四、ES集群安全策略设置 X-pack

本文主要是结合ES集群搭建时使用,并且适用于ES7.x以上版本

背景及安全策略方案对比

  ES 7.x以下版本默认几乎没有任何安全策略,如果集群IP、端口被暴露,在可访问的情况下任何用户都可以对索引进行管理以及数据的增删改查等,基于此需要考虑设置一定的安全策略, 目前常用几种方式如下 :

类别

优点

缺点

建议

nginx

对外屏蔽了ES集群的真实IP和端口,配置也较简单

只能做一些网络访问安全上面的防护,不能对索引及字段进行精确控制

选择X-pack

经验证在免费情况下X-Pack能满足基本诉求,对应用中使用影响也比较小

Search Guard

开源免费,基于RBAC权限模型设计,能够细粒度进行管控

配置复杂,需要安装证书及业务应用代码改造

X-Pack

官方提供,基于RBAC权限模型设计,能够细粒度进行管控,与client api及es集群兼容性较好

配置稍复杂,基础部分功能免费

X-pack安全策略开启及集群配置

  第一步:在ES的根目录生成CA证书
bin/elasticsearch-certutil ca

   步骤执行完会在elasticsearch根目录生成:elastic-stack-ca.p12

  注意

    1、提示输入输出文件,直接回车默认即可

    2、提示输入密码,务必输入,第二步要用到,如果都是空密码后面启动es时会出password incorrect错误

  第二步: 使用第一步生成的证书,产生p12密钥
bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12

  步骤执行完会在elasticsearch根目录生成:elastic-certificates.p12

   注意:这一步共有三个交互

  • Enter password for CA (elastic-stack-ca.p12)

   输入第一步中设置的的密码:

  • Please enter the desired output file [elastic-certificates.p12]:

   不用输入文件,直接回车默认即可

  • Enter password for elastic-certificates.p12 :

   不要输入密码,直接回车,否则还会出现es启动时报password incorrect错误

  

  第三步: 配置证书

    1、将以上两个文件拷贝到config/certs目录,没有则新创建

    2、配置elasticsearch.yml

xpack.security.enabled: true xpack.license.self_generated.type: basic 
xpack.security.transport.ssl.enabled: true 
xpack.security.transport.ssl.verification_mode: certificate 
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12 xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12

    注意

  • 第一步第二步整个集群只须执行一次,第一个节点配置完后把证书copy到其它节点共用即可

  • elasticsearch.yml同样集群中每个es节点都需要配置

  第四步:重启ES验证

    重启ES看是否能正常启动,是否有ssl相关的错误信息,若无则一般说明配置没有问题

    重启成功再访问ES时则会提示输入用户名密码,此时说明es安全已经启用,此时由于没有设置密码是无法登录的,接下来按第5步进行操作

    注意

     先配置单个节点,重启ES看是否正常,如果正常其它节点再进行同样的操作

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/656634.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

如何使用docker快速安装Plik并实现固定公网地址远程访问

文章目录 推荐1. Docker部署Plik2. 本地访问Plik3. Linux安装Cpolar4. 配置Plik公网地址5. 远程访问Plik6. 固定Plik公网地址7. 固定地址访问Plik 推荐 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。【点…

GitCode|部分项目开源代码

1.EasyKeyboard 基于MFC的简单软键盘,使用vs2017开发 PangCoder / EasyKeyboard GitCode基于Windows平台的软键盘,使用VS2017开发,使用MFC框架https://gitcode.net/qq_36251561/easykeyboard 2.EncoderSimulator 基于WPF应用的编码器模拟工…

Acwing---792. 高精度减法

高精度减法 1.题目2.基本思想3.代码实现4.总结 1.题目 给定两个正整数(不含前导 0),计算它们的差,计算结果可能为负数。 输入格式 共两行,每行包含一个整数。 输出格式 共一行,包含所求的差。 数据范围…

数论与图论

数论&#x1f388; 筛质数 最普通的筛法O(nlogn)&#xff1a; void get_primes2(){for(int i2;i<n;i){if(!st[i]) primes[cnt]i;//把素数存起来for(int ji;j<n;ji){//不管是合数还是质数&#xff0c;都用来筛掉后面它的倍数st[j]true;}} } 诶氏筛法 O(nloglogn)&#…

wordpress连接azure MySQL

申请了免费试用Azure mysql&#xff0c;机器名mysql8-wordpress.mysql.database.azure.com&#xff0c;修改wordpress配置 wp-config.php /** Database username */ define( DB_USER, myblog ); /** Database password */ define( DB_PASSWORD, password ); /** Database h…

Qt知识点总结

将枚举类型转换为字符串 这里使用的在网络编程中&#xff0c;获取socket状态并显示的时候&#xff0c;遇到的一个问题 #include <QMetaEnum>// 将枚举类型转换为字符串 QMetaEnum metaEnum QMetaEnum::fromType<QAbstractSocket::SocketState>(); const char *c…

计算机网络之NAT

NAT&#xff08;网络地址转换&#xff0c;Network Address Translation&#xff09;是一种网络技术&#xff0c;用于在一个网络与另一个网络之间重新映射IP地址。NAT最常见的应用是在家庭和小型办公室的路由器中&#xff0c;用于将私有&#xff08;内部&#xff09;IP地址转换为…

