55 - ES集群内部安全通信

为什么要加密通讯

• 加密数据：避免数据抓包，敏感信息泄漏
• 验证身份：避免Impostor Node
  • Data / Cluster State

集群间通信

为节点创建证书

• TLS
  • TLS协议要求Trusted Certificate Authority（CA）签发的X.509的证书
• 证书认证的不同级别
  • Certificate：节点加入需要使用CA签发的证书
  • Full Verification：节点加入集群需要相同CA签发的证书，还需要验证Host name或IP地址
  • No Verification：任何节点都可以加入，开发环境中用于诊断目的

生成节点证书

• bin/elasticsearch-certutil ca
• bin/elasticsearch-certutil --ca elastic-stack-ca.p12
• https://www.elastic.co/guide/en/elasticsearch/reference/7.1/configuring-tls.html

配置节点间通讯

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.transport.ssl.trustsore.path: certs/elastic-certificates.p12