[AWS] Opensearch: VPC 도메인에 대한 대시보드 접근
AWS Opensearch는 사용성 측면에서 좀 끔찍한 지점이 있다.
보안이나 데이터 전송 비용 절감을 위해서는 VPC 도메인을 만들어서 내부통신만을 하도록 해야하는데, 그러면 대시보드 접근까지 VPC 단위로 막혀버리기 때문이다...
그래서 대시보드 엔드포인트가 열려있어도
그냥은 들어갈 수 없다.
당연히 중간에 프록시를 통해서 써야 한다.
프록시용 EC2 인스턴스를 하나 준비해두고, 보안그룹으로 허용을 해준다.
그리고 이 세분화된 액세스 제어(Fine-grained access control)라는건 특별한 이유가 없다면 끄는걸 추천한다.
이거 걸려있으면 정말 피곤해진다.
어차피 VPC 수준으로만 막아놔도 대강 되니까, 보안 관리 빡세게 하면서 스트레스 받고 싶지 않다면 그냥 끄자.
액세스 정책에서도 적당히 필요한대로 허용해준다. 기본설정이 전부 거부라서 손을 대야한다.
EC2에 들어가서 찔러지는지 확인한다.
잘 되는거같다.
그럼 나와서, 현재 머신에서 SSH 터널링을 시작한 다음에
ssh -i pen키 ubuntu@IP -N -L 9200:엔드포인트:443
로컬호스트로 접근하면 된다.
그러면 이제 대시보드로도 들어가서 써볼 수 있을 것이다.
터널링 없이 그냥 편하게 들어가고 싶다면, HAProxy 등의 프록시 시스템을 써서 bastion instance 내에 프록시를 띄우는 것도 방법이다.
frontend opensearch-front
mode tcp
bind *:9200
default_backend opensearch-back
backend opensearch-back
balance leastconn
mode tcp
server server0 엔드포인트:443 check이러고 9200 포트만 내부망에 허용해주면 된다.
