手动配置安全
编辑手动配置安全编辑
安全需求因您是在笔记本电脑上进行本地开发还是在生产环境中保护所有通信而异。无论您在哪里部署 Elastic Stack(“ELK”),运行安全的集群对于保护您的数据都至关重要。这就是为什么在 Elasticsearch 8.0 及更高版本中默认启用和配置安全性的原因。
如果您想在现有的、不安全的集群上启用安全性,使用您自己的证书颁发机构 (CA),或者更愿意手动配置安全性,以下场景提供了在传输层配置 TLS 的步骤,以及在您需要时保护 HTTPS 流量的步骤。
如果您在启动 Elasticsearch 节点之前手动配置安全性,则自动配置过程将遵循您的安全配置。您可以随时调整 TLS 配置,例如更新节点证书。
最低安全配置(Elasticsearch 开发)编辑
如果您一直在使用 Elasticsearch 并希望在现有的、不安全的集群上启用安全性,请从此处开始。您将为内置用户设置密码以防止未经授权访问您的本地集群,并为 Kibana 配置密码身份验证。
最低安全配置方案不足以用于生产模式集群。如果您的集群有多个节点,则必须启用最低安全配置,然后配置节点之间的传输层安全性 (TLS)。
基本安全配置(Elasticsearch + Kibana)编辑
此方案配置 TLS 以用于节点之间的通信。此安全层要求节点验证安全证书,这可以防止未经授权的节点加入您的 Elasticsearch 集群。
Elasticsearch 和 Kibana 之间的外部 HTTP 流量不会被加密,但节点间通信将是安全的。
基本安全配置以及安全的 HTTPS 流量(Elastic Stack)编辑
此方案建立在基本安全配置的基础上,并使用 TLS 保护所有 HTTP 流量。除了在 Elasticsearch 集群的传输接口上配置 TLS 之外,您还需要在 Elasticsearch 和 Kibana 的 HTTP 接口上配置 TLS。
如果您需要在 HTTP 层上使用相互(双向)TLS,则需要配置相互身份验证加密。
然后,您将 Kibana 和 Beats 配置为使用 TLS 与 Elasticsearch 通信,以便对所有通信进行加密。此安全级别很高,可确保进出集群的所有通信都是安全的。