elasticsearch基于RBAC认证和集群之间的TLS通讯

一、背景

默认情况下,当我们搭建好es集群后,我们通过http://localhost:9200就可以直接访问到es集群的一些信息,这显然是不安全的。在同一个局域网中,如果我们启动了多个es节点,且集群的名字相同,那么他们可能会自动加入集群,这显然是不安全的。因此我们要想个办法来解决它。es自带的插件x-pack就可以解决上述的要求。在高版本的es中,x-pack插件是默认就集成了。

二、需要解决的问题

1、给es增加用户名和密码访问。
2、集群之间的通讯采用TLS通讯。

三、给es增加用户名和密码访问

1、修改config/elasticsearch.yml

# 1、修改 ES_HOME/config/elasticsearch.yml

# 增加如下配置

vim config/elasticsearch.yml

xpack.security.enabled: true

2、访问es集群

此时可以看到访问es集群就需要用户名和密码了,那么我们这个用户名和密码从哪里获取呢?

3、启用es集群内建的用户

1、让es自动设置初始化密码

./bin/elasticsearch-setup-passwords auto

如果执行上面这个语句,那么es会自动设置密码,我们需要自己把这个密码保存下来。

2、自动手动设置密码

./bin/elasticsearch-setup-passwords interactive

此处为了简单,将每个用户的用户名和密码都设置成 123456,生产环境需要设置成一个复杂的接口。

注意️:

当我们设置了elastic用户的密码后,就不可在执行elasticsearch-setup-passwords命令了。

3、重新访问es,输入用户名和密码


重新访问es集群,输入用户名和密码之后,就可以访问到集群的信息了。

四、kibana连接到es集群

1、设置kibana的用户名和密码

# 设置用户名和密码

elasticsearch.username: "kibana_system"

elasticsearch.password: "123456"

该用户名和密码,是由上一步设置好的。

2、访问kibana


此时可以看到,我们的kibana就需要用户名和密码访问了。

3、通过kibana创建用户和角色

五、配置es集群之间的TLS通讯

1、在es集群的生产模式中,节点之间的通讯必须要使用TLS通讯,否则集群无法启动。

2、配置集群以TLS通讯,还可以防止不受信任的节点加入es集群。

1、何为es的生产模式

  1. 集群之间的服务发现不可是 single-node discovery 服务发现。

  2. 节点之间可以使用非回环地址加入集群。

2、配置步骤

1、生成证书(CA)

# 生成证书

bin/elasticsearch-certutil ca

2、为每个节点签发证书

# --ca 指定证书的路径

./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12

3、查看证书的生成路径

4、为集群中的每个节点配置证书

# 1、将证书拷贝到每个节点的 config 目录下

mv elastic-certificates.p12 config

# 2、修改elasticsearch.yml文件,增加如下配置

xpack.security.transport.ssl.enabled: true

xpack.security.transport.ssl.verification_mode: certificate

xpack.security.transport.ssl.client_authentication: required

xpack.security.transport.ssl.keystore.path: elastic-certificates.p12

xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

5、重启es集群

6、重新加载集群的证书、密钥等信息

使用resource.reload.interval.high参数配置,默认是5s

六、java client中basic认证的写法

import org.apache.http.HttpHost;

import org.apache.http.auth.AuthScope;

import org.apache.http.auth.UsernamePasswordCredentials;

import org.apache.http.client.CredentialsProvider;

import org.apache.http.impl.client.BasicCredentialsProvider;

import org.elasticsearch.client.RestClient;

import org.elasticsearch.client.RestHighLevelClient;

/**

 * @author huan.fu 2021/4/22 - 下午2:48

 */

public class AbstractEsApi {

    protected final RestHighLevelClient client;

    public AbstractEsApi() {

        final CredentialsProvider credentialsProvider =

                new BasicCredentialsProvider();

        credentialsProvider.setCredentials(AuthScope.ANY,

                new UsernamePasswordCredentials("elastic", "123456"));

        client = new RestHighLevelClient(

                RestClient.builder(

                        new HttpHost("localhost", 9200, "http"),

                        new HttpHost("localhost", 9201, "http"),

                        new HttpHost("localhost", 9202, "http")

                )

                .setHttpClientConfigCallback(httpClientBuilder -> httpClientBuilder.setDefaultCredentialsProvider(credentialsProvider))

        );

    }

}

七、参考链接

1、给es集群设置简单的用户名、密码访问

2、配置集群之间TLS通讯

3、es集群的开发模式和生产模式

4、配置rest通过https访问

elasticsearch基于RBAC认证和集群之间的TLS通讯的更多相关文章

  1. centos7.4安装高可用(haproxy+keepalived实现)kubernetes1.6.0集群(开启TLS认证)

    目录 目录 前言 集群详情 环境说明 安装前准备 提醒 一.创建TLS证书和秘钥 安装CFSSL 创建 CA (Certificate Authority) 创建 CA 配置文件 创建 CA 证书签名 ...

  2. ElasticSearch入门 第二篇:集群配置

    这是ElasticSearch 2.4 版本系列的第二篇: ElasticSearch入门 第一篇:Windows下安装ElasticSearch ElasticSearch入门 第二篇:集群配置 E ...

  3. 庐山真面目之十二微服务架构基于Docker搭建Consul集群、Ocelot网关集群和IdentityServer版本实现

    庐山真面目之十二微服务架构基于Docker搭建Consul集群.Ocelot网关集群和IdentityServer版本实现 一.简介      在第七篇文章<庐山真面目之七微服务架构Consul ...

  4. ElasticSearch和Kibana 5.X集群的安装

    ElasticSearch和Kibana 5.X集群的安装 1.准备工作 1.1.下载安装包 1.2.系统的准备 2.ElasticSearch集群的安装 2.1.修改 config/elastics ...

  5. mac 下搭建Elasticsearch 5.4.3分布式集群

    一.集群角色 多机集群中的节点可以分为master nodes和data nodes,在配置文件中使用Zen发现(Zen discovery)机制来管理不同节点.Zen发现是ES自带的默认发现机制,使 ...

  6. ElasticSearch 深入理解 三:集群部署设计

    ElasticSearch 深入理解 三:集群部署设计 ElasticSearch从名字中也可以知道,它的Elastic跟Search是同等重要的,甚至以Elastic为主要导向. Elastic即可 ...

  7. 基于docker安装pxc集群

    基于docker安装pxc集群 一.PXC 集群的安装 PXC集群比较特殊,需要安装在 linux 或 Docker 之上.这里使用 Docker进行安装! Docker的镜像仓库中包含了 PXC数据 ...

  8. Elasticsearch 主从同步之跨集群复制

    文章转载自:https://mp.weixin.qq.com/s/alHHxXont6XFm_m9PfsGfw 1.什么是跨集群复制? 跨集群复制(Cross-cluster replication, ...

  9. ElasticSearch 5学习(7)——分布式集群学习分享2

    前面主要学习了ElasticSearch分布式集群的存储过程中集群.节点和分片的知识(ElasticSearch 5学习(6)--分布式集群学习分享1),下面主要分享应对故障的一些实践. 应对故障 前 ...

随机推荐

  1. MYSQL order by 排序的一个小问题探究

    小问题发现: select * from `sql` where id=1 order by (select 1 union select 2) 正常返回结果 mysql> select * f ...

  2. 用python的pandas读取excel文件中的数据

    一.读取Excel文件   使用pandas的read_excel()方法,可通过文件路径直接读取.注意到,在一个excel文件中有多个sheet,因此,对excel文件的读取实际上是读取指定文件.并 ...

  3. 使用 elementUI 树形控件Tree 编辑数据

    操作新增/编辑功能时初始化数据: 应用属性 default-checked-keys 给Tree节点赋默认值(赋值数据为节点数组Arr)前,应先清空数组Arr,并且配合使用 this.$refs.tr ...

  4. 技术栈:springboot2.x,vue,activiti5.22,mysql,带工作流系统

    前言 activiti工作流,企业erp.oa.hr.crm等审批系统轻松落地,请假审批demo从流程绘制到审批结束实例. 一.项目形式 springboot+vue+activiti集成了activ ...

  5. leetcode-螺旋矩阵(指针)

    给你一个 m 行 n 列的矩阵 matrix ,请按照 顺时针螺旋顺序 ,返回矩阵中的所有元素. 示例 1: 输入:matrix = [[1,2,3],[4,5,6],[7,8,9]] 输出:[1,2 ...

  6. 使用git克隆仓库到本地报错:SSL certificate problem: unable to get local issuer certificate

    第一次使用Git工具克隆仓库,使用的是HTTPS链接,失败了.发现是因为通过HTTPS访问时,如果服务器上的SSL证书未经过第三方机构认证,Git就会报错. 解决方法:通过命令关闭验证 git con ...

  7. 安卓开发 利用百度识图api进行物体识别(java版)

    之前的随笔中,已经实现了python版本调用api接口,之所以使用python是因为python比java要简洁. 但是我发现在使用过程中,chaquopy插件会弹出底部toast显示"un ...

  8. MapReduce原理深入理解(二)

    1.Mapreduce操作不需要reduce阶段 1 import org.apache.hadoop.conf.Configuration; 2 import org.apache.hadoop.f ...

  9. 3. Go并发编程--数据竞争

    目录 1.前言 2.数据竞争 2.1 示例一 2.1.1 测试 2.1.2 data race 检测 2.1.3 data race 配置 2.2 循环中使用goroutine引用临时变量 2.3 引 ...

  10. PolarDB PostgreSQL logindex 设计

    背景介绍 PolarDB采用了共享存储一写多读架构,读写节点RW和多个只读节点RO共享同一份存储,读写节点可以读写共享存储中的数据:只读节点仅能各自通过回放日志,从共享存储中读取数据,而不能写入,只读 ...