はじめに
OpenSearchサービスを利用する際に使用するダッシュボードやAPIエンドポイントにLB(ロードバランサ)経由でアクセスしてみます。
通常?は踏み台サーバ+sshを使用しますが、ロードバランサ経由でアクセス設定することで、例えば社内ユーザに広くアクセス許可を与えることができます。
必要なものはこちら:
- OpenSearchクラスタ
- FLB(フレキシブルロードバランサ)
- VCN
- 任意のドメイン ※なくてもできます
OpenSearchクラスタの作成
まずはOCI OpenSearchクラスタを作成します。
下記をポリシーを設定します。
クラスタの作成はVCN、ポリシーができていれば特に手順に迷うことはないかと思います。
OCI OpenSearchクラスタは、
- データノード
- マスターノード
- ダッシュボードノード
から構成されますが、検証のためそれぞれ1ノード、1OCPUを選択してミニマム構成としておきます。
また、ネットワーキング構成においては、今回は作成済みVCNのプライベートサブネットを選択します(パブリックサブネットでも可能です)
FLB作成
パブリックIPを付与してFLBを作成します。
リスナーとバックエンドセットを作成しますが、バックエンドはOpenSearchクラスのプライベートIPを指定するので一旦空としてロードバランサを作ります。
LBのバックエンドに追加するプライベートIPとして、OpenSearchクラスタの画面を開き、
ダッシュボードのIP、APIエンドポイントのIPをメモしておきます(赤線部分)
バックエンドセット作成
まず最初にバックエンドセットを作ります。
ダッシュボードとapiの2つ作ります。
ダッシュボードの方は、先ほどのOpenSearchクラスタにあるダッシュボードプライベートIPを指定します。
またヘルスチェック設定、OpenSearchクラスタがhttpsアクセス基本のためSSL証明書を指定します。(リスナだけでなくバックエンドでも指定します)
※ドメイン、SSL証明書は事前に取得し、DNS設定、および証明書として登録しておきます
apiの方も同様に設定します。
apiはユーザ認証情報を含めないと401のため、ヘルスチェックとしては簡易的にそのコードを指定しておきます。
リスナの作成
ダッシュボード、apiそれぞれのバックエンドを指定して作ります。
以上でロードバランサの設定が完了です。
VCNのセキュリティリスト設定
ロードバランサのあるパブリックサブネットのセキュリティリストです。
ポート5601, 9200をIPを適宜ソース元IPを限定して疎通させます。
続いてOpenSearchクラスタのあるプライベートサブネットのセキュリティリストです。
動作確認
apiエンドポイントも確認します。
curl https://mydomain.xyz:9200 -u user:pwd
{
"name" : "opensearch-master-0",
"cluster_name" : "amaaaaaassl65iqa7fzxnh53y4vf6lqxhzxt7h2zpbtytvm4ulw6zkird3dq",
"cluster_uuid" : "FZ6JMpI_TdCL57uiyZTNYw",
"version" : {
"distribution" : "opensearch",
"number" : "2.11.0",
"build_type" : "tar",
"build_hash" : "unknown",
"build_date" : "2024-01-09T20:29:23.162321021Z",
"build_snapshot" : false,
"lucene_version" : "9.7.0",
"minimum_wire_compatibility_version" : "7.10.0",
"minimum_index_compatibility_version" : "7.0.0"
},
"tagline" : "The OpenSearch Project: https://opensearch.org/"
}
おわりに
ロードバランサ経由でOpenSearchダッシュボード、およぼapiエンドポイントにアクセスする方法についてまとめました。
設定項目が少し多いですが、限定された複数ユーザにアクセス許可を与える場合等に便利ですので是非お試しください。