55 - ES集群内部安全通信

为什么要加密通讯

  • 加密数据:避免数据抓包,敏感信息泄漏
  • 验证身份:避免Impostor Node
    • Data / Cluster State
集群间通信

为节点创建证书

  • TLS
    • TLS协议要求Trusted Certificate Authority(CA)签发的X.509的证书
  • 证书认证的不同级别
    • Certificate:节点加入需要使用CA签发的证书
    • Full Verification:节点加入集群需要相同CA签发的证书,还需要验证Host name或IP地址
    • No Verification:任何节点都可以加入,开发环境中用于诊断目的

生成节点证书

  • bin/elasticsearch-certutil ca
  • bin/elasticsearch-certutil --ca elastic-stack-ca.p12
  • https://www.elastic.co/guide/en/elasticsearch/reference/7.1/configuring-tls.html

配置节点间通讯

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.transport.ssl.trustsore.path: certs/elastic-certificates.p12

你可能感兴趣的:(55 - ES集群内部安全通信)