配置OpenSearch集群公网访问
当集群开启了“安全模式”和“HTTPS访问”时,可以选择是否配置“公网访问”。配置公网访问后,用户可以获得一个公网访问的IP地址,通过这个IP地址可以在公网访问该安全集群。同时,还支持配置访问控制,设置允许公网访问集群的IP地址或网段。
Elasticsearch和OpenSearch集群的公网访问是通过共享型负载均衡器实现外网访问,共享型负载均衡器资源与其他实例共享资源,如果业务追求更优的负载均衡体验,推荐使用独享型负载均衡器接入集群,配置方案请参见配置Elasticsearch集群独享型负载均衡。
约束限制
- CSS开启公网访问后,会使用到EIP和带宽资源,涉及相关资源费用。
- 仅Elasticsearch集群版本≥6.5.4和OpenSearch集群才支持开启“安全模式”。
- 公网访问和终端节点服务使用的是同一个负载均衡。当集群开启了公网访问白名单,由于白名单是作用在负载均衡上面,将会同时限制公网访问集群和内网通过VPCEP访问集群的IP地址。此时需要在公网访问白名单中添加一个网络白名单“198.19.128.0/17”,通过该白名单用来放通经过VPCEP的流量。
创建集群时配置公网访问
- 登录云搜索服务管理控制台。
- 在创建集群页面,开启“安全模式”。设置管理员密码,并启用HTTPS访问。
- “公网访问”选择“自动绑定”,配置公网访问相关参数。
图1 创建集群时配置公网访问
表1 公网访问参数说明 参数
说明
带宽
设置公网访问的带宽。
访问控制开关
如果关闭访问控制开关,则允许任何IP通过公网IP访问集群。如果开启访问控制开关,则只允许白名单列表中的IP通过公网IP访问集群。
白名单
设置允许访问的IP地址或网段,中间用英文逗号隔开。仅当打开“访问控制开关”时才需要配置。
已有集群配置公网访问
您可以对已经创建集群的公网访问进行修改,查看,解绑,也可以配置公网访问。
- 登录云搜索服务管理控制台。
- 在集群管理页面,单击需要配置公网访问的集群名称,进入集群基本信息页面,管理公网访问相关配置。
图2 修改公网访问相关配置
- 配置公网访问
如果创建安全集群时,开启了HTTPS访问但未配置公网访问,集群创建成功后,可以在集群基本信息页面配置公网访问。
单击“公网访问”参数右侧的“绑定”,设置访问带宽后,单击“确定”。
如果绑定失败,用户可以等待几分钟后,再次尝试重新绑定公网访问。
- 修改
对已经配置了公网访问的集群,可以通过单击“带宽”参数右侧的“修改”,修改带宽大小,也可以通过单击“访问控制”右侧的“设置”,设置访问控制开关和访问白名单。
- 查看
- 解绑
对于已经绑定的公网IP地址,可以通过单击“公网访问”参数右侧的“解绑”,解绑公网IP地址。
解绑公网访问后,将无法通过公网IP地址访问集群。当关闭集群的公网访问后再重新打开,集群的公网地址可能会发生变化,请谨慎操作。
- 配置公网访问
通过公网IP地址接入集群
公网访问配置完成后,集群将会获得一个“公网访问”的IP地址,用户可以通过公网IP地址和端口接入集群。
curl -u username:password -k 'https://10.62.179.32:9200/_cat/indices'
其中username和password表示安全集群的用户名和密码。