Настройка доступа к Object Storage из кластера OpenSearch

Managed Service for OpenSearch поддерживает работу с Yandex Object Storage в качестве репозитория снапшотов OpenSearch. Это позволяет использовать Object Storage для хранения резервных копий. Подробнее о репозитории снапшотов см. в документации OpenSearch.

Для доступа к данным в бакете Object Storage из кластера:

1. Подключите сервисный аккаунт к кластеру.
2. Настройте права доступа.
3. Подключите репозиторий снапшотов.

Перед началом работы назначьте вашему аккаунту в Yandex Cloud роль iam.serviceAccounts.user или выше. Она нужна в следующих случаях:

• если вы создаете или изменяете кластер и привязываете к нему сервисный аккаунт;
• если вы восстанавливаете из резервной копии кластер с привязкой к сервисному аккаунту.

Подключите сервисный аккаунт к кластеруПодключите сервисный аккаунт к кластеру

1. При создании или изменении кластера выберите существующий сервисный аккаунт либо создайте новый.

2. Назначьте этому аккаунту роль storage.editor.

Настройте права доступаНастройте права доступа

Подключите репозиторий снапшотовПодключите репозиторий снапшотов

1. Установите плагин repository-s3.

2. Подключитесь к кластеру.

3. Зарегистрируйте бакет как репозиторий снапшотов, используя публичный API OpenSearch:

   PUT --cacert ~/.opensearch/root.crt https://admin:<пароль>@<идентификатор_хоста_OpenSearch_с_ролью_DATA>.mdb.yandexcloud.net:9200/_snapshot/<имя_репозитория>
   

   В параметрах запроса укажите бакет, связанный с сервисным аккаунтом кластера:

   curl --request PUT \
        "https://admin:<пароль>@<идентификатор_хоста_OpenSearch_с_ролью_DATA>.mdb.yandexcloud.net:9200/_snapshot/<имя_репозитория>" \
        --cacert ~/.opensearch/root.crt \
        --header "Content-Type: application/json" \
        --data '{
          "type": "s3",
          "settings": {
            "endpoint": "storage.yandexcloud.net",
            "bucket": "<имя_бакета>"
          }
        }'