Athrun Data Intelligence

Menú
Contáctanos

Diseño de patrones de conectividad de red centralizados y distribuidos para Amazon OpenSearch Serverless


Amazon OpenSearch Servidor sin ser es un servicio de búsqueda y descomposición totalmente administrado que automáticamente provoca y escalera la infraestructura para ayudarlo a ejecutar cargas de trabajo de búsqueda y descomposición sin papeleo de clúster. Con OpenSearch Servidor sin capacidad, puede difundir rápidamente capacidades de búsqueda y descomposición en sus aplicaciones.

A medida que las organizaciones escalan su uso de OpenSearch sin servidor, la comprensión de la obra de la red y la papeleo del DNS se vuelven cada vez más importantes. Basándose en los patrones de conectividad discutidos en nuestra publicación inicial Patrones de conectividad de red para Amazon OpenSearch Serverlessesta publicación cubre escenarios de implementación avanzados centrados en patrones de camino centralizados y distribuidos, específicamente, cómo las empresas pueden simplificar la conectividad de red en múltiples cuentas de AWS y extender el camino a entornos locales para sus implementaciones sin servidor OpenSearch.

Esbozamos dos patrones de implementación secreto:

  • Patrón 1 – Un maniquí de punto final centralizado donde los puntos finales de Interface Posible Private Cloud (VPC) para OpenSearch Servidor se implementan en una VPC de servicios compartidos, lo que permite VPC de regla de otras cuentas de AWS y en las instalaciones para entrar a las colecciones de OpenSearch Servidor a través de estos puntos finales consolidados.
  • Patrón 2 -Un maniquí de punto final distribuido donde los puntos finales VPC de interfaz se crean en VPC de expresión individuales, con múltiples consumidores (cuenta central, redes locales y otras cuentas de radios) que acceden a estos puntos finales a través de la papeleo centralizada de DNS. Este enfoque proporciona conectividad directa en el interior de cada VPC de radios mientras se mantiene el control y la papeleo de DNS centralizados en toda la estructura.

Antiguamente de sumergirnos en patrones de implementación avanzados, revisemos el comportamiento DNS de OpenSearch Servidor sin entrar a través de un punto final VPC de interfaz (AWS privateLink). Comprender este aspecto fundamental puede ayudar a aclarar los patrones de conectividad que exploramos en esta publicación.

OpenSearch Interface sin serpente VPC Endpoint DNS Resolución

Al crear un punto final VPC de la interfaz sin servidor OpenSearch VPC, el Servicio disposición automáticamente tres zonas alojadas privadas: una zona alojada privada visible alojada us-east-1.aoss.amazonaws.com que maneja la resolución de dominio para la colección y panel de OpenSearch Servidor y el tablero, otra zona alojada privada visible us-east-1.opensearch.amazonaws.com Eso gestiona la resolución para la interfaz de becario de OpenSearch (OpenSearch Dashboards), y una zona privada interna alojada oculta que administra la resolución DNS final a las direcciones IP privadas.

Nuestro objetivo en esta publicación es explorar cómo las dos zonas privadas alojadas para OpenSearch sin servidor funcionan juntas: la zona privada alojada visible us-east-1.aoss.amazonaws.com para colecciones y paneles, y la zona privada alojada oculta para la resolución final de DNS a las direcciones IP privadas. Examinamos cómo estas zonas privadas alojadas permiten una resolución DNS escalable en arquitecturas centralizadas y distribuidas. El futuro diagrama de flujo de trabajo muestra el flujo de resolución DNS para el us-east-1 Región de AWS. El mismo patrón se aplica a otras regiones, con los identificadores de región en los registros de DNS cambiando en consecuencia.

Diagrama de flujo de trabajo DNS AOSS

El flujo de trabajo consta de los siguientes pasos:

  1. Un becario solicita camino a una URL de colección (por ejemplo, abc.us-east-1.aoss.amazonaws.com).
  2. La solicitud DNS se envía al Amazon Route 53 Resolverque verifica la zona alojada privada visible us-east-1.aoss.amazonaws.com y encuentra un registro CNAME que apunta al dominio específico del punto final.
  3. El resolución de la ruta 53 utiliza la zona alojada privada interna oculta para resolver este dominio específico de punto final a la dirección IP privada del punto final de VPC.
  4. El tráfico se permite solo si se origina en la interfaz VPC Endpoint ratificado por las políticas de red sin servidor de OpenSearch.

Aunque este proceso de resolución DNS proporciona un camino privado flexible y seguro, se vuelve complicado cuando necesita conectividad de múltiples VPC, diferentes cuentas de AWS o redes locales. Los siguientes patrones abordan estos desafíos y estrategias para simplificar el camino a la red y la agencia de DNS para OpenSearch Servidor en tales entornos.

Patrón 1: punto final de la interfaz centralizada VPC para OpenSearch Servidor

Este patrón utiliza un enfoque centralizado donde una cuenta de AWS de servicios compartidos con un VPC de servicios compartidos aloja la interfaz de OpenSearch Servidor VPC Endpoint y OpenSearch Servidor sin serpente. A partir de ahí, otras cuentas de AWS con Amazon VPCS (Spoke VPCS) deben poder entrar a las colecciones de OpenSearch sin servidor a través de este punto final central. Las organizaciones comúnmente implementan esta configuración en diseños de redes de HUB y radios que conectan sus VPC utilizando AWS Transit Gateway o AWS Cloud Wan. El futuro diagrama ilustra esta obra.

Cuenta centralizada de AOSS

Desafío

Al entrar desde las redes locales, tanto el camino a la red como la resolución DNS para la interfaz sin servidor OpenSearch VPC Finalpoint funcionan correctamente. Sin requisa, aunque el punto final es accesible a la red a partir de VPCS de voz (por ejemplo, a través de Transit Gateway o AWS Cloud WAN), la resolución DNS de estos VPC fallan.

Esto sucede porque OpenSearch Servidor crea y usa una zona privada alojada us-east-1.aoss.amazonaws.com Eso solo está asociado con el VPC que contiene el punto final, en este caso, el Servicios compartidos VPC. Simplemente compartir esta zona privada alojada con el Spoke VPCS no resuelve el problema, porque el registro de CNAME comodín hace narración a un nombre de DNS privatelink.c0X.sgw.iad.prod.aoss.searchservices.aws.dev. Este nombre de DNS no se puede resolver desde otros VPC sin configuración adicional, porque pertenece a una zona privada alojada privatelink.c0X.sgw.iad.prod.aoss.searchservices.aws.dev Eso solo está asociado con la VPC de servicios compartidos. Esta zona privada alojada no es visible en su cuenta y está controlada por AWS.

Opción: Use los perfiles de Amazon Route 53 para la resolución DNS Cross-VPC

Para habilitar la resolución DNS centralizada, puede usar Perfiles de Amazon Route 53. Con los perfiles de la ruta 53, puede regir y aplicar DNS relacionado Ruta de Amazon 53 Configuraciones en múltiples cuentas VPC y AWS. El futuro diagrama ilustra la obra de la opción.

Perfil de ruta de cuenta centralizada de AOSS53

La opción consiste en los siguientes pasos:

  1. Crear un OpenSearch Interfaz sin serpente VPC Endpoint En los servicios compartidos VPC. Esto crea y asocia automáticamente lo futuro:
      1. Dos zonas privadas alojadas privadas predeterminadas.
      2. Una zona privada alojada oculta con esta VPC.
  2. Crear Un perfil de la ruta 53 en la cuenta de servicios compartidos.
  3. Asociado La interfaz VPC Endpoint para OpenSearch Servidor sin el perfil de la Ruta 53.
    1. El perfil de la ruta 53 asocia automáticamente la zona privada alojada oculta con el perfil.
  4. Asociado la zona privada alojada us-east-1.aoss.amazonaws.com Eso fue creado automáticamente por OpenSearch Servidor sin el perfil de la Ruta 53.
  5. Comparta el perfil de la ruta 53 con sus otras cuentas de AWS en su estructura utilizando Jefe de camino a fortuna de AWS (AWS Ram).
  6. Asociado Los VPC de radios (ubicados en diferentes cuentas) con el perfil de la Ruta 53.

Si tiene un perfil de ruta 53 existente en su cuenta de servicios compartidos que ya está asociado a Spook VPCS, simplemente puede asociar el punto final VPC de la interfaz sin servidor OpenSearch y la zona privada alojada us-east-1.aoss.amazonaws.com a este perfil.

A posteriori de completar estos pasos, la resolución DNS para la colección OpenSearch Servidor y los puntos finales del tablero funciona sin problemas a partir de los VPC de radios asociados con el perfil de la Ruta 53. Los clientes en Speke VPC pueden resolver y entrar a OpenSearch sin servidor colecciones y paneles a través del punto final VPC centralizado.

Patrón 2: punto final VPC de interfaz distribuida para OpenSearch Servidor

Cada VPC Spite, que reside en su cuenta de AWS respectiva, aloja su propia colección OpenSearch Servidor e interfaz VPC Endpoint. Ahora queremos obtener lo futuro:

  • Centralizar la agencia de DNS en una VPC de servicios compartidos para proporcionar una resolución consistente para las colecciones sin servidor de OpenSearch implementadas en múltiples cuentas de radios
  • Proporcione fortuna locales con capacidad de resolución DNS para todas las colecciones sin servidor de OpenSearch en toda la estructura a través de un punto final entrante de la ruta 53 en la VPC de servicios compartidos

El futuro diagrama ilustra esta obra.

Aoss distribuido

Desafío

La agencia de la resolución DNS para las colecciones y paneles sin servidor de OpenSearch se vuelve complicado en este maniquí distribuido porque cada punto final de la interfaz VPC crea su propio conjunto de zonas privadas alojadas que solo están asociadas con sus respectivos VPC. Esto crea un panorama DNS fragmentado donde las redes VPC y las instalaciones de servicios compartidos necesitan una forma consolidada para resolver dominios de las colecciones y paneles sin servidor de OpenSearch en múltiples cuentas de radios.

Opción: utilice una zona privada alojada autogestionada en la VPC de servicios compartidos para la resolución DNS en el primer

Para habilitar la resolución DNS centralizada para puntos finales distribuidos, cree una zona privada alojada autogestionada en la cuenta de servicios compartidos y la asocie con la VPC de servicios compartidos. Interiormente de esta zona privada alojada, puede crear registros CNAME que asignen cada punto final de colección sin servidor de OpenSearch a su interfaz respectiva VPC Endpoint DNS Nombres en las cuentas de radios. El futuro diagrama ilustra esta obra.

DNS centralizado distribuido AOSS en Prem y VPC

La implementación consta de los siguientes pasos:

  1. Crear una zona privada alojada autogestionada en la cuenta de servicios compartidos con el nombre de dominio us-east-1.aoss.amazonaws.com y asociarlo con la VPC de servicios compartidos. Para cada colección OpenSearch Servidor sin servidor, cree un registro CNAME que apunte al nombre DNS regional de su punto final VPC de interfaz correspondiente.

Esta configuración permite que los fortuna y fortuna locales en el VPC de servicios compartidos resuelvan los puntos finales sin servidor de OpenSearch que se encuentran en las cuentas de radios.

A posteriori de completar estos pasos, cada punto final VPC de la interfaz sin servidor de OpenSearch permanece en el interior de su cuenta AWS innovador, manteniendo los límites de seguridad y la autonomía a nivel de cuenta. Los sistemas locales pueden entrar a las colecciones y paneles sin servidor de OpenSearch utilizando nombres de DNS de colección originales (por ejemplo, {collection-name}.us-east-1.aoss.amazonaws.com) a través de la resolución DNS proporcionada por la zona privada alojada en la VPC de servicios compartidos.

Conclusión

A medida que las organizaciones escalan su acogida de OpenSearch sin servidor, establecer el camino a la red seguro y centralizado se vuelve cada vez más importante. En esta publicación, exploramos dos patrones arquitectónicos específicamente cerca de de la papeleo de DNS:

  • Maniquí centralizado de punto final – Este patrón es ideal cuando una cuenta de servicios compartidos administra los puntos finales VPC de la interfaz sin servidor de OpenSearch, lo que permite que varias cuentas de radios accedan a las colecciones y paneles sin servidor de OpenSearch a través de un conjunto centralizado de fortuna de red.
  • Maniquí de punto final distribuido con DNS centralizado – Este patrón es adecuado para organizaciones que requieren autonomía a nivel de cuenta, donde cada cuenta de AWS administra sus propios puntos finales VPC de interfaz sin servidor OpenSearch, mientras que la resolución DNS se centraliza a través de una zona privada alojada autogestionada compartida en una cuenta de servicios compartidos.

Al comprender la obra DNS de OpenSearch sin servidor y utilizar servicios como Route 53 Perfiles y AWS RAM, las organizaciones pueden construir patrones de camino seguros y robustos que se alineen con su estructura y deposición organizativas.

Sobre los autores

Ankush GoyalAnkush Goyal es un líder de soporte empresarial en el soporte empresarial de AWS que ayuda a los clientes a avivar sus operaciones en la nubarrón en AWS. Es un profesional de TI basado en resultados con más de 20 abriles de experiencia.

Anvesh KogantiAnvesh Koganti es un arquitecto de soluciones en AWS especializado en redes. Se enfoca en ayudar a los clientes a construir arquitecturas de redes para entornos AWS en gran medida escalables y resistentes. Fuera del trabajo, Anvesh es un apasionado de la tecnología del consumidor y le gusta escuchar podcasts sobre tecnología y negocios. Cuando se desconecta del mundo digital, Anvesh pasa tiempo al ventilación franco de caminatas y ciclismo.

Salman AhmedSalman Ahmed es un directivo de cuentas técnicas senior en el soporte de AWS Enterprise. Se especializa en enfilar a los clientes a través del diseño, implementación y soporte de soluciones de AWS. Combinando su experiencia en redes con un impulso para explorar nuevas tecnologías, ayuda a las organizaciones a navegar con éxito en su delirio en la nubarrón. Fuera del trabajo, disfruta de la fotografía, alucinar y ver a sus equipos deportivos favoritos.

Etiquetado , , , , , , , , ,

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *