Amazon OpenSearch 서버리스 주문형 자동 확장 구성입니다. 아마존 오픈서치 서비스. OpenSearch Serverless는 실시간 애플리케이션 모니터링, 로그 분석, 웹사이트 검색 등 광범위한 사용 사례를 지원합니다. OpenSearch Serverless를 사용하면 OpenSearch 클러스터 확장 및 관리에 대해 걱정할 필요 없이 OpenSearch를 사용할 수 있습니다. 공용 인터넷이나 VPC를 통해 컬렉션에 액세스할 수 있습니다. 다양한 VPC 및 계정이나 온프레미스에서 OpenSearch Serverless에 액세스하기 시작하면 연결 패턴이 변경될 수 있습니다. 이 게시물에서는 인터넷을 통해 액세스하든, VPC 내에서, AWS 내에서 또는 온프레미스 위치에서 액세스하든 상관없이 OpenSearch 서버리스 컬렉션에 대한 연결 패턴과 DNS(도메인 이름 시스템) 확인을 다룹니다.

기본 개념

다음 기본 개념은 OpenSearch Serverless 및 DNS 확인을 더 잘 이해하는 데 도움이 됩니다.

네트워크 액세스 정책

XNUMXD덴탈의 OpenSearch Serverless에 대한 네트워크 액세스 정책 인터넷을 통해 컬렉션에 액세스할 수 있는지 아니면 OpenSearch Serverless 관리형 VPC 엔드포인트를 통해서만 액세스할 수 있는지 결정합니다. 단일 정책을 여러 컬렉션에 연결할 수 있습니다.

OpenSearch 서버리스 VPC 엔드포인트

인터넷 게이트웨이를 사용하지 않고 VPC에서 비공개로 OpenSearch Serverless 컬렉션 및 대시보드에 액세스하려면 VPC 인터페이스 엔드포인트. VPC 엔드포인트를 생성하면 탄력적인 네트워크 인터페이스 (ENI) 각각 서브넷 VPC 엔드포인트에 대해 활성화합니다. 이는 OpenSearch Serverless 컬렉션으로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 ENI입니다. OpenSearch 서버리스 VPC 엔드포인트를 생성하면 프라이빗 DNS 이름 옵션이 기본적으로 활성화됩니다. 이는 OpenSearch Serverless가 아마존 경로 53 프라이빗 호스팅 영역 이를 엔드포인트가 생성된 VPC와 연결합니다. 이 프라이빗 호스팅 영역에는 와일드카드 DNS 레코드가 있습니다. *.<region>.aoss.amazonaws.com 엔드포인트의 프라이빗 DNS를 가리킵니다.

OpenSearch Serverless 콘솔 또는 OpenSearch Serverless API를 통해 OpenSearch Serverless VPC 엔드포인트를 생성합니다. OpenSearch 서버리스 VPC 엔드포인트는 다음에서 생성할 수 없습니다. 아마존 가상 프라이빗 클라우드 (Amazon VPC) 콘솔은 일단 생성되면 VPC 콘솔에서도 볼 수 있습니다.

Amazon Route 53 해석기

무엇인지 이해하자 Amazon Route 53 해석기 언제인가? 아마존 엘라스틱 컴퓨트 클라우드 (Amazon EC2) 인스턴스가 DNS 이름을 쿼리합니다. VPC에서 시작된 DNS 쿼리는 다음 위치에 있는 Route 53 Resolver로 이동합니다. VPC+2 IP 주소. DNS 쿼리가 해석기에 도달하면 Route 53 전달 규칙이 있는지 확인합니다. 일치하면 해당 규칙에서 제공하는 DNS 서버로 쿼리를 전달합니다. 쿼리가 해결되지 않은 상태로 남아 있으면 Route 53 Resolver는 원래 VPC와 연결된 프라이빗 호스팅 영역을 확인합니다. 여전히 확인되지 않은 경우 EC2 DNS 이름을 확인하는 데 도움이 되는 VPC DNS를 확인합니다. 마지막으로 쿼리가 여전히 해결되지 않으면 Route 53 Resolver가 퍼블릭 DNS를 확인합니다. 다음 다이어그램은 이 순서 또는 작업을 보여줍니다.

Route 53 Resolver 인바운드 엔드포인트

VPC와 온프레미스 모두에서 리소스를 활용하는 워크로드는 온프레미스에서 호스팅되는 DNS 레코드와 VPC에서 호스팅되는 리소스를 확인해야 합니다. 와 함께 Route 53 Resolver 인바운드 엔드포인트을 사용하면 온프레미스 네트워크나 다른 VPC에서 VPC에 대한 DNS 쿼리를 확인할 수 있습니다.

