Туннель между экземпляром aws ec2 и облачным развертыванием elasti c - PullRequest
0 голосов
/ 01 апреля 2020

У нас есть служба эластичного поиска по адресу elasti c .co. При создании развертывания в качестве облачной платформы была выбрана «AWS». Нам дается URL-адрес конечной точки, который преобразуется в публичный c IP-адрес. Также у нас есть учетная запись AWS, на которой запущено несколько экземпляров ec2. Когда мы получаем доступ к службеasticsearch из экземпляров ec2, трафик c проходит через inte rnet.

Можно ли сделать сервис эластичного поиска видимым для экземпляров ec2, как если бы они находились в одной сети?

1 Ответ

1 голос
/ 05 апреля 2020

Если вы хотите использовать безопасное соединение, вы должны использовать специальную подписку под названием Elasticsearch Service Private . Это упоминается в FAQ [1]:

Мы поддерживаем безопасный пиринг с использованием AWS Private Link. Чтобы запустить Elasticsearch Service в выделенном VP C с защищенным подключением из вашей среды, используйте подписку Elasticsearch Service Private. Для получения дополнительной информации см. Настройка Elasticsearch Service Private.

Существует руководство, в котором изложены все шаги, которые необходимо предпринять. [2] Я не знаю подробностей о ценах. В руководстве они утверждают, что вам нужно связаться с их командой, чтобы получить больше информации. После того, как вы свяжетесь с ними и закажете Elasticsearch Service Private подписка, они установят VP C внутри своей учетной записи для вас. Затем они создают VP C PrivateLink Endpoint Service и вносят в белый список вашу учетную запись. Наконец, они дают вам имя Private Endpoint Service Elasticsearch Service, которое вы можете использовать для создания Interface VP C Endpoint (питание от PrivateLink). [3]
Вы должны создать конечную точку интерфейса в каждой из подсетей, используемых вашими экземплярами EC2. После создания конечных точек интерфейса вы можете получить доступ к конечной точке Elasticsearch через DNS-имя, которое автоматически добавляется на AWS DNS-серверы PrivateLink. Вам просто нужно убедиться, что ваши экземпляры EC2 используют DNS-серверы VP C. Это должна быть конфигурация по умолчанию, если вы не изменили установленный по умолчанию параметр DHCP для VP C.

Ссылки

[1] https://www.elastic.co/guide/en/cloud/current/ec-faq.html (см. вопрос: «Поддерживаете ли вы VP C пиринг в Elasticsearch Service?»)
[2] https://www.elastic.co/guide/en/cloud/current/ec-getting-started-private.html
[3] https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html

...