AWS Elasticsearch vpc终端节点和私有vpc域

Question

我正在尝试弄清VPC端点如何与由VPC本身创建的私有托管区域中的私有内部域一起工作。

例如：

我有一个VPC（vpc_1），并且我有一个在此VPC内运行的Elasticsearch（es）集群。

我已经用vpc_1配置了route53专用托管区域。

我无法为内部域（如es.mydomain.local）创建别名A记录，该记录将在服务内部在内部解析Elasticsearch。

但是，我能够添加一个指向vpc端点的CNAME。这种方法的问题在于，VPC端点具有自己的SSL证书，并且我无法使用新域。 https://es.mydomain.local连接到我的ES群集。

我可以将我的请求标记为不安全，然后执行呼叫。 curl https://es.mydomain.local --insecure，但这对于生产工作负载而言是不可持续的。

老实说，由于群集不是按设计公开的，因此我认为我并不需要HTTPS进行内部加载。但是，这是我无法控制的，因为默认情况下，vpc端点是https。

AWS建议我将负载平衡器放在ES群集的前面，然后使用别名。这种方法行之有效，但是与在route53上进行比较是一种昂贵的方法。

有人在类似情况下有经验吗？

Answer 1

AWS 最近添加了您正在寻找的功能：

注意：截图蓝色区域的注意事项 - 您仍然需要创建 CNAME 记录。完全传播也需要一些时间（分钟）。

---

此外，如果您正在使用 terraform，您可能希望支持此问题，该问题应该添加对定义自定义端点的支持：https://github.com/hashicorp/terraform-provider-aws/issues/16059