списке VPC endpoint выберите целевой endpoint и нажмите Отклонить в Операция столбце. Если статус endpoint изменится на Отклонено, это означает, что кластер больше недоступен через этот endpoint.
    • Выберите endpoint, статус которого Отклонено. Нажмите Принять в Операция столбце. Если статус endpoint изменится на Принято, это означает, что кластер снова доступен через этот endpoint.

Отключение VPC Endpoint

Если кластер больше не требует доступа cross-VPC через VPC endpoints, отключите VPC Endpoint, чтобы освободить ресурсы.

После отключения VPC Endpoint кластер более недоступен через VPCEP IP address или приватное доменное имя. Если вы отключите VPC Endpoint, а затем включите его снова, VPCEP IP address или приватное доменное имя для доступа к кластеру могут измениться. В таком случае вам может потребоваться обновить клиентское соединение. Если вам нужно лишь временно отключить VPC Endpoint (а не постоянно освобождая его ресурсы), сделайте это, отклонив конкретные VPC endpoints. Для получения подробностей см 7.

  1. Войдите в консоль управления CSS.
  2. В навигационной панели слева выберите Clusters > OpenSearch.
  3. В списке кластеров щёлкните название целевого кластера. Отображается страница информации о кластере.
  4. Выберите Доступ к кластеру > VPC Endpoint.
  5. Отключить VPC Endpoint. В отображаемом диалоговом окне введите CONFIRM и нажмите OK.

Доступ к Кластеру через VPC Endpoint

  1. Получите приватное доменное имя или IP-адрес VPC endpoint.

    В списке VPC endpoint проверьте Адрес сервиса или Приватное доменное имя.

  2. На клиенте (например, ECS) выполните команду curl для доступа к кластеру.

    Например, выполните следующую команду для проверки информации об индексе кластера:

    • Для кластера с отключенным режимом безопасности:
      curl "http://<host>:9200/_cat/indices"
    • Для кластера с режимом безопасности, использующего HTTP:
      curl -u <user>:<password> "http://<host>:9200/_cat/indices"
    • Для security-mode кластера, использующего HTTPS:
      curl -u <user>:<password> -k "https://<host>:9200/_cat/indices"

    где, пользователь и пароль являются именем пользователя и паролем, используемыми для доступа к кластеру, и Хост указывает на частное доменное имя или IP-адрес VPC endpoint.

Поддержка Юридические документы
© 2026 Cloud.ru