CCF-CSP 202312-1 仓库规划(Java、C++、Python)

文章目录 仓库规划问题描述输入格式输出格式样例输入样例输出子任务 满分代码JavaCPython 仓库规划 问题描述 西西艾弗岛上共有 n n n 个仓库, 依次编号为 1 ⋯ n 1 \cdots n 1⋯n 。每个仓库均有一个 m m m 维向量的位置编码, 用来表示仓库间的物流运转关系。 具体来说,…

centos7常用命令之安装插件1

虚拟机VM要卸载&#xff0c;在这记录下&#xff01;&#xff01;&#xff01; 1、关机、重启 init 0 关机 init 6 重启 2、docker 1.启动docker服务 systemctl start docker 2.查看是否docker启动成功 systemctl status docker 3.停止docker服务 systemctl stop docker #查看全…

ID3算法 决策树学习 Python实现

算法流程 输入&#xff1a;约束决策树生长参数&#xff08;最大深度&#xff0c;节点最小样本数&#xff0c;可选&#xff09;&#xff0c;训练集&#xff08;特征值离散或连续&#xff0c;标签离散&#xff09;。 输出&#xff1a;决策树。 过程&#xff1a;每次选择信息增益…

UDS诊断服务介绍之31服务(强控服务)

目录 一、功能描述 二、应用场景 三、31服务控制基本原理: 四、服务请求

全新魅思V20正规视频影视系统源码/APP+H5视频影视源码

全新魅思V20正规视频影视系统源码&#xff0c;APPH5视频影视源码。会员花费三千购入的&#xff0c;具体搭建教程放压缩包了&#xff01; 有兴趣的下载自行研究吧&#xff0c;搭建一共要用到3个域名&#xff0c;可以拿二级域名搭建。

系统学习Python——装饰器:类装饰器-[初探类装饰器和元类]

分类目录&#xff1a;《系统学习Python》总目录 函数装饰器是如此有用&#xff0c;以至于Python2.X和Python3.X都扩展了这一模式&#xff0c;允许装饰器应用于类和函数。简而言之&#xff0c;类装饰器类似于函数装饰器&#xff0c;但它们是在一条class语句的末尾运行&#xff0…

OpenHarmony—环境准备

JS SDK安装失败处理指导 问题现象 下载JS SDK时&#xff0c;下载失败&#xff0c;提示“Install Js dependencies failed”。解决措施 JS SDK下载失败&#xff0c;一般情况下&#xff0c;主要是由于npm代理配置问题&#xff0c;或未清理npm缓存信息导致&#xff0c;可按照如…

方案|AI智能监控如何从区域入侵与摄像头异常方面助力野外农场安全监管

大家都知道&#xff0c;旭帆科技的AI分析算法在监控中的应用十分广泛&#xff0c;除了常见的人体事件、行为事件、着装、车辆等算法&#xff0c;摄像头异常检测也十分重要。近期就有一个用户在我们这定制了一个野外摄像头异常检测算法系统。 方案需求 该用户的需求为需要在自己…

java8 查找和匹配方法(`anyMatch`)(`allMatch`、`noneMatch`)(`findAny`)(`findFirst`)

5.3 查找和匹配 5.3.1 检查谓词是否至少匹配一个元素&#xff08;anyMatch&#xff09; anyMatch方法可以回答“流中是否有一个元素能匹配给定的谓词”。 boolean anyMatch(Predicate<? super T> predicate);// 菜单里面是否有素食可选择 if(menu.stream().anyMatc…

上博东馆古蜀文明展,文物保护系统移动端与离线设备齐上阵

一、上博东馆古蜀文明展开展 备受瞩目的“星耀中国&#xff1a;三星堆金沙古蜀文明展”文物悉数到位。这是我国较大、最完整的古蜀文明展览&#xff0c;将在2月2日在博物馆开放“三部曲”。展览由上海博物馆和全国28家文化考古机构共展出363件/套文物。在如此重要的展览中&…

Powershell Install telegraf 实现Grafana Windows 图形展示

influxd2前言 influxd2 是 InfluxDB 2.x 版本的后台进程,是一个开源的时序数据库平台,用于存储、查询和可视化时间序列数据。它提供了一个强大的查询语言和 API,可以快速而轻松地处理大量的高性能时序数据。 telegraf 是一个开源的代理程序,它可以收集、处理和传输各种不…

HiveSQL题——聚合函数(sum/count/max/min/avg)

目录 一、窗口函数的知识点 1.1 窗户函数的定义 1.2 窗户函数的语法 1.3 窗口函数分类 聚合函数 排序函数 前后函数 头尾函数 1.4 聚合函数 二、实际案例 2.1 每个用户累积访问次数 0 问题描述 1 数据准备 2 数据分析 3 小结 2.2 各直播间最大的同时在线人数 …

Selenium 隐藏浏览器指纹特征的几种方式

我们使用 Selenium 对网页进行爬虫时&#xff0c;如果不做任何处理直接进行爬取&#xff0c;会导致很多特征是暴露的 对一些做了反爬的网站&#xff0c;做了特征检测&#xff0c;用来阻止一些恶意爬虫 本篇文章将介绍几种常用的隐藏浏览器指纹特征的方式 1. 直接爬取 目标对…