다음 섹션에서는 연결 패턴과 DNS 확인에 대한 개요를 제공합니다.

Amazon EC2에서 OpenSearch 서버리스 컬렉션에 액세스(인터넷 게이트웨이를 통해)

다음 그림은 인터넷을 통해 OpenSearch Serverless 컬렉션에 액세스하기 위한 연결 패턴을 보여줍니다. 컬렉션에는 공개로 설정된 액세스 유형이 있으며, 이를 통해 승인된 사용자는 인터넷을 통해 컬렉션에 연결할 수 있습니다. VPC 내의 EC2 인스턴스는 인터넷 게이트웨이를 통해 컬렉션에 대한 연결을 설정할 수 있으며, VPC 외부의 사용자도 인터넷을 통해 이 컬렉션에 액세스할 수 있습니다.

워크플로에는 이전 다이어그램에 표시된 대로 다음 단계가 있습니다.

A. EC2 인스턴스는 VPC+53 IP 주소에서 Route 2 Resolver에 대한 DNS 조회를 수행합니다. Route 53 Resolver는 OpenSearch Serverless 컬렉션의 퍼블릭 IP 주소를 반환합니다.

B. EC2 인스턴스는 이 퍼블릭 IP 주소를 사용하여 인터넷 게이트웨이를 통해 OpenSearch Serverless 컬렉션에 데이터 요청을 보냅니다.

C. 외부 클라이언트는 OpenSearch Serverless 컬렉션의 공용 IP 주소를 확인하고 인터넷을 통해 해당 주소에 연결합니다.

이제 dig EC2 인스턴스의 컬렉션 또는 대시보드 URL에 대한 명령을 실행하면 공용 IP 주소로 확인되는 것을 확인할 수 있습니다.

다음 명령은 OpenSearch Serverless 컬렉션을 사용합니다.

sh-5.2$ dig +short <collection-id>.<region>.aoss.amazonaws.com
192.0.2.10
198.51.100.204
192.0.2.45
198.51.100.55
192.0.2.100
203.0.113.66

다음 명령은 OpenSearch 대시보드를 사용합니다.

sh-5.2$ dig +short dashboards.<region>.aoss.amazonaws.com
192.0.2.10
198.51.100.204
192.0.2.45
198.51.100.55
192.0.2.100
203.0.113.66

이제 공개 네트워크 액세스 정책을 사용하여 OpenSearch 서버리스 컬렉션을 구현했으므로 동일한 컬렉션을 VPC 내에서 비공개로 액세스할 수 있게 만들 수 있습니다. 이를 달성하려면 다음 단계를 완료하세요.

1. 컬렉션의 네트워크 액세스 정책을 수정하고 액세스 유형을 VPC로 변경합니다.
2. VPC 엔드포인트 생성 옵션을 선택합니다.

3. 고가용성을 위해 VPC 엔드포인트 ENI를 보유하려는 VPC와 최소 XNUMX개의 서브넷을 선택합니다.
4. 확인을 선택하여 VPC 엔드포인트를 생성합니다.

5. 마지막으로 VPC 엔드포인트를 선택하고 정책을 업데이트합니다.

VPC 엔드포인트가 생성되면 Route 53 프라이빗 호스팅 영역도 계정 내에 생성되어 VPC와 연결됩니다. 이 설정에서는 CNAME 레코드 *.us-east-1.aoss.amazonaws.com 지역으로 직접 연결하기 위해 만들어졌습니다. AWS 프라이빗링크 다음 스크린샷에 표시된 것처럼 끝점입니다.

VPC와 연결된 프라이빗 호스팅 영역으로 인해 Route 53 Resolver는 프라이빗 호스팅 영역을 우선적으로 사용하여 VPC에서 발생하는 모든 DNS 쿼리를 해결합니다. EC2 인스턴스에서 시작되는 OpenSearch 서버리스 컬렉션에 대한 DNS 요청은 연결된 프라이빗 호스팅 영역을 사용하여 확인되고 VPC 엔드포인트의 프라이빗 IP 주소로 확인됩니다. 이를 통해 Amazon EC2는 인터넷 게이트웨이 대신 VPC 엔드포인트를 통해 서버리스 컬렉션에 연결할 수 있습니다. . 다음 섹션에서 이에 대해 확장합니다.

Amazon EC2에서 OpenSearch Serverless 컬렉션에 액세스(인터페이스 VPC 엔드포인트를 통해)

다음 그림은 VPC에서 비공개로 OpenSearch Serverless 컬렉션에 액세스하기 위한 연결 패턴을 보여줍니다. 컬렉션에는 VPC 엔드포인트로 설정된 액세스 유형이 있으며, 이는 VPC 엔드포인트를 통해 VPC 내 리소스에서만 액세스를 제한하고 외부 사용자가 연결하는 것을 방지합니다. VPC 엔드포인트가 생성되면 프라이빗 호스팅 영역도 이 VPC와 연결됩니다. VPC 내의 EC2 인스턴스는 VPC 엔드포인트를 사용하여 컬렉션과의 연결을 설정할 수 있지만, 네트워크 액세스 정책으로 인해 VPC 외부의 리소스는 이 컬렉션에 액세스할 수 없습니다.

워크플로는 다음 단계로 구성됩니다.

A. EC2 인스턴스는 VPC+53 IP 주소에서 Route 2 Resolver에 대한 DNS 조회를 수행합니다. CNAME 레코드가 포함된 VPC와 연결된 프라이빗 호스팅 영역이 있기 때문에 Route 53 Resolver는 VPC 엔드포인트의 프라이빗 IP 주소를 반환합니다.

B. EC2 인스턴스는 VPC 인터페이스 엔드포인트를 통해 OpenSearch Serverless 컬렉션에 데이터 요청을 보냅니다.

C. 외부 클라이언트는 OpenSearch Serverless 컬렉션의 퍼블릭 IP 주소로 확인되지만 네트워크 정책이 VPC로 제한되기 때문에 연결할 수 없습니다.

이제 dig EC2 인스턴스의 컬렉션 또는 대시보드 URL에 대한 명령을 실행하면 해당 URL이 VPC 엔드포인트에 속하는 프라이빗 IP 주소로 확인되는 것을 관찰할 수 있습니다.

OpenSearch Serverless 컬렉션에 다음 코드를 사용합니다.

sh-5.2$ dig +short <collection-id>.<region>.aoss.amazonaws.com
10.0.1.98
10.0.2.83

OpenSearch 대시보드에 다음 코드를 사용합니다.

sh-5.2$ dig +short dashboards.<region>.aoss.amazonaws.com
10.0.1.98
10.0.2.83

각 VPC의 VPC 엔드포인트를 사용하여 (인터페이스 VPC 엔드포인트를 통해) 많은 VPC에서 OpenSearch Serverless 컬렉션에 액세스합니다.

다음 그림은 동일한 VPC 엔드포인트를 사용하여 여러 OpenSearch Serverless 컬렉션에 연결하는 연결 패턴을 보여줍니다. 이 시나리오에서는 VPC 내 EC2 인스턴스가 VPC 엔드포인트를 OpenSearch Serverless에 대한 연결 경로로 활용할 수 있도록 각 VPC에 VPC 엔드포인트가 생성됩니다. 프라이빗 호스팅 영역은 각 엔드포인트에 대해 자동으로 생성되고 해당 VPC와 연결됩니다. OpenSearch 서버리스 컬렉션의 네트워크 정책이 업데이트되어 VPC 엔드포인트-1과 VPC 엔드포인트-2를 모두 허용합니다. 이를 통해 VPC-2의 EC1 인스턴스가 VPC 엔드포인트-1을 통해 두 컬렉션에 액세스하고 VPC-2의 EC2 인스턴스가 두 컬렉션에 모두 액세스할 수 있습니다. VPC 엔드포인트-2를 통해.

워크플로는 다음 단계로 구성됩니다.

A. EC2 인스턴스는 VPC+53 IP 주소에서 Route 2 Resolver에 대한 DNS 조회를 수행합니다. Route 53 Resolver는 VPC 엔드포인트의 프라이빗 IP 주소를 반환합니다(VPC-2의 EC1 인스턴스는 VPC 엔드포인트-1의 IP 주소를 가져오고 VPC-2의 EC2 인스턴스는 VPC 엔드포인트-2의 IP 주소를 가져옵니다). CNAME 레코드가 포함된 각 VPC와 연결된 프라이빗 호스팅 영역입니다.

B. EC2 인스턴스는 VPC 인터페이스 엔드포인트를 통해 OpenSearch Serverless 컬렉션에 데이터 요청을 보냅니다.

중앙 집중식 VPC의 VPC 엔드포인트를 사용하여 (인터페이스 VPC 엔드포인트를 통해) 많은 VPC에서 OpenSearch Serverless 컬렉션에 액세스합니다.

이전 연결 패턴에서는 VPC 리소스가 OpenSearch Serverless 컬렉션에 액세스하는 데 사용되는 각 VPC에 하나의 엔드포인트가 있었습니다. 많은 조직은 이러한 엔드포인트에 대한 제어를 유지하고 중앙 집중식 VPC에 보관하기를 원합니다.

다음 그림은 중앙 집중식 VPC 엔드포인트를 사용하여 여러 VPC의 여러 OpenSearch Serverless 컬렉션에 연결하는 연결 패턴을 보여줍니다. 이 시나리오에서는 중앙 집중식 VPC에 VPC 인터페이스 엔드포인트가 생성됩니다. 이 VPC 엔드포인트에 대해 프라이빗 호스팅 영역이 자동으로 생성되고 중앙 집중식 VPC와 연결됩니다. 수동으로 연결됨 VPC-1과 VPC-2가 있습니다. VPC-1 및 VPC-2의 OpenSearch 서버리스 컬렉션에 대한 DNS 쿼리는 프라이빗 호스팅 영역 연결로 인해 중앙 집중식 VPC 엔드포인트로 확인됩니다. 두 컬렉션 모두에 대한 네트워크 정책은 중앙 집중식 VPC 엔드포인트에서의 액세스만 허용합니다. 세 개의 VPC(중앙 집중형, VPC-1, VPC-2)는 모두 다음을 통해 연결됩니다. AWS 전송 게이트웨이 라우팅 테이블에는 VPC-1과 VPC-2 사이의 트래픽을 중앙 집중식 VPC로 또는 그 반대로 전달하는 경로가 있습니다.

워크플로는 다음 단계로 구성됩니다.

A. EC2 인스턴스는 VPC+53 IP 주소에서 Route 2 Resolver에 대한 DNS 조회를 수행합니다. CNAME 레코드가 포함된 각 VPC와 연결된 프라이빗 호스팅 영역이 있기 때문에 Route 53 Resolver는 중앙 집중식 VPC 엔드포인트의 프라이빗 IP 주소를 반환합니다.

B. EC2 인스턴스는 자체 VPC의 Transit Gateway ENI에 데이터 요청을 보냅니다. Transit Gateway 라우팅 테이블이 확인되고 데이터 요청이 중앙 집중식 VPC의 Transit Gateway ENI로 전달됩니다. 중앙 집중식 VPC의 Transit Gateway ENI는 이를 VPC 인터페이스 엔드포인트를 통해 OpenSearch Serverless 컬렉션으로 보냅니다.

온프레미스에서 OpenSearch 서버리스 컬렉션에 액세스합니다(AWS Site-to-Site VPN 또는 AWS Direct Connect를 통해).

다음 그림은 온프레미스에서 OpenSearch Serverless 컬렉션에 액세스하기 위한 연결 패턴을 보여줍니다. 다음 중 하나를 사용할 수 있습니다. AWS Direct Connect or AWS 사이트 간 VPN 온프레미스와 AWS 리소스 간의 연결을 설정합니다. 다음 예에서는 AWS와 온프레미스 간의 연결에 Direct Connect가 사용됩니다. OpenSearch 서버리스 VPC 엔드포인트가 VPC에 생성되고 프라이빗 호스팅 영역이 자동으로 생성되어 이 VPC와 연결됩니다. OpenSearch Serverless 컬렉션의 네트워크 정책은 VPC 엔드포인트에서만 연결을 허용하도록 업데이트되었습니다.

온프레미스 환경에서 이러한 OpenSearch 서버리스 컬렉션에 비공개로 액세스하려면 리소스가 OpenSearch 서버리스 컬렉션 DNS를 OpenSearch 서버리스 VPC 엔드포인트 IP 주소로 확인해야 합니다. 기본적으로 OpenSearch Serverless DNS는 공용 IP 주소를 확인하고 인터넷을 통해 OpenSearch Serverless에 액세스하려고 시도합니다. 온프레미스에서 VPC 엔드포인트를 통해 OpenSearch Serverless에 액세스하려면 DNS 쿼리가 VPC 엔드포인트의 프라이빗 IP 주소로 확인되는지 확인해야 합니다. VPC 내부 리소스는 VPC+53 IP 주소에서 사용할 수 있는 Route 2 Resolver를 사용하여 VPC 엔드포인트에 대한 이러한 쿼리를 해결합니다. Route 53 Resolver는 연결된 프라이빗 호스팅 영역을 확인하여 VPC 엔드포인트에 대한 쿼리를 확인합니다. 그러나 VPC+2 IP 주소는 온프레미스에서 액세스할 수 없습니다. 이 문제를 해결하려면 Route 53 Resolver 인바운드 엔드포인트를 활용할 수 있습니다.

이를 달성하려면 다음에 설명된 단계에 따라 VPC에 인바운드 엔드포인트를 생성할 수 있습니다. 인바운드 전달 구성을 클릭한 다음 온프레미스 DNS 서버를 업데이트하여 다음에 대한 모든 DNS 요청을 전달합니다. *.<region>.aoss.amazonaws.com Route 53 Resolver 인바운드 엔드포인트의 IP 주소입니다. 온프레미스 클라이언트가 VPC 엔드포인트의 IP 주소를 획득하면 Direct Connect 또는 Site-to-Site VPN을 사용하여 OpenSearch Serverless 컬렉션에 대한 프라이빗 연결을 설정할 수 있습니다.

워크 플로에는 다음 단계가 포함됩니다.

A. 온프레미스 클라이언트는 온프레미스 DNS 확인자에게 DNS 조회를 보냅니다. 온프레미스 DNS 해석기는 이 요청을 Route 53 Resolver 인바운드 엔드포인트로 전달합니다. Route 53 Resolver 인바운드 엔드포인트는 VPC+53 IP 주소의 Route 2 Resolver에 DNS 조회를 보냅니다. CNAME 레코드가 포함된 이 VPC와 연결된 프라이빗 호스팅 영역이 있기 때문에 Route 53 Resolver는 VPC 엔드포인트의 프라이빗 IP 주소를 반환합니다.

B. 온프레미스 클라이언트는 OpenSearch Serverless 컬렉션에 데이터 요청을 보냅니다. 이 컬렉션은 Direct Connect 또는 사이트 간 VPN을 통해 VPC 인터페이스 엔드포인트로 라우팅되고 마지막으로 OpenSearch Serverless 컬렉션으로 라우팅됩니다.

결론

이번 게시물에서는 OpenSearch Serverless의 다양한 연결 패턴을 보여 드렸습니다. 하이브리드 DNS 사용과 Route 53 Resolver 인바운드 엔드포인트를 사용하여 OpenSearch Serverless에 대한 온프레미스 연결을 허용하는 방법을 다루었습니다. AWS 클라우드 내 또는 온프레미스 위치에서 여러 OpenSearch Serverless 컬렉션에 접근하기 위해 다양한 중앙 집중화 모델 중에서 선택할 수 있습니다. 지금 연결하여 시작해 보세요. OpenSearch 서버리스 우리가 논의한 다양한 네트워크 패턴에서.

저자 소개

살만 아메드 AWS Enterprise Support의 수석 기술 계정 관리자입니다. 그는 엔터프라이즈 지원 고객과 협력하여 클라우드 인프라를 설계, 구현 및 지원하는 것을 즐깁니다. 그는 또한 네트워킹 서비스에 대한 열정을 갖고 있으며 12년 이상의 경험을 바탕으로 고객이 AWS Transit Gateway, AWS Direct Connect 및 기타 다양한 AWS 네트워킹 서비스를 채택하도록 돕습니다.

안쿠시 고얄 기업 지원 고객이 AWS에서 클라우드 운영을 간소화하도록 돕는 AWS Enterprise Support의 기업 지원 책임자입니다. 그는 18년 이상의 경력을 지닌 결과 중심의 IT 전문가입니다.

로히트 아스와니 그는 AWS에서 네트워킹에 중점을 두고 있는 수석 전문가 솔루션 설계자로서 고객이 확장 가능하고 가용성이 높으며 안전하고 탄력적이며 비용 효과적인 네트워크를 구축하고 설계하도록 돕습니다. 그는 Northeastern University에서 컴퓨터 네트워킹을 전문으로 하는 통신 시스템 관리 석사 학위를 취득했습니다. 여가 시간에는 Rohit은 하이킹, 여행, 새로운 커피숍 탐험을 즐깁니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://aws.amazon.com/blogs/big-data/network-connectivity-patterns-for-amazon-opensearch-serverless/