一般性问题

问:什么是 Amazon OpenSearch Service(前身为 Amazon Elasticsearch Service)?

借助 Amazon OpenSearch Service,您可以轻松执行交互式日志分析、实时应用程序监控、网站搜索等。OpenSearch 是源自 Elasticsearch 的开源、分布式搜索和分析套件。Amazon OpenSearch Service 提供最新版本的 OpenSearch,支持 19 个版本的 Elasticsearch(1.5 至 7.10 版),以及由 OpenSearch 控制面板和 Kibana(1.5 至 7.10 版)提供支持的可视化功能。

问:Amazon OpenSearch Service 支持哪些 OpenSearch 和 Elasticsearch 版本?

Amazon OpenSearch Service 提供最新版本的 OpenSearch 并支持 19 个版本的 Elasticsearch(1.5 至 7.10 版)。有关更多详细信息,请参阅我们的文档

问:什么是 Amazon OpenSearch Service 域?

Amazon OpenSearch Service 域是使用 Amazon OpenSearch Service 控制台、CLI 或 API 创建的 Elasticsearch(1.5 至 7.10)或 OpenSearch 集群。在具有您指定的计算和存储资源的云中,每个域都是一个 OpenSearch 或 Elasticsearch 集群。您可以创建并删除域,定义基础设施属性,并控制访问和安全性。您可以运行一个或多个 Amazon OpenSearch Service 域。

问:Amazon OpenSearch Service 可代我管理哪些内容?

Amazon OpenSearch Service 管理设置域所涉及的工作,从在您请求的网络环境中预置基础设施容量到安装 OpenSearch 或 Elasticsearch 软件。在域运行后,Amazon OpenSearch Service 会自动执行常见管理任务,例如执行备份、监控实例并修复软件。Amazon OpenSearch Service 与 Amazon CloudWatch 集成,以生成提供有关该域状态的信息的指标。Amazon OpenSearch Service 还提供了修改域实例和存储设置的选项,以简化根据您的应用程序需求定制域的任务。

问:Amazon OpenSearch Service 是否支持开源 Elasticsearch 和 OpenSearch API?

Amazon OpenSearch Service 支持大多数常用的 OpenSearch 和 Elasticsearch API,因此,已在 Elasticsearch(最高 7.10 版)或 OpenSearch 环境中使用的代码、应用程序和常见工具可以实现无缝协作。有关受支持操作的完整列表,请参阅我们的文档

问:Amazon OpenSearch Service 有哪些可用区 (AZ) 部署选项?

Amazon OpenSearch Service 为客户提供跨一个、两个或三个可用区部署其实例的选项。运行开发或测试工作负载的客户可以选择单个可用区选项。运行生产级工作负载的客户应使用两个或三个可用区。强烈建议对具有更高可用性要求的工作负载部署三个可用区。

注意:三个可用区选项仅适用于有三个或更多可用区的区域。

问:Amazon OpenSearch Service 在哪些区域提供三个可用区部署?

Amazon OpenSearch Service 支持在以下区域的三个可用区部署:美国东部(弗吉尼亚北部、俄亥俄)、美国西部(俄勒冈)、Amazon GovCloud(US-Gov-East、US-Gov-West)、加拿大(中部)、南美洲(圣保罗)、欧洲(爱尔兰、伦敦、法兰克福、巴黎、斯德哥尔摩、米兰)、亚太地区(新加坡、悉尼、东京、首尔、孟买、香港)、中东(巴林)、中国(宁夏 - 由西云数据运营)以及非洲(开普敦)。

设置和配置

问:我是否可以通过 Amazon OpenSearch Service 控制台创建和修改我的 Amazon OpenSearch Service 域?

可以。您只需单击几下,即可使用控制台中的域创建向导创建新的 Amazon OpenSearch Service 域。创建新域时,您可以指定实例数量、实例类型以及您希望分配给域的 EBS 卷。您还可以使用控制台修改或删除现有的 Amazon OpenSearch Service 域。

问:Amazon OpenSearch Service 是否支持 Amazon VPC?

是的,Amazon OpenSearch Service 已与 Amazon VPC 集成。选择 VPC 访问后,VPC 中的 IP 地址会挂载到 Amazon OpenSearch Service 域,并且所有网络流量均被限制在亚马逊云科技网络内,无法通过 Internet 访问。此外,您还可以使用安全组和 IAM 策略,来限制对 Amazon OpenSearch Service 域的访问。

问:我是否可以使用 CloudFormation 模板预置 Amazon OpenSearch Service 域?

可以。亚马逊云科技 CloudFormation 支持 Amazon OpenSearch Service。有关更多信息,请参阅 CloudFormation 模板参考文档。

问:Amazon OpenSearch Service 是否支持配置专用主节点?

是。您可以为域配置专用主节点。选择一个专用主配置后,您可以指定实例类型和实例数量。

问:我是否在可以单个 Amazon OpenSearch Service 域中创建多个 Elasticsearch 或 OpenSearch 索引?

是。您可以在同一个 Amazon OpenSearch Service 域中创建多个 Elasticsearch 或 OpenSearch 索引。Elasticsearch 和 OpenSearch 会自动在分配到该域的实例之间分发索引和任何相关副本。

问:如何将数据摄取到我的 Amazon OpenSearch Service 域中?

Amazon OpenSearch Service 支持三种数据摄取选项:

  • 对于大规模数据,我们建议使用 Amazon Kinesis Data Firehose,这是一项完全托管的服务,可以自动扩展以便与数据吞吐量匹配,不需要持续管理。它还可以在加载数据前对其进行转换、批处理和压缩。
  • Amazon OpenSearch Service 支持与 Logstash 集成。您可以将 Amazon OpenSearch Service 域配置为数据存储,用于存储所有来自 Logstash 实施的日志。
  • 您可以使用索引 API 和批量 API 等原生 Elasticsearch(最高 7.10 版)或 OpenSearch API 将数据加载到域中。

问:Amazon OpenSearch Service 是否支持与 Logstash 的集成?

支持。Amazon OpenSearch Service 支持与 Logstash 集成。您可以将 Amazon OpenSearch Service 域设置为来自 Logstash 实施的所有日志的后端存储。您可以在 Amazon OpenSearch Service 域上设置访问控制,以使用请求签名验证来自 Logstash 实施的调用,或者使用基于资源的 IAM 策略涵盖运行 Logstash 实施的实例的 IP 地址。

问:Amazon OpenSearch Service 是否支持与 Kibana 的集成?

支持。Amazon OpenSearch Service 提供由 OpenSearch 控制面板和 Kibana(1.5 至 7.10 版)提供支持的可视化功能。

问:Amazon OpenSearch Service 具有哪些存储选项?

您可以选择本地实例存储或 EBS 卷。在创建域的过程中,如果您选择 EBS 存储,则可以按需增加和减小存储卷的大小。

问:Amazon OpenSearch Service 支持哪些类型的 EBS 卷?

您可以选择使用磁卷、通用型卷和预置的 IOPS EBS 卷。

问:可以分配给 Amazon OpenSearch Service 域的存储容量是否存在限制?

是。Amazon OpenSearch Service 根据实例的选择和/或关联 EBS 卷的大小部署存储。对于 i3.16xlarge 实例,每个节点的最大存储量为 15TB。在默认情况下,每个 Amazon OpenSearch Service 域最多可有 40 个数据节点,因此,您可以为一个域分配约 600 TB 的存储容量。您可以在亚马逊云科技支持中心创建一个案例来请求提高服务限制,将每个域的实例数增加到多达 200 个。通过这 200 个实例,您可以为一个域分配约 3 PB 的存储容量。

问:如何在可用区之间分配专用主实例?

如果在单个可用区中部署数据实例,则专用主实例也会部署在同一个可用区中。但是,如果跨两个或三个可用区部署数据实例,Amazon OpenSearch Service 会自动在三个可用区中分配专用主实例。如果某个区域只有两个可用区,或者您为所有可用区中不可用的主实例选择老一代实例类型,则会出现此规则的例外情况。有关更多详细信息,请参阅我们的文档

问:生产工作负载的推荐可用区配置是什么?

对于生产工作负载,我们建议在三个可用区之间部署数据实例,因为这样可以提供更好的可用性。此外,我们还建议预置的实例数为三的倍数,以便在可用区之间进行等额分配。在没有提供三个可用区的区域,我们建议使用两个可用区部署(其拥有的数据实例数为偶数)。在所有情况下,我们都建议预置三个专用主实例。

问:如何配置我的域才能启用三个可用区部署?

您可以使用亚马逊云科技控制台、CLI 或 SDK,为现有域和新域启用三个可用区部署。有关更多详细信息,请参阅我们的文档

问:启用三个可用区部署是否需要付费?

不需要,Amazon OpenSearch Service 不会针对启用三个可用区部署收取任何费用。您只需为域中的实例数付费,不需要为部署实例的可用区数付费。

问:我没有在控制台中看到“区域感知”选项。我的域不再是区域感知的吗?

为多个可用区配置的所有域都会启用区域感知,以确保在可用区之间分配分片。在控制台中,您现在可以明确选择两个或三个可用区部署。除非重新配置,否则先前使用“区域感知”配置的域将继续部署在两个可用区中。有关更多详细信息,请参阅我们的文档

问:Amazon OpenSearch Service 如何处理实例故障和可用区中断?

如果可用区中的一个或多个实例无法访问或无法运行,Amazon OpenSearch Service 会自动尝试在同一个可用区中启动新实例以替换受影响的实例。在罕见的情况下,例如无法在可用区中启动新实例,如果该域已配置为跨多个可用区部署实例,则 Amazon OpenSearch Service 会在其他可用的可用区中启动新实例。一旦可用区问题得到解决,Amazon OpenSearch Service 会重新平衡实例,以便将其平均分配在为域配置的可用区中。有关更多详细信息,请参阅我们的文档

问:如果我的域中的索引只有一个副本,那么应该使用两个还是三个可用区?

即使配置一个副本,我们也建议使用三个可用区。如果在三个可用区域中发生可用区中断,则只会丢失三分之一的容量,但如果在两个可用区域中发生中断,则会损失一半的容量,这可能会更具破坏性。此外,在三个可用区域中,当可用区中断时,Amazon OpenSearch Service 可以回退到剩下的两个可用区,并且仍然支持跨可用区复制。在两个可用区域中,如果一个可用区中断,则会失去跨可用区复制能力,这可能会进一步降低可用性。有关更多详细信息,请参阅我们的文档

问:如何为我的 VPC 域利用三个可用区部署?

您的域部署的可用区数量与您为 VPC 域配置的子网数量相对应。您需要在 VPC 域中配置至少三个子网才能启用三个可用区部署。有关配置 VPC 的更多详细信息,请参阅我们的文档

管理

问:在我自己的数据中心的服务器上运行的程序能否访问我的 Amazon OpenSearch Service 域?

可以。所有能够访问公共 Internet 的程序均可通过公有终端节点访问 Amazon OpenSearch Service 域。如果您的数据中心已通过 Direct Connect 或 SSH 隧道连接到 Amazon VPC,您还可以使用 VPC 访问。在这两种情况下,您都可以通过配置 IAM 策略和安全组,来允许在亚马逊云科技外的服务器上运行的程序访问 Amazon OpenSearch Service 域。 单击此处,了解有关签名请求的更多信息。

问:如何将数据从现有的 OpenSearch/Elasticsearch 集群迁移到新的 Amazon OpenSearch Service 域?

要从现有 Elasticsearch 或 OpenSearch 集群迁移数据,您应创建现有集群的快照,并将该快照存储到 Amazon S3 存储桶中。然后,您可以创建一个新的 Amazon OpenSearch Service 域,并使用还原 API 将快照中的数据加载到新创建的 Amazon OpenSearch Service 域中。

问:如何扩展 Amazon OpenSearch Service 域?

Amazon Elasticsearch Service 允许您使用控制台、API 和 CLI 控制 Amazon OpenSearch Service 域的扩展。您可以根据应用程序需求,通过添加、删除或修改实例或存储卷扩展您的 Amazon OpenSearch Service 域。Amazon OpenSearch Service 与 Amazon CloudWatch 集成以提供有关 Amazon OpenSearch Service 域状态的指标,从而使您能够针对您的域做出适当的扩展决定。

问:扩展我的 Amazon OpenSearch Service 域是否需要停机?

否。通过添加或修改实例和存储卷来扩展您的 Amazon OpenSearch Service 域是不需要任何停机时间的联机操作。

问:Amazon OpenSearch Service 是否支持跨区复制?

是。如果为 OpenSearch/Elasticsearch 索引启用副本并使用多个可用区,则 Amazon OpenSearch Service 会自动在不同可用区中的实例之间分发主分片和副本分片。

问:Amazon OpenSearch Service 是否通过 Amazon CloudWatch 提供任何性能指标?

是。Amazon OpenSearch Service 通过 Amazon CloudWatch 提供多个性能指标,其中包括节点数量、集群运行状况、可搜索文档、EBS 指标(如适用)、CPU、内存以及数据和主节点的磁盘利用率。请参阅服务文档,了解可用 CloudWatch 指标的完整列表。

问:我希望对我的 Amazon OpenSearch Service 部署执行安全性分析或运营故障排除。我能否获得我的账户执行的所有 Amazon OpenSearch Service API 调用的历史记录?

可以。Amazon CloudTrail 是一项 Web 服务,用于记录账户的亚马逊云科技 API 调用,并向您发送日志文件。由 Amazon CloudTrail 生成的亚马逊云科技 API 调用历史记录可用于安全分析、资源变更跟踪以及合规性审计。您可以访问此处了解有关 Amazon CloudTrail 的更多信息,还可以通过 CloudTrail 的“亚马逊云科技管理控制台”主页将其打开。

问:什么是快照?

快照是 Amazon OpenSearch Service 域在某一瞬间的副本。

问:为什么需要快照?

发生由节点故障(以及不太可能出现的硬件故障)引起的数据丢失时创建快照非常有用。您可以使用快照来恢复具有预加载数据的 Amazon OpenSearch Service 域,或者创建具有预加载数据的新 Amazon OpenSearch Service 域。使用备份的另一个常见原因是用于存档。快照存储在 Amazon S3 中。

问:Amazon OpenSearch Service 是否提供自动化快照?

是。默认情况下,Amazon OpenSearch Service 会为每个 Amazon OpenSearch Service 域自动创建每小时快照,并保留 14 天。

问:Amazon OpenSearch Service 将会存储每天自动创建的每小时快照多长时间?

Amazon OpenSearch Service 将保留最近 14 天内自动创建的每小时快照。

问:每天自动创建的每小时快照是否收费?

自动创建每小时快照不产生额外费用。快照免费存储在 Amazon OpenSearch Service S3 存储桶中,并且可用于节点恢复。

问:我是否可以根据需要为我的 Amazon OpenSearch Service 域创建更多快照?

可以。除 Amazon OpenSearch Service 每日自动创建的快照外,您还可以使用快照 API 创建更多手动快照。手动快照存储在您的 S3 存储桶中,且将产生相关的 Amazon S3 使用费。

问:通过手动快照流程创建的快照是否可以在出现故障时用来恢复域?

可以。客户可以创建新的 Amazon OpenSearch Service 域,并使用 OpenSearch/Elasticsearch 还原 API 将快照中的数据加载到新创建的 Amazon OpenSearch Service 域中。

问:当我删除我的 Amazon OpenSearch Service 域时,我的快照会发生什么?

由 Amazon OpenSearch Service 保留的每日快照将作为域删除的一部分被删除。删除域之前,您应该考虑使用手动快照流程在您自己的 S3 存储桶中创建一个该域的快照。如果您删除 Amazon OpenSearch Service 域,存储在 S3 存储桶中的快照将不受影响。

问:Amazon OpenSearch Service 提供了哪些类型的 OpenSearch/Elasticsearch 日志?

Amazon OpenSearch Service 通过 Amazon CloudWatch Logs 提供了三种 Elasticsearch 或 OpenSearch 日志:错误日志、搜索慢日志和索引慢日志。这些日志对于解决某个域的性能和稳定性问题非常有用。

问:什么是慢日志?

慢日志是一种日志文件,可以帮助您跟踪一项操作在不同阶段的表现。OpenSearch 和 Elasticsearch 提供两种类型的慢日志:

  • 索引慢日志 – 这种日志可以让您了解索引过程,能够用来微调索引设置。
  • 搜索慢日志 – 这种日志可以让您了解查询和获取操作的执行快慢程度。慢日志可以帮助您微调 OpenSearch 或 Elasticsearch 上任何类型的搜索操作的表现。

有关慢日志的完整详细信息,请参阅 OpenSearch 文档

问:如何在 Amazon OpenSearch Service 上启用慢日志?

您可以通过单击控制台中的按钮或者通过我们的 CLI 或 API 来启用慢日志。有关更多详细信息,请参阅我们的文档

问:能否只为特定索引启用慢日志?

可以。您可以更新针对特定索引的设置,从而为其启用或禁用慢日志。有关更多详细信息,请参阅我们的文档

问:在 Amazon OpenSearch Service 中打开慢日志,是否会为所有索引自动启用日志记录?

否。在 Amazon OpenSearch Service 中打开慢日志后,您可以针对指定域中的索引,将生成的日志发布到 Amazon CloudWatch Logs。但是,要生成日志,您必须更新针对一个或多个索引的设置,这样才能启动日志记录流程。要了解有关设置索引配置以便启用慢日志的更多详细信息,请参阅我们的文档

问:在 Amazon OpenSearch Service 中关闭慢日志后,是否就不再生成日志文件?

否。是否生成日志文件取决于索引设置。要停止生成日志文件,您必须更新索引配置。要了解有关设置索引配置以便启用慢日志的更多详细信息,请参阅我们的文档

问:能否更改日志记录的粒度?

您只能更改慢日志的日志记录粒度。OpenSearch 和 Elasticsearch 提供慢日志的多种级别的日志记录。您需要在索引的配置中设置适当的级别。要了解有关设置索引配置以便启用慢日志的更多详细信息,请参阅我们的 OpenSearch 文档

问:启用慢日志或错误日志是否需要付费?

启用慢日志或错误日志之后,Amazon OpenSearch Service 会开始向 CloudWatch Logs 发布生成的日志。Amazon OpenSearch Service 不会对启用日志收取任何费用。但是,我们会收取标准的 CloudWatch 费用

问:Amazon OpenSearch Service 提供了哪些类型的错误日志?

OpenSearch 和 Elasticsearch 使用 Apache Log4j 2 及其内置的日志级别(从最低到最严重)的 TRACE、DEBUG、INFO、WARN、ERROR 和 FATAL。如果您启用错误日志,Amazon OpenSearch Service 会将 WARN、ERROR、FATAL 级别的日志行以及从 DEBUG 级别选择的错误发布到 CloudWatch。有关更多详细信息,请参阅我们的文档

问:如何在 Amazon OpenSearch Service 上启用错误日志?

您可以通过单击亚马逊云科技控制台中的按钮或者通过我们的 CLI 或 API 来启用错误日志。有关更多详细信息,请参阅我们的文档

问:我能否仅为特定索引启用错误日志?

否,错误日志是针对整个域提供的。也就是说,一旦启用,域中所有索引的日志条目均将可用。

问:Amazon OpenSearch Service 支持的所有版本的 Elasticsearch 是否都可以使用错误日志?

否,错误日志仅适用于 Elasticsearch 版本 5.x 及更高版本。

问:每个日志条目的大小是否有任何限制?

有。发布到 CloudWatch 的每个日志条目的大小不得超过 255000 个字符。超出这一限制的日志条目会被截断为 255,000 个字符。

问:对于使用慢日志,有哪些建议的最佳实践?

只有在排查索引问题或者微调性能时,您才需要使用慢日志。建议您只针对要具体了解其性能的索引启用日志记录。此外,完成调查后,您应该关闭日志记录,这样就不会再产生任何其他相关费用。有关更多详细信息,请参阅我们的文档

问:怎样使用 CloudWatch Logs 生成的日志?

CloudWatch 支持多种日志使用方式。您可以查看日志数据将日志导入 S3 或者实时处理日志。要了解更多信息,请参阅 CloudWatch Logs 开发人员指南

问:Amazon OpenSearch Service 支持的所有版本的 OpenSearch 和 Elasticsearch 是否都可以使用慢日志?

是的。Amazon OpenSearch Service 支持的所有版本的 OpenSearch 和 Elasticsearch 都可以启用慢日志。但是,为不同版本的 Elasticsearch 指定日志设置的方式会稍有不同。请参阅我们的文档,了解更多详细信息。

问:打开或关闭日志记录时,集群是否会中断运行?

否。不会发生中断。日志状态每次更新时,我们都会在后台部署一个新集群,用它替换原有集群。此过程不会造成任何中断。但是,由于部署了新集群,日志状态将无法即时更新。

问:就地升级功能支持哪些 OpenSearch 和 Elasticsearch 版本?

Amazon OpenSearch Service 目前支持使用任何 OpenSearch 版本或 Elasticsearch 5.x 版及更高版本的域的就地版本升级。我们支持升级的目标版本为 5.6、6.3、6.4、6.5、6.7、6.8、7.1、7.4、7.7、7.8、7.9 和 7.10。 有关更多详细信息,请参阅我们的文档

问:我的域运行的 Elasticsearch 版本早于 5.x。如何升级这些域?

有关从各种 Elasticsearch 版本迁移的详细信息,请参阅我们的文档

问:就地升级过程中,我的域是否会离线?

否。您的域在整个升级过程中将一直保持可用。但是,部分升级过程涉及重新定位分片,这会影响域性能。我们建议您在域中的负载较低时进行升级。

问:如何检查域的 Elasticsearch 版本是否可以升级?

就地版本升级仅适用于运行 Elasticsearch 5.x 及更高版本的域。如果域的版本是 5.x 或更高版本,则您可以运行升级资格检查以验证您的域是否可以升级到所需的版本。要了解更多信息,请参阅我们的文档

问:Amazon OpenSearch Service 验证域升级资格需要完成哪些测试?

有关我们运行以验证升级资格的测试的详细列表,请参阅我们的文档

问:在版本升级过程中,我能否更新我的域配置?

否。触发就地版本升级后,在升级完成或失败之前,您无法更改域配置。您可以在升级过程中继续读取和写入数据。此外,您还可以删除域,在这种情况下,将会终止升级并删除域。

问:当就地版本升级正在进行时,自动系统快照会发生什么?

版本升级过程会自动获取系统的快照,并且只有在快照成功时才会启动实际升级。如果在达到自动快照的开始时间时正在进行升级,则会在当天跳过自动快照,并在第二天继续。

问:Amazon OpenSearch Service 如何防范版本升级期间可能出现的问题?

Amazon OpenSearch Service 在触发升级之前运行一组测试,以检查可能阻止升级的已知问题。如果没有遇到任何问题,该服务会创建域的快照,并在快照创建成功后启动升级过程。如果任何步骤遇到任何问题,则不会触发升级。

问:如果系统在执行就地版本升级期间遇到问题,会发生什么情况?

如果遇到的问题无关紧要并且可以解决,Amazon OpenSearch Service 会自动尝试解决这些问题并取消阻止升级。但是,如果问题阻止升级,则服务将恢复为升级之前获取的快照并记录错误。有关查看升级过程中的日志的更多详细信息,请参阅我们的文档

问:是否可以查看域的升级历史记录?

可以。您可以从亚马逊云科技控制台查看升级日志,也可以使用 CLI 或 SDK 请求升级日志。请参阅我们的文档,了解更多详细信息。

问:我能否在触发版本升级后将其暂停或取消?

否。触发升级后,在升级完成或失败之前,无法暂停或取消。

问:我能否在多个域上并行运行就地版本升级?

可以。但是,如果您希望将所有域保留在同一版本上,我们建议您在升级域之前在所有域上运行升级资格检查。此额外步骤可以帮助捕获可能不存在于其他域中的某个域的问题。

问:就地版本升级需要多长时间?

根据数据量和集群的大小,升级可能需要几分钟到几个小时才能完成。

问:我能否仅快速升级域而不保留任何数据?

否。通过就地版本升级,集群中的所有数据也会作为升级过程的一部分进行恢复。如果您只希望单独升级域,则可以获取数据快照,从域中删除所有索引,然后触发就地版本升级。或者,您可以使用较新版本创建单独的域,然后将数据恢复到该域。

问:如果我对新版本不满意,能否降级到以前的版本?

否。如果您需要降级为旧版,请联系亚马逊云科技支持部门,以在新域中还原自动升级前的快照。如果您为原始域拍摄了手动快照,则可以自己执行此步骤

安全性

问:如何保护 Amazon OpenSearch Service 域的安全?

Amazon OpenSearch Service 提供多项安全功能,且符合 PCI DSS、SOC 和 ISO 标准,可以满足您的安全性与合规性需求。访问 Amazon OpenSearch Service 管理 API 进行操作,例如创建和扩展域,受亚马逊云科技 Identity and Access Management (IAM) 策略控制。

Amazon OpenSearch Service 域可配置成通过 VPC 内的终端节点或互联网公共终端节点访问。VPC 终端节点的网络访问由安全组控制,公共终端节点的网络访问可通过 IP 地址授权或限制。

除了网络访问控制外,Amazon OpenSearch Service 通过 IAM 提供用户身份验证,通过用户名和密码提供基本身份验证。可以授予域级别(通过域访问策略)以及索引、文档和字段级别(通过 OpenSearch 提供支持的精细访问控制功能)的授权。此外,精细访问控制功能通过只读视图和安全的多租户支持扩展 OpenSearch 控制面板和 Kibana。

Amazon OpenSearch Service 还支持与 Amazon Cognito 的集成,这样最终用户可以使用 SAML 2.0、Amazon Cognito 用户池等等,通过企业身份提供商(例如 Microsoft Active Directory)登录 OpenSearch 控制面板和 Kibana。登录后,Amazon Cognito 使用适当的 IAM 委托人建立会话,IAM 委托人提供对 Amazon OpenSearch Service 域的访问。然后,可以将这些 IAM 委托人与 OpenSearch 提供支持的精细访问控制功能结合使用。

问:安全身份验证和授权如何在 Amazon OpenSearch Service 中起作用?

Amazon OpenSearch Service 安全有三个主要层:网络、域访问策略和精细访问控制。第一个安全层是网络,该层决定请求是否会到达域。我们通过互联网或 VPC 访问支持公共访问,仅限于您 VPC 内的特定安全组。域访问策略是第二个安全层。请求到达域终端节点后,域访问策略允许或拒绝对给定 URL 的请求访问。域访问策略在请求到达 OpenSearch/Elasticsearch 前,在域边缘接受或拒绝请求。第三个也是最后一个安全层是精细访问控制。域访问策略允许请求到达域终端节点后,精细访问控制会评估用户凭证,然后认可用户或拒绝请求。如果精细访问控制认可用户,会获取映射至该用户的所有角色,并使用完整权限集来决定用户可以访问的数据。

问:Amazon OpenSearch Service 是否支持加密?

是的,Amazon OpenSearch Service 支持静止加密,可通过亚马逊云科技 Key Management Service (KMS)、TLS 上的节点到节点加密实现,并可要求客户端通过 HTTPS 通信。静止加密可加密分片、日志文件、交换文件和自动化 S3 快照。您可以使用亚马逊云科技托管密钥或选择自己的密钥。节点到节点加密为节点间的所有通信启用 TLS。Amazon OpenSearch Service 在整个域寿命周期内自动部署和轮换证书。如果您要求客户端通过 HTTPS 通信,您还必须有能力指定最低 TLS 版本。

问:如果为 Amazon OpenSearch Service 域设置了 VPC 访问,那么我应如何访问 OpenSearch 控制面板和 Kibana?

启用 VPC 访问后,Amazon OpenSearch Service 的终端节点仅能在客户 VPC 内进行访问。如要使用笔记本电脑从 VPC 外部访问 OpenSearch 控制面板和 Kibana,您需要使用 VPC Direct Connect 将笔记本电脑连接至 VPC。

定价

按需实例定价

问:Amazon OpenSearch Service 的使用如何收费和计费?

您只需为实际使用量付费,无最低费用或设置费用。您的计费依据为:

  • Amazon OpenSearch Service 实例小时数 – 基于使用的 Amazon OpenSearch Service 实例的等级(例如,标准、小、大、超大型)。运行时间未满一小时的 Amazon OpenSearch Service 实例按一小时计费。
  • 存储(每月每 GB)– 您为 Amazon OpenSearch Service 实例预置的 Amazon EBS 存储容量。如果您在当月内扩展了预置的存储容量,则您的账单将按比例分配。
  • 每月的预置 IOPS – Amazon EBS 的预置 IOPS 费率,不论 IOPS 的实际使用量如何(仅适用于 Amazon OpenSearch Service 的预置 IOPS (SSD) 存储)。
  • 数据传输 – 收取常规亚马逊云科技数据传输费。

有关详细的定价信息,请参阅 Amazon OpenSearch Service 定价页面

问:Amazon OpenSearch Service 域何时开始和结束计费?

Amazon OpenSearch Service 实例一旦处于可用状态,即开始计费。计费一直持续到 Amazon OpenSearch Service 实例终止之时(删除实例或实例出现故障时)。

问:如何定义 Amazon OpenSearch Service 的可计费实例小时数?

Amazon OpenSearch Service 实例小时数是指实例在可用状态下运行的计费小时数。如果您不希望再被收取 Amazon OpenSearch Service 实例费用,则必须删除该域以避免产生更多实例小时数的费用。运行时间未满一小时的 Amazon OpenSearch Service 实例按一小时计费。

预留实例定价

问:什么是预留实例 (RI)?

借助 Amazon OpenSearch Service 预留实例,您可以将实例预留一年或三年,并借此获得与按需实例定价相比而言显著的节省。

问:预留实例与按需实例有何不同?

预留实例和按需实例在功能上是完全相同的。唯一区别是实例的计费方式。对于预留实例,您可以购买一年期或三年期预留,并在预留期限内享受较低的每小时有效使用费率(相对于按需实例)。除非您在一个区域内购买预留实例,否则该区域中的所有实例都按照按需实例的每小时费率计费。

问:预留实例有哪些付款选项?

有三种可用选项:

  • 无预付预留实例 (NURI) – 与按需实例价格相比,NURI 可以显著节省费用。您无需预付任何费用,但承诺在一年或三年期内为预留实例付费。
  • 预付部分费用的预留实例 (PURI) – PURI 比 NURI 节省更多。您需要预付总费用的一部分,剩余费用在使用期限内支付。这是预付和按小时付款的折中选项。
  • 预付全部费用的预留实例 (AURI) – AURI 提供所有预留实例付款选项中最大的节省。您只需为整个预留期限支付一笔预付款,无需按小时数支付任何费用。

问:如何购买预留实例?

您可以在适用于 Amazon OpenSearch Service 的亚马逊云科技管理控制台的“预留实例”部分购买预留实例。或者,您可以使用 Amazon OpenSearch Service API 或亚马逊云科技命令行界面列出和购买预留实例。

购买预留实例后,您可以像使用按需实例一样使用它。只要激活购买的预留,Amazon OpenSearch Service 就会按更低的每小时费率对其进行计费。

问:预留实例是否特定于某个可用区?

Amazon OpenSearch Service 预留实例针对区域而非某个特定的可用区出售。当您针对某个区域购买预留实例后,系统将对该区域内任何可用区中的相应使用应用折扣。

问:我可以购买多少个预留实例?

一次最多可以购买 100 个预留实例。如果您需要更多预留实例,则需要提出购买更多的请求。

问:预留实例是否包括容量预留?

Amazon OpenSearch Service 预留实例针对区域而非某个特定的可用区出售。因此,它们不是容量预留。即使一个可用区的容量有限,仍然可以在该区域购买预留实例。系统将对该区域内任何可用区中的相应使用应用折扣。

问:如果我想将现有的按需实例转换为预留实例,应该怎么做?

您只需要购买与现有按需实例类型相同的预留实例。成功购买预留实例后,Amazon OpenSearch Service 会自动在预留期限内应用新的每小时使用费率。

问:如果我注册了预留实例,预留期限从何时开始算起? 期限结束时,我的预留实例会发生什么情况?

收到您的请求并处理付款授权后,系统将会启用与预留实例相关联的定价变更和预留期限。如果一次性付款(如适用)或新的每小时费率(如适用)在下一个账单周期开始之前无法成功获得授权,则折扣价格不会生效,也不会开始计算预留期限。您可以使用控制台、API 或 CLI 跟踪预留状态。有关更多详细信息,请参阅我们的文档

预留实例到期后,您的预留实例将转换成相应的按需实例,并按照实例类和区域计算每小时使用费。

问:我如何控制哪些实例按照预留实例费率进行计费?

计算账单时,我们的系统将自动应用您的预留,这样,所有符合条件的实例都将按较低的每小时预留实例费率计费。在运行 Amazon OpenSearch Service 域时,Amazon OpenSearch Service 不会区分按需实例和预留实例。

问:如果对预留实例进行扩展或缩减,我的预留会发生什么情况?

每个预留实例都与实例类型以及您为其选择的区域有关。如果您更改预留实例所在的区域的实例类型,则不能获得折扣定价。您必须确保您的预留和您计划使用的实例类型相匹配。有关更多详细信息,请参阅 Amazon OpenSearch Service 预留实例文档

问:是否可以在不同区域或可用区之间移动预留实例?

每个预留实例都与特定的区域关联,并且在预留实例生命周期内固定不变,因此无法更改区域。不过,在关联区域内的任何可用区中都可以使用各个预留实例。

问:如果使用多个可用区,预留实例是否适用?

预留实例适用于某个亚马逊云科技区域,可用于该区域内的任何可用区。

问:预留实例是否可同时用于主节点和数据节点?

可以。在应用预留实例折扣时,Amazon OpenSearch Service 不会区分主节点和数据节点。

问:是否可以取消预留实例?

不可以,您不能取消预留实例,一次性付款(如适用)和折扣后的每小时使用费率(如适用)不可退还。另外,您无法将预留实例转移到其他账户。无论您的使用量如何,都必须支付预留实例期限内每个小时的费用。

问:如果我通过付款人(主)账户购买预留实例,是否所有成员账户都可以访问实例?

可以。预留实例定价和应用程序需遵循为亚马逊云科技整合账单定义的策略。单击此处可以了解更多详细信息。

问:如果亚马逊云科技降低 Amazon OpenSearch Service 按需实例的价格,我为当前的预留实例支付的费用是否会有变化?

不会。您为已购买的预留实例支付的价格在预留期限内不会发生变化。

问:我能否在预留实例市场上销售自己的预留实例?

不能。从 Amazon OpenSearch Service 中购买的预留实例不能在预留实例市场上销售。

问:购买预留实例能否享受批量折扣?

不能。我们不为 Amazon OpenSearch Service 预留实例提供批量折扣。

服务等级协议

问:Amazon OpenSearch Service SLA 可保证哪些内容?

我们的 Amazon OpenSearch Service SLA 可保证 Amazon OpenSearch Service 的月度正常运行时间百分比至少达到 99.9%。

问:怎样确定我是否有资格获得 SLA 服务抵扣?

如果 Amazon OpenSearch Service 上的多可用区域在任何每月计费周期中的月度正常运行时间百分比低于 99.9%,则按照 Amazon OpenSearch Service SLA,您符合 Amazon OpenSearch Service 的 SLA 抵扣资格。

如需 SLA 的所有条款与条件的完整详细信息,以及如何提交索赔的详细信息,请参阅由西云数据运营的亚马逊云科技(宁夏)区域 Amazon OpenSearch Service SLA 以及由光环新网运营的马逊云科技(北京)区域 Amazon OpenSearch Service SLA

UltraWarm

问:什么是 UltraWarm?

UltraWarm 是用于 Amazon OpenSearch Service 的完全托管、低成本温存储层。它与 OpenSearch、Elasticsearch(7.10 版之前)、 OpenSearch 控制面板和 Kibana(7.10 版之前)兼容,使您能够使用与 Amazon OpenSearch Service 现在提供的相同工具分析数据。UltraWarm 可与 Amazon OpenSearch Service 的现有功能(如集成提醒、SQL 查询等)无缝集成。 

问:为什么应该使用 UltraWarm?

UltraWarm 使您能够经济高效地扩展您想要的数据,以便在 Amazon OpenSearch Service 上对其进行分析,从而从以前可能已删除或存档的数据中获得有价值的见解。通过 UltraWarm,您现在可以经济地保留更多数据,以便随时进行交互式分析。

问: UltraWarm 怎样与 Amazon OpenSearch Service 关联/合作?

Amazon OpenSearch Service 支持两种集成存储层:热存储层和 UltraWarm 存储层。热存储层由数据节点支持,用于索引、更新并提供快速数据访问。UltraWarm 节点通过为旧数据和不常访问的数据提供低成本、只读层来补充热层。

问:为什么 UltraWarm 只需主要数据即可实现持久性?

UltraWarm 使用 Amazon Simple Storage Service (Amazon S3) 进行存储,旨在实现 99.999999999% 的持久性,并且无需为温数据配置副本。此外,如果您有多个 UltraWarm 节点,在节点故障情形下,其他 UltraWarm 节点会根据需要自动访问数据。

问:我可以在 UltraWarm 中存储多少数据?

UltraWarm 支持存储最多 3 PB 主要数据。UltraWarm 旨在帮助您 100% 充分利用此存储,由于 UltraWarm 在 S3 存储数据以获得持久性,您不需要为 Elasticsearch 副本使用额外存储。

问:UltraWarm 有哪些性能特征?

UltraWarm 在 OpenSearch 控制面板和 Kibana 中提供交互式体验,通过实施精细 I/O 缓存、预取和查询引擎优化,利用本地存储提供与高密度实例相似的性能。

问:如何开始使用 UltraWarm?

要开始使用 UltraWarm,请创建新的 Amazon OpenSearch Service 域,并通过控制台、CLI 或 API 启用 UltraWarm。一旦创建了域,您就可以使用 OpenSearch/Elasticsearch API 将数据从热存储移动至 UltraWarm。了解详情。

冷存储

问: 什么是冷存储?

冷存储是 Amazon OpenSearch Service 的一个完全托管的最低成本的存储层,它可以让您轻松地按需安全存储和分析历史日志。通过冷存储,您可以在计算不积极执行数据分析时将存储与计算完全分离,并且可以以较低的成本随时获取数据。冷存储数据在 Amazon OpenSearch Service 域内通过 UltraWarm 节点提供。冷存储可与 OpenSearch 和 OpenSearch 控制面板以及 Elasticsearch(7.9、7.10 版)和 Kibana(7.9、7.10 版)无缝集成,使您能够使用与 Amazon OpenSearch Service 现在提供的相同工具分析数据。

问: 我为什么应使用冷存储?

冷存储使您能够经济高效地扩展您想要的数据,以便在 Amazon OpenSearch Service 上对其进行分析,从而从以前可能已删除或存档的数据中获得有价值的见解。如果您需要对旧数据进行研究或取证分析,并且希望以经济实惠的价格使用 Amazon OpenSearch Service 的所有功能进行此操作,则冷存储非常适合。冷存储为扩展而构建,由 Amazon S3 提供支持。查找并发现您需要的数据,将数据附加到集群中的 UltraWarm 节点,并在几秒钟内使其可用于分析。附加的冷数据受制于现有的精细访问控制策略,这些策略限制索引、文档和字段级别的访问。

问: 冷存储怎样与 Amazon OpenSearch Service 关联/合作?

使用冷存储,Amazon OpenSearch Service 支持三种集成存储层:热存储层、UltraWarm 存储层和冷存储层。热存储层用于建立索引、更新并提供最快的数据访问速度。UltraWarm 通过提供计算节点来为持久存储在 Amazon S3 中且需要持久可用的数据提供高性能交互性体验,从而提供热存储层的无缝扩展,目前在单个域中最高支持 3PB 的数据。借助冷存储,您现在可以在索引未使用时将其从 UltraWarm 中分离出来,并释放计算资源以帮助降低成本。使用新的冷存储 API 以及 OpenSearch 控制面板和 Kibana 界面,您可以基于索引模式和数据时间戳发现索引,从而轻松找到分析需要的数据。然后,可以将该数据附加到域中,并在几秒钟内准备好进行分析。当您完成分析后,只需分离数据即可再次释放您的计算。 

问: 我可以在冷存储中存储多少数据?

冷存储为扩展而构建。虽然热存储数据和暖存储数据的存储限制保持在 3PB,但您可以将任何数量的数据存储在冷存储中。

问: 冷存储有哪些性能特征?

冷存储以 UltraWarm 为基础构建,提供在 Amazon S3 中存储数据的专用节点,并使用先进的缓存解决方案来提供交互式的体验。冷存储数据必须先附加到您的 Amazon OpenSearch Service 域的 UltraWarm 节点中。附加完毕后,查询此数据将由现有的 UltraWarm 节点提供支持,以提供与暖存储数据相同的性能。如果有足够的 UltraWarm 容量可用来处理请求的数据,则将冷索引附加到您的域需要几秒钟的时间。如果您需要额外的容量,则需要增加 UltraWarm 数据节点,这可能最多需要几分钟的时间。

Open Distro for Elasticsearch

问:Open Distro for Elasticsearch 怎样与 Amazon OpenSearch Service 关联?

OpenSearch 项目是 Open Distro for Elasticsearch 的新家园。在为 OpenSearch 提供支持时,Amazon OpenSearch Service 包括以前通过 Open Distro 提供的功能,例如企业安全、警报、机器学习、SQL、索引状态管理等。

问:什么是跨集群搜索?

跨集群搜索是 Elasticsearch 和 OpenSearch 的一项功能,支持跨两个互联集群执行查询和聚合。它的运作方式是在参与集群之间设置轻量单向连接。

问:让域参与跨集群搜索的最低要求是什么?

域参与跨集群搜索需要满足以下条件:

  • 参与的域应使用 OpenSearch 或 Elasticsearch 6.8 版和更高版本
  • 参与的域需要启用传输中加密
  • 参与的域需要启用精细访问控制 (FGAC)
  • 参与的域版本应该遵守与滚动版本更新相同的规则

问:哪些实例类型支持跨集群搜索?

以下实例类型目前支持跨集群搜索

  • i2、i3 系列
  • r3、r4、r5 系列
  • m4、m5 系列
  • c4、c5 系列

问:哪些实例类型不支持跨集群搜索?

由于技术限制,t2 和 m3 系列实例不支持跨集群搜索。

问:两个不同亚马逊云科技账户中的域是否可以参与跨集群搜索?

可以。参与的域可以属于两个不同的亚马逊云科技账户。

问:两个不同亚马逊云科技区域中的域是否可以参与跨集群搜索?

不可以。

问:如何开始使用跨集群搜索?

要开始使用跨集群搜索,请遵循此处的文档操作

跨集群复制

问:什么是跨集群复制?

跨集群复制是一项新的功能,它使 Amazon OpenSearch Service 客户能够以低延迟将索引从一个域自动复制并同步到相同或不同亚马逊云科技区域中的另一个域。

问:让域参与跨集群复制的最低要求是什么?

域参与跨集群复制需要满足以下条件:

  • 参与的域应该是 Elasticsearch 版本 7.10
  • 参与的域需要启用传输中加密
  • 参与的域需要启用精细访问控制 (FGAC)
  • 参与的域版本应该遵守与滚动版本更新相同的规则

问:两个不同亚马逊云科技区域中的域是否可以参与跨集群复制?

可以,两个不同亚马逊云科技区域中的域可以参与跨集群复制。

问:跨集群复制功能是否支持 Ultrawarm 和冷存储?

不支持,当前的跨集群复制实施不支持 Ultrawarm 或冷存储。

问:跨集群复制是否需要付费?

是。您需要为传入和传出 Amazon OpenSearch Service 的数据支付标准亚马逊云科技数据传输费用

Trace Analytics

问:什么是 Trace Analytics?

Trace Analytics 是 Amazon OpenSearch Service 的一项新增功能,可让开发人员和 IT 运营人员发现并修复分布式应用程序中的性能问题,从而缩短解决问题的时间。Trace Analytics 使用 OpenTelemetry 进行构建,后者是原生云计算基金会 (CNCF) 的一个项目,它提供一组 API、库、代理和收集器服务,用于捕获分布式痕迹和指标,让客户在利用 Trace Analytics 时无需重新检测应用程序。Trace Analytics 由 OpenSearch 提供支持,它是开源的,可供所有人免费下载和使用。

问:为什么我应该使用 Trace Analytics?

开发人员和 IT 运维人员需要使用 Trace Analytics 来发现并修复分布式应用程序中的性能问题。通过将痕迹数据添加到 Amazon OpenSearch Service 现有的日志分析功能中,客户可以使用同一服务来隔离性能问题的源头并诊断问题的根本原因。此外,借助对 OpenTelemetry 标准的支持,Trace Analytics 支持与 JaegerZipkin SDK(两个常用的开源分布式跟踪系统)进行集成,使开发人员可以继续使用这些 SDK,而无需重新检测应用程序。

问:Trace Analytics 怎样与 Amazon OpenSearch Service 关联/合作?

Trace Analytics 是 Amazon OpenSearch Service 的一项集成功能。它可供所有客户免费使用。Trace Analytics 的用户界面基于 OpenSearch 控制面板和 Kibana,用于可视化和浏览痕迹数据,并且集成了 Amazon OpenSearch Service 的主要功能,例如异常检测、警报、精细访问控制和企业安全性。在解决应用程序性能问题时,Trace Analytics 可在客户使用 Amazon OpenSearch Service 搜索和分析日志数据方面起到补充作用。

问:Trace Analytics 支持哪些数据源?

Trace Analytics 目前支持从兼容开源 OpenTelemetry Collector 的应用程序库和 SDK 中收集痕迹数据,包括 JaegerZipkinX-Ray SDK。 Trace Analytics 还与亚马逊云科技 Distro for OpenTelemetry 集成,后者是 OpenTelemetry API、SDK 和代理/收集器的发行版,也是亚马逊云科技经过生产使用测试且提供支持的 OpenTelemetry 组件的高性能安全发行版。客户可以使用亚马逊云科技 Distro for OpenTelemetry 为多种监控解决方案收集痕迹和指标,包括用于收集痕迹数据的 Amazon OpenSearch Service 和亚马逊云科技 X-Ray,以及用于收集指标的 Amazon CloudWatch。

问:如何开始使用 Trace Analytics?

要开始使用 Trace Analytics,请按照此处的文档进行操作。

名称变更

问:为什么名称从 Amazon Elasticsearch Service 变更为 Amazon OpenSearch Service?

我们于 2021 年 4 月 12 日推出了 OpenSearch 项目,这是 Elasticsearch 和 Kibana 社群驱动的开源分支。我们致力于对 OpenSearch 进行长期投资,以确保用户继续拥有安全、高质量、完全开源的搜索和分析套件,其中包含丰富新功能和创新功能的路线图。此项目包括 OpenSearch(源自 OpenSearch 7.10.2)和 OpenSearch 控制面板(源自 Kibana 7.10.2)。我们于 2021 年 7 月 12 日推出了 OpenSearch 1.0 版。作为对 OpenSearch 长期承诺的一部分,我们于 2021 年 9 月 7 日在托管服务上增加了对 OpenSearch 1.0 的支持,并将名称从 Amazon Elasticsearch Service 变更为 Amazon OpenSearch Service。除了 OpenSearch 1.0 以外,我们仍然支持旧版 Elasticsearch(直到 7.10 版)投入使用。除了名称变更以外,您可以放心,我们将继续提供同样出色的体验,而不会对持续运营、开发方法或业务使用产生任何影响。此处了解有关 OpenSearch 的更多信息:https://opensearch.org/

问:作为客户,我是否必须采取任何措施作为名称变更的一部分?

我们努力使此名称变更尽可能无缝地为您服务。有些方面(例如新的 SDK /配置 API)需要您采取措施,以确保从服务中获得最大益处。虽然从兼容性的角度来看,现有的 SDK 将继续工作,但需要新配置 API 的任何新功能都只能在新 SDK 中实现。因此,我们建议您迁移到新的 SDK。此外,无论新 SDK 如何,我们强烈建议您移动现有的 IAM 策略以使用重命名的配置 API。到目前为止,您现有的 IAM 策略将继续使用旧的 API 定义。但是,我们将转用基于新 API 的权限验证,并且最终我们将要求您在策略中使用新 API(特别是针对有名称变更的 API;例如 CreateElasticsearchDomain 变更为 CreateDomain)。请参阅文档了解更多详细信息。

问:我是否必须转用新 SDK 才能升级到 OpenSearch 1.0?

否。从向后兼容性的角度来看,我们将确保您现有的设置继续与 OpenSearch 1.0 一起使用。但是,如上所述,我们建议您最终转用最新 SDK 以获得更干净和最新的体验。

问:此名称更改后,定价是否有什么变化?

否。定价没有变化。

开始使用亚马逊云科技免费构建

开始使用亚马逊云科技免费构建

关闭
热线

热线

1010 0766
由光环新网运营的
北京区域
1010 0966
由西云数据运营的
宁夏区域