保护 ElasticSearch 和 Couchbase 的最佳实践

【问题标题】:Best Practices Securing ElasticSearch and Couchbase保护 ElasticSearch 和 Couchbase 的最佳实践
【发布时间】:2017-07-12 17:52:38
【问题描述】:

我一直在尝试尝试使用基本身份验证和 TLS 保护 Elasticsearch 集群。

我已经使用 Search-Guard 成功地做到了这一点。问题发生在 Couchbase XDCR 到 Elasticsearch。

我正在使用一个名为 elasticsearch-transport-couchbase 的插件,如果没有在 Elasticsearch 集群上启用 TLS 和基本身份验证,它就非常好。但是当使用 Search-Guard 启用它时,我无法做到这一点。

据我所知,问题在于 elasticsearch-transport-couchbase 插件。之前在他们的Github repo 的一些问题中也讨论了这一点。

它也是我能从 Couchbase 找到的唯一可用于 XDCR 的插件。

我很好奇其他人对此的体验。有没有人和我有同样情况并且能够使用 TLS 设置从 Couchbase 到 Elasticsearch 的 XDCR?

或者也许还有其他一些我错过的更合适的工具?

【问题讨论】:

    标签: security ssl elasticsearch couchbase xdcr


    【解决方案1】:

    Couchbase Elasticsearch 连接器 4.0 版支持与 Couchbase 服务器和/或 Elasticsearch 的安全连接。

    参考:https://docs.couchbase.com/elasticsearch-connector/4.0/secure-connections.html

    【讨论】:

      【解决方案2】:

      一个小更新。我们通过使用 xinetd 设置 stunnel 来解决这个问题。所以与 ELS 的所有通信都必须通过 TLS 将终止的通道。

      我们阻止了对端口 9200 的访问,并将 9091 限制为 Couchbase-cluster 主机,将 9300 限制为其他 ELS 节点。

      看起来效果不错。

      【讨论】:

      • 您能扩展您的解决方案吗?我也在寻找解决办法。
      【解决方案3】:

      Couchbase 传输插件尚不支持 XDCR TLS,它在路线图上,但不会很快实现。 Search-guard 将 SSL 添加到 ES 中的 HTTP/REST 端点,但插件会打开其自己的端点(默认情况下在端口 9091 上),Search-guard 不会触及。我将看看是否可以扩展 search-guard 以应用于传输插件 - 主要问题出在 Couchbase XDCR 端,它不希望在目标端点上使用 SSL。

      【讨论】:

        猜你喜欢
        • 2017-11-16
        • 2016-10-20
        • 1970-01-01
        • 2020-01-16
        • 1970-01-01
        • 2011-06-27
        • 2019-10-22
        • 1970-01-01
        • 2020-01-15
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode