配置OpenSearch集群路由
当CSS服务的OpenSearch集群需要访问客户端或其他服务(如LDAP)时,如果集群与目标服务位于不同VPC,默认无法直接通信。此时需要配置OpenSearch集群路由打通网络。

- 建立VPC对等连接:打通两个VPC之间的网络。
- 配置OpenSearch集群路由:在OpenSearch集群中添加客户端的路由信息,允许集群访问客户端。
- 验证网络连通性:启动业务确认网络连通性。
配置集群路由有以下优势:
- 提升跨VPC通信性能:通过路由表直接指定流量路径,避免绕行公网。
- 安全通信保障:基于VPC对等连接实现私有网络互通,数据不经过公网。
- 灵活管理访问策略:可自定义开放特定子网的访问权限。
- 支持混合云架构:实现不同VPC环境下的服务互联。
约束限制
- 当OpenSearch集群的镜像版本号大于或等于x.x.x_25.3.0_x.x.x时,才默认支持配置集群路由。
- 配置集群路由时,可能导致业务网络异常,建议谨慎操作。
前提条件
- 确认OpenSearch集群处于“可用”状态,集群配置的安全组的入方向规则放通了9200端口。
- 确认客户端的状态正常,服务器配置的安全组的出方向规则放通了9200端口。
建立VPC对等连接
配置集群路由之前要先在CSS集群和客户端的VPC之间建立网络连接,即VPC对等连接。
- 当CSS集群和客户端在相同账户下时,请参见创建相同账户下的对等连接。
- 当CSS集群和客户端在不同账户下时,请参见创建不同账户下的对等连接。
其中,对端VPC的信息填写CSS集群所在的VPC,本端VPC的信息填写客户端所在的VPC。
在添加VPC对等连接路由时,可以根据业务需要配置路由目的地址。
如果CSS集群和客户端使用的是同一个安全组,则默认不用配置对等连接两端VPC内实例的安全组规则。
配置OpenSearch集群路由
在OpenSearch集群配置客户端的路由网段,允许集群访问客户端。
- 登录云搜索服务管理控制台。
- 在左侧导航栏,选择“集群管理 > OpenSearch”。
- 在集群列表,单击目标集群名称,进入集群详情页。
- 选择“概览”页签,单击“配置信息”下方“集群路由”后面的“添加路由”。
图2 添加路由
- 在“添加路由”弹窗中,配置路由信息。
表1 添加路由 参数
说明
ip地址
填写集群需要访问的客户端或服务器的IP或网段,例如“10.10.1.0”。
子网掩码
填写“ip地址”对应的子网掩码。
子网掩码必须与IP地址的网段匹配,即:- 子网掩码的网络位(1的部分)必须覆盖IP地址的网络位。
- IP地址的主机位(0的部分)必须在子网掩码定义的主机范围内。
子网掩码的范围不宜过大,避免不必要的IP暴露或资源浪费。通常建议使用 /24(即 255.255.255.0),适用于大多数内部网络场景。
- 单击“确定”添加路由。
添加完成后,单击“查看路由”,可以查看已添加的路由信息;单击“添加路由”,可以继续增加路由信息;单击“删除路由”,选择路由后输入DELETE,单击“确定”即可删除路由。
验证网络连通性
由于OpenSearch访问客户端无法直接验证,请在路由配置完成后,启动业务,如果搜索业务访问正常,表示路由配置成功。