Как начать работать с Managed Service for OpenSearch

Статья создана

Yandex Cloud

Обновлена 27 ноября 2024 г.

Перед началом работы
Создайте кластер
Настройте группы безопасности
Подключитесь к кластеру
Подключитесь к OpenSearch Dashboards
Что дальше

Чтобы начать работу с сервисом:

Перед началом работы

Войдите в консоль управления или зарегистрируйтесь, если вы еще не зарегистрированы.
Если у вас еще нет каталога, создайте его:
1. В консоли управления в списке слева выберите нужное облако.
2. Справа сверху нажмите кнопку Создать каталог.
3. Введите имя каталога. Требования к имени:
  - длина — от 3 до 63 символов;
  - может содержать строчные буквы латинского алфавита, цифры и дефисы;
  - первый символ — буква, последний — не дефис.
4. (Опционально) Введите описание каталога.
5. Выберите опцию Создать сеть по умолчанию. Будет создана сеть с подсетями в каждой зоне доступности. Также в этой сети будет создана группа безопасности по умолчанию, внутри которой весь сетевой трафик разрешен.
6. Нажмите кнопку Создать.
Убедитесь, что для создания кластера у вашего аккаунта есть роль vpc.user и роль managed-opensearch.editor или выше.

Для привязки сервисного аккаунта к кластеру (например, для работы с Yandex Object Storage) вашему аккаунту дополнительно нужна роль iam.serviceAccounts.user или выше.
Подключаться к кластеру OpenSearch можно как изнутри Yandex Cloud, так и из интернета:
- Чтобы подключиться изнутри Yandex Cloud, создайте виртуальную машину на основе Linux в той же сети, что и кластер.
- Чтобы подключиться к кластеру из интернета, запросите публичный доступ к хостам с ролью DATA при создании кластера.

Примечание

Эта инструкция предполагает, что подключение к кластеру производится из интернета.

Создайте кластер

В консоли управления выберите каталог, в котором нужно создать кластер.
Выберите сервис Managed Service for OpenSearch.
Нажмите кнопку Создать кластер. Процесс подробно рассмотрен в разделе Создание кластера.
Задайте параметры кластера.

Чтобы получить доступ к веб-интерфейсу OpenSearch Dashboards, запросите публичный доступ — для этого в блоке Группа виртуальных хостов с типом группы Dashboards выберите опцию Публичный доступ.

Совет

OpenSearch Dashboards можно воспользоваться, даже если публичный доступ к хостам запросить невозможно (например, из соображений безопасности). Для этого настройте проксирование соединений через виртуальную машину в Yandex Compute Cloud, которая находится в той же сети, что и кластер. Подробнее см. в разделе Подключение к OpenSearch Dashboards.
Нажмите кнопку Создать кластер.
Дождитесь, когда кластер будет готов к работе: его статус на панели Managed Service for OpenSearch сменится на Creating и далее — на Alive. Это может занять некоторое время.

Настройте группы безопасности

Для подключения к кластеру необходимо, чтобы группы безопасности содержали правила, которые разрешают трафик с определенных портов, IP-адресов или из других групп безопасности.

Настройки правил доступа будут различаться в зависимости от выбранного способа подключения:

Через интернет

С ВМ в Yandex Cloud

Настройте все группы безопасности кластера так, чтобы они разрешали входящий трафик с любых IP-адресов на порты 443 (Dashboards) и 9200 (OpenSearch). Для этого создайте следующие правила для входящего трафика:

Диапазон портов — 443, 9200.
Протокол — TCP.
Источник — CIDR.
CIDR блоки — 0.0.0.0/0.

На каждый порт создается отдельное правило.

Настройте все группы безопасности кластера так, чтобы они разрешали входящий трафик из группы безопасности, в которой находится ВМ, на порты 443 (Dashboards) и 9200 (OpenSearch). Для этого создайте в этих группах следующие правила для входящего трафика:
- Диапазон портов — 443, 9200.
- Протокол — TCP.
- Источник — Группа безопасности.
- Группа безопасности — если кластер и ВМ находятся в одной и той же группе безопасности, выберите значение Текущая (Self). В противном случае укажите группу безопасности ВМ.
На каждый порт создается отдельное правило.
Настройте все группы безопасности, в которых находится ВМ, так, чтобы можно было подключаться к ВМ и был разрешен трафик между ней и хостами кластера.

Пример правил для ВМ:
- Для входящего трафика:
  - Диапазон портов — 22, 443, 9200.
  - Протокол — TCP.
  - Источник — CIDR.
  - CIDR блоки — 0.0.0.0/0.
  На каждый порт создается отдельное правило.
- Для исходящего трафика:
  - Диапазон портов — 0-65535.
  - Протокол — Любой (Any).
  - Назначение — CIDR.
  - CIDR блоки — 0.0.0.0/0.
  Это правило разрешает любой исходящий трафик, что позволяет не только подключаться к кластеру, но и устанавливать на ВМ необходимые для этого сертификаты и утилиты.

Примечание

Вы можете задать более детальные правила для групп безопасности, например, разрешающие трафик только в определенных подсетях.

Группы безопасности должны быть корректно настроены для всех подсетей, в которых будут размещены хосты кластера. При неполных или некорректных настройках групп безопасности можно потерять доступ к кластеру.

Подробнее о группах безопасности см. в разделе Группы безопасности.

Подключитесь к кластеру

Предполагается, что все перечисленные ниже шаги выполняются на Linux.

Чтобы подключиться к кластеру:

Установите SSL-сертификат:
Linux (Bash)/macOS (Zsh)

Windows (PowerShell)
```
mkdir -p ~/.opensearch && \
wget "https://storage.yandexcloud.net/cloud-certs/CA.pem" \
     --output-document ~/.opensearch/root.crt && \
chmod 0600 ~/.opensearch/root.crt
```
Сертификат будет сохранен в файле ~/.opensearch/root.crt.
```
mkdir $HOME\.opensearch; curl --output $HOME\.opensearch\root.crt https://storage.yandexcloud.net/cloud-certs/CA.pem
```
Сертификат будет сохранен в файле $HOME\.opensearch\root.crt.

Корпоративные политики и антивирус могут блокировать скачивание сертификата. Подробнее см. в разделе Вопросы и ответы.

Подключитесь к кластеру с помощью утилиты cURL:

curl \
    --user admin:<пароль> \
    --cacert ~/.opensearch/root.crt \
    --request GET 'https://<FQDN_хоста_OpenSearch_с_ролью_DATA>:9200/'

Для подключения нужно использовать имя пользователя admin и пароль, который был задан при создании кластера.

При успешном подключении будет выведено похожее сообщение:

{
  "name" : "....mdb.yandexcloud.net",
  "cluster_name" : "...",
  "cluster_uuid" : "...",
  "version" : {
  "distribution" : "opensearch",
  ...
  },
  "tagline" : "The OpenSearch Project: https://opensearch.org/"
}

Подключитесь к OpenSearch Dashboards

Подключитесь с помощью браузера к веб-интерфейсу OpenSearch Dashboards:
1. Убедитесь, что к хостам с ролью DASHBOARDS есть публичный доступ.
2. Установите SSL-сертификат в хранилище доверенных корневых сертификатов браузера (инструкция для Mozilla Firefox).
3. На странице кластера в консоли управления нажмите кнопку OpenSearch Dashboards или перейдите в браузере по адресу https://c-<идентификатор_кластера_OpenSearch>.rw.mdb.yandexcloud.net>.
4. Введите имя пользователя admin и пароль, который был задан при создании кластера.
Исследуйте набор тестовых данных:
1. На приветственном экране OpenSearch Dashboards нажмите кнопку Add sample data.
2. Нажмите кнопку View data для интересующего набора данных.

Подробнее о работе с OpenSearch Dashboards см. в документации OpenSearch.

Что дальше

Изучите концепции сервиса.
Узнайте подробнее о создании кластера и подключении к кластеру.

Как начать работать с Managed Service for OpenSearch

Перед началом работыПеред началом работы

Создайте кластерСоздайте кластер

Настройте группы безопасностиНастройте группы безопасности

Подключитесь к кластеруПодключитесь к кластеру

Подключитесь к OpenSearch DashboardsПодключитесь к OpenSearch Dashboards