Amazon Elasticsearch Service が VPC をサポート

本日より、NAT インスタンスやインターネットゲートウェイを必要とせずに Amazon VPC から Amazon Elasticsearch Service ドメインに接続できるようになりました。Amazon ES の VPC サポートは設定も簡単で信頼性が高く、セキュリティをさらに強化することができます。VPC サポートでは、その他のサービスと Amazon ES 間のトラフィックはパブリックインターネットから分離されており AWS ネットワーク内で維持されます。既存の VPC セキュリティグループを使用してネットワークアクセスを管理できます。また、AWS Identity and Access Management (IAM) ポリシーを使って保護機能を強化することもできます。Amazon ES ドメインの VPC サポートは追加費用なしにご利用いただけます。

ご利用開始にあたって

VPC での Amazon Elasticsearch Service ドメインの作成は簡単です。クラスター作成に使ういつもの手順を行い [VPC access] を選択します。

これだけです。その他の手順はありません。これで VPC からドメインにアクセスできるようになりました。

主要事項

VPC をサポートするにあたり、Amazon ES は少なくても 1 つの VPC サブネットにエンドポイントを配置します。Amazon ES はクラスター内の各データノードの VPC に Elastic Network Interface (ENI) を配置します。各 ENI はサブネットの IPv4 範囲内からプライベート IP アドレスを使用し、パブリック DNS ホスト名を受け取ります。ゾーン対応を有効にすると、Amazon ES は異なるアベイラビリティーゾーンで 2 つのサブネットにエンドポイントを作成することで、より優れたデータの耐久性を提供しています。

クラスター内のノード数には IP アドレスの三倍の数を確保しておく必要があります。ゾーン対応を有効にしている場合は、その数を分割できます。Amazon ES 専用の別のサブネットを作成するのが理想的です。

注意点:

• 現在、既存のドメインを VPC に移動することはできません (その逆も同様)。VPC サポートを利用するには、新しいドメインを作成しデータを移行してください。
• 現時点で Amazon ES は VPC 内にあるドメインの Amazon Kinesis Firehose をサポートしていません。

詳しくは「Amazon ES ドキュメント (Amazon ES documentation)」をご覧ください。

– Randall