手动配置安全性
编辑手动配置安全性
编辑安全性需求因您是在本地笔记本电脑上进行开发还是在生产环境中保护所有通信而异。无论您在哪里部署 Elastic Stack (“ELK”),运行安全的集群对于保护您的数据都极其重要。这就是为什么在 Elasticsearch 8.0 及更高版本中默认启用并配置安全性的原因。
如果您想在现有的不安全集群上启用安全性,使用您自己的证书颁发机构 (CA),或者更愿意手动配置安全性,以下场景提供了在传输层上配置 TLS 以及在需要时保护 HTTPS 流量的步骤。
如果您在启动 Elasticsearch 节点之前手动配置了安全性,则自动配置过程将尊重您的安全性配置。您可以随时调整您的 TLS 配置,例如更新节点证书。
最小安全性 (Elasticsearch 开发)
编辑如果您一直在使用 Elasticsearch 并想在现有的不安全集群上启用安全性,请从这里开始。您将为内置用户设置密码,以防止未经授权访问您的本地集群,并为 Kibana 配置密码身份验证。
最小安全性场景不足以用于生产模式集群。如果您的集群有多个节点,您必须启用最小安全性,然后在节点之间配置传输层安全性 (TLS)。
基本安全性 (Elasticsearch + Kibana)
编辑此场景配置用于节点之间通信的 TLS。此安全层要求节点验证安全证书,这可以防止未经授权的节点加入您的 Elasticsearch 集群。
您的 Elasticsearch 和 Kibana 之间的外部 HTTP 流量不会被加密,但节点间通信将被保护。
基本安全性加上安全的 HTTPS 流量 (Elastic Stack)
编辑此场景以基本安全性场景为基础,并使用 TLS 保护所有 HTTP 流量。除了在 Elasticsearch 集群的传输接口上配置 TLS 之外,您还在 Elasticsearch 和 Kibana 的 HTTP 接口上配置 TLS。
如果您需要在 HTTP 层上进行相互(双向)TLS,则需要配置相互身份验证加密。
然后,您配置 Kibana 和 Beats 以使用 TLS 与 Elasticsearch 通信,以便所有通信都经过加密。此安全级别很强,可确保进出集群的任何通信都是安全的。