配置OpenSearch集群公网访问
在企业级应用中,当业务需要从互联网安全地访问OpenSearch集群时,为了提升公网访问的安全性和性能,可以启用CSS服务的公网访问功能。开启集群公网访问功能后,系统会自动为集群分配独享带宽的全动态BGP公网IP地址,通过该地址可以从互联网访问HTTPS协议的安全集群。公网访问支持配置访问控制,设置允许公网访问集群的IP地址或网段。
OpenSearch集群的公网访问是通过共享型负载均衡器实现外网访问,共享型负载均衡器资源与其他实例共享资源,如果业务追求更优的负载均衡体验,推荐使用独享型负载均衡器接入集群,配置方案请参见配置OpenSearch集群独享型负载均衡。
计费影响
当OpenSearch集群开启公网访问功能时,系统将自动关联弹性公网IP(EIP)并启用公网带宽资源,从而产生相应的网络费用。
约束限制
- 满足以下条件的OpenSearch集群才支持启用公网访问功能:已开启“安全模式”和“HTTPS访问”。
- 公网访问和终端节点服务共用一个共享型负载均衡器。当集群启用公网访问白名单时,由于白名单是作用于负载均衡器,会同时限制公网访问和内网通过VPCEP访问集群的IP地址。此时需要在公网访问白名单中添加一个网络白名单“198.19.128.0/17”,以放通经由VPCEP的流量。
开启公网访问
当创建集群时未开启公网访问时,集群创建完成后可以通过如下步骤开启集群公网访问功能。
- 登录云搜索服务管理控制台。
- 在左侧导航栏,选择“集群管理 > OpenSearch”。
- 在集群列表,单击目标集群名称,进入集群详情页。
- 选择“概览”页签,在“网络信息”下方确认集群是否开启“安全模式”和“HTTPS访问”。
- 是,则执行下一步,开启公网访问。
- 否,则集群不支持开启公网访问。
图1 确认集群是否支持开启公网访问
- 单击“公网访问”后面的“绑定”,在弹窗中完成公网访问配置。
表1 绑定公网访问 参数
说明
带宽
设置集群公网访问的带宽。
取值范围:1Mbit/s~200Mbit/s
添加访问白名单
- 配置完成后,单击“确定”,启用公网访问功能。
开启成功后,网络信息区域会显示公网地址、访问控制和带宽信息。
管理公网访问
当集群开启公网访问后,支持查看公网访问地址、修改访问控制和带宽。
- 登录云搜索服务管理控制台。
- 在左侧导航栏,选择“集群管理 > OpenSearch”。
- 在集群列表,单击目标集群名称,进入集群详情页。
- 选择“概览”页签,在“网络信息”区域管理公网访问。
图2 管理公网访问
- 查看公网访问地址
查看并记录“公网访问”的地址和端口号,以便后续配置或访问。
- 修改公网访问的访问控制
单击“公网访问控制”后面的“修改”,在弹窗中添加或删除访问白名单,控制允许公网访问集群的IP地址或网段。配置完成后,单击“确定”,完成修改。
- 修改公网访问的带宽
单击“带宽”后面的“修改”,在弹窗中修改带宽以优化网络性能。配置完成后,单击“确定”,完成修改。
- 查看公网访问地址
关闭公网访问
当集群无需使用公网访问时,可以关闭公网访问,释放资源。
解绑公网访问后,将无法通过公网IP地址访问集群。当关闭集群的公网访问后再重新打开,集群的公网地址可能会发生变化,请谨慎操作。
- 登录云搜索服务管理控制台。
- 在左侧导航栏,选择“集群管理 > OpenSearch”。
- 在集群列表,单击目标集群名称,进入集群详情页。
- 选择“概览”页签,在“网络信息”下方,单击“公网访问”的“解绑”,在弹窗中输入CONFIRM,单击“确定”关闭公网访问。
关闭公网访问后,网络信息区域不再显示公网地址、访问控制和带宽信息。
通过公网IP地址接入集群
公网访问配置完成后,集群会获得一个公网访问地址,外部用户通过公网IP地址和端口安全的访问集群。
curl -u username:password -k 'https://10.62.xxx.xxx:9200/_cat/indices'
其中username和password表示安全集群的用户名和密码